Aparat zapory aplikacji internetowej w usłudze Azure Application Gateway
Aparat zapory aplikacji internetowej platformy Azure to składnik, który sprawdza ruch i określa, czy żądanie zawiera podpis reprezentujący potencjalny atak i podejmuje odpowiednie działania w zależności od konfiguracji.
Następna generacja aparatu zapory aplikacji internetowej
Nowy aparat zapory aplikacji internetowej to wysokowydajny, skalowalny aparat zastrzeżony firmy Microsoft i ma znaczne ulepszenia w stosunku do poprzedniego aparatu zapory aplikacji internetowej.
Nowy silnik, wydany z CRS 3.2, zapewnia następujące korzyści:
- Zwiększona wydajność: znaczne ulepszenia opóźnienia zapory aplikacji internetowej, w tym opóźnienia P99 POST i GET. Zaobserwowaliśmy znaczne zmniejszenie opóźnień ogona P99 z maksymalnie 8-krotnym zmniejszeniem przetwarzania żądań POST i około 4-krotnym zmniejszeniem przetwarzania żądań GET.
- Zwiększona skala: wyższe żądania na sekundę (RPS) przy użyciu tej samej mocy obliczeniowej i możliwość przetwarzania większych rozmiarów żądań. Nasz aparat następnej generacji może skalować do ośmiu razy więcej RPS przy użyciu tej samej mocy obliczeniowej i ma możliwość przetwarzania 16 razy większych rozmiarów żądań (do 2 MB żądań), co nie było możliwe w przypadku poprzedniego aparatu.
- Lepsza ochrona: Nowy przeprojektowany aparat z wydajnym przetwarzaniem wyrażeń regularnych zapewnia lepszą ochronę przed atakami typu "odmowa usługi" (DOS) w trybie RegEx przy zachowaniu spójnego środowiska opóźnienia.
- Bogatszy zestaw funkcji: nowe funkcje i przyszłe ulepszenia są dostępne tylko za pośrednictwem nowego aparatu.
Obsługa nowych funkcji
Istnieje wiele nowych funkcji, które są obsługiwane tylko w aucie zapory aplikacji internetowej platformy Azure. Dostępne funkcje to:
- CRS 3.2
- Zwiększony limit rozmiaru treści żądania do 2 MB
- Zwiększony limit przekazywania plików do 4 GB
- Metryki zapory aplikacji internetowej w wersji 2
- Wykluczenia poszczególnych reguł i obsługa atrybutów wykluczeń według nazwy.
- Zwiększone limity skalowania
- Limit odbiorników HTTP
- Zakresy adresów IP zapory aplikacji internetowej na warunek dopasowania
- Limit wykluczeń
- Reguły niestandardowe limitu szybkości
- Wymuszanie limitu inspekcji i maksymalnego rozmiaru można włączać/wyłączać niezależnie od siebie, a wartości dla każdego pola można ustawić niezależnie
Nowe funkcje zapory aplikacji internetowej są wydawane tylko z nowszymi wersjami crS w nowym aficie zapory aplikacji internetowej.
Rejestrowanie żądań dla reguł niestandardowych
Istnieje różnica między tym, jak poprzedni aparat i nowe żądania dziennika aparatu zapory aplikacji internetowej, gdy reguła niestandardowa definiuje typ akcji jako Dziennik.
Gdy zapora aplikacji internetowej działa w trybie zapobiegania, poprzedni aparat rejestruje typ akcji żądania jako Zablokowany , mimo że żądanie jest dozwolone przez regułę niestandardową. W trybie wykrywania poprzedni aparat rejestruje ten sam typ akcji żądania co Wykryto.
Natomiast nowy aparat zapory aplikacji internetowej rejestruje typ akcji żądania jako Dziennik, niezależnie od tego, czy zapora aplikacji internetowej działa w trybie zapobiegania, czy wykrywania.
Następne kroki
Dowiedz się więcej o regułach zarządzanych przez zaporę aplikacji internetowej.