Application Gateway의 Azure 웹 애플리케이션 방화벽에 대한 질문과 대답

Azure WAF는 SQL 삽입, 사이트 간 스크립팅 및 기타 웹 공격과 같은 일반적인 위협으로부터 웹 애플리케이션을 보호하는 데 유용한 웹 애플리케이션 방화벽입니다. 사용자 지정 및 관리형 규칙의 조합으로 구성된 WAF 정책을 정의하여 웹 애플리케이션에 대한 액세스를 제어할 수 있습니다.

Azure WAF 정책은 Application Gateway 또는 Azure Front Door에 호스트되는 웹 애플리케이션에 적용할 수 있습니다.

WAF SKU는 표준 SKU에서 사용할 수 있는 모든 기능을 지원합니다.

진단 로깅을 통해 WAF를 모니터링합니다. 자세한 내용은 Application Gateway에 대한 진단 로깅 및 메트릭을 참조하세요.

아니요. 검색 모드는 WAF 규칙을 트리거하는 트래픽만 로깅합니다.

예. 자세한 내용은 WAF 규칙 그룹 및 규칙 사용자 지정을 참조하세요.

WAF는 현재 CRS 3.2, 3.1 및 3.0을 지원합니다. 이러한 규칙은 OWASP(Open Web Application Security Project)에서 식별하는 상위 10가지 취약성 대부분에 대한 기준 보안을 제공합니다.

• SQL 삽입 공격 보호
• 사이트 간 스크립팅 방지
• 명령 삽입, HTTP 요청 밀반입, HTTP 응답 분할, 원격 파일 포함 공격 등의 일반 웹 공격 방지
• HTTP 프로토콜 위반 보호
• 누락된 호스트 사용자-에이전트 및 수락 헤더 같은 HTTP 프로토콜 이상 보호
• 보트, 크롤러 및 스캐너 방지
• 일반적인 애플리케이션 구성 오류(즉 Apache, IIS 등) 검색

자세한 내용은 OWASP의 상위 10가지 취약성을 참조하세요.

CRS 2.2.9는 새 WAF 정책에 더 이상 지원되지 않습니다. 최신 CRS 버전으로 업그레이드하는 것이 좋습니다. CRS 2.2.9는 CRS 3.2/DRS 2.1 이상 버전과 함께 사용할 수 없습니다.

Application Gateway WAF는 관리되는 규칙에 대해 다음과 같은 콘텐츠 형식을 지원합니다.

• application/json
• application/xml
• application/x-www-form-urlencoded
• multipart/form-data

사용자 지정 규칙에 대한 필드:

• application/x-www-form-urlencoded
• application/soap+xml, application/xml, text/xml
• application/json
• multipart/form-data

예. Application Gateway가 배포된 가상 네트워크에서 DDoS Protection을 사용하도록 설정할 수 있습니다. 이렇게 설정하면 Azure DDoS Protection 서비스도 Application Gateway VIP(가상 IP)를 보호합니다.

WAF에 고객 데이터가 저장되나요?

아니요, WAF는 고객 데이터를 저장하지 않습니다.

Azure Application Gateway는 기본적으로 WebSocket을 지원합니다. Azure Application Gateway의 Azure WAF에 있는 WebSocket은 작동하기 위해 추가 구성이 필요하지 않습니다. 그러나 WAF는 WebSocket 트래픽을 검사하지 않습니다. 클라이언트와 서버 간의 초기 핸드셰이크 후 클라이언트와 서버 간의 데이터 교환은 이진 파일 또는 암호화와 같은 모든 형식이 될 수 있습니다. 따라서 Azure WAF는 항상 데이터를 구문 분석할 수 없으며 데이터에 대한 통과 프록시 역할만 합니다.

자세한 내용은 Application Gateway의 WebSocket 지원 개요를 참조하세요.

다음 단계

• Azure 웹 애플리케이션 방화벽에 대해 알아봅니다.
• Azure Front Door에 대해 자세히 알아봅니다.