WAF-engine op Azure Application Gateway

De WAF-engine (Azure Web Application Firewall) is het onderdeel dat verkeer inspecteert en bepaalt of een aanvraag een handtekening bevat die een mogelijke aanval vertegenwoordigt en de juiste actie onderneemt, afhankelijk van de configuratie.

Volgende generatie WAF-engine

De nieuwe WAF-engine is een krachtige, schaalbare eigen Microsoft-engine en heeft aanzienlijke verbeteringen ten opzichte van de vorige WAF-engine.

De nieuwe engine, uitgebracht met CRS 3.2, biedt de volgende voordelen:

• Verbeterde prestaties: Aanzienlijke verbeteringen in WAF-latentie, waaronder P99 POST- en GET-latenties. We hebben een aanzienlijke vermindering van de P99-latenties waargenomen met maximaal 8x reductie in het verwerken van POST-aanvragen en ongeveer 4x vermindering van het verwerken van GET-aanvragen.
• Grotere schaal: hogere aanvragen per seconde (RPS), met dezelfde rekenkracht en met de mogelijkheid om grotere aanvraaggrootten te verwerken. Onze engine van de volgende generatie kan maximaal acht keer meer RPS schalen met dezelfde rekenkracht en heeft de mogelijkheid om 16 keer grotere aanvraaggrootten (maximaal 2 MB aanvraaggrootten) te verwerken, wat niet mogelijk was met de vorige engine.
• Betere beveiliging: Nieuwe opnieuw ontworpen engine met efficiënte regex-verwerking biedt betere bescherming tegen DOS-aanvallen (RegEx Denial of Service), terwijl een consistente latentie-ervaring behouden blijft.
• Uitgebreidere functieset: nieuwe functies en toekomstige verbeteringen zijn alleen beschikbaar via de nieuwe engine.

Ondersteuning voor nieuwe functies

Er zijn veel nieuwe functies die alleen worden ondersteund in de Azure WAF-engine. De functies zijn onder andere:

• CRS 3.2
  • Maximale grootte van aanvraagtekst tot 2 MB
  • Limiet voor uploaden van bestanden verhoogd tot 4 GB
• Metrische gegevens van WAF v2
• Uitsluitingen en ondersteuning per regel voor uitsluitingskenmerken op naam.
• Verhoogde schaallimieten
  • Limiet voor HTTP-listeners
  • WAF-IP-adresbereiken per overeenkomstvoorwaarde
  • Limiet voor uitsluitingen
• Aangepaste regels voor frequentielimiet
• Inspectielimiet en maximale grootte afdwingen kunnen onafhankelijk van elkaar worden in- of uitgeschakeld en de waarden voor elk veld kunnen onafhankelijk worden ingesteld

Nieuwe WAF-functies worden alleen uitgebracht met latere versies van CRS op de nieuwe WAF-engine.

Logboekregistratie aanvragen voor aangepaste regels

Er is een verschil tussen hoe de vorige engine en de nieuwe WAF-enginelogboekaanvragen aanvragen wanneer een aangepaste regel het actietype definieert als logboek.

Wanneer uw WAF wordt uitgevoerd in de preventiemodus, registreert de vorige engine het actietype van de aanvraag als Geblokkeerd , ook al is de aanvraag toegestaan door de aangepaste regel. In de detectiemodus registreert de vorige engine het actietype van dezelfde aanvraag als Gedetecteerd.

De nieuwe WAF-engine registreert daarentegen het actietype aanvraag als logboek, ongeacht of de WAF wordt uitgevoerd in de preventie- of detectiemodus.

Volgende stappen

Meer informatie over door WAF beheerde regels.