Perguntas frequentes sobre o Firewall do Aplicativo Web do Azure no Gateway de Aplicativo

Este artigo responde às perguntas comuns sobre o WAF (Firewall do Aplicativo Web) do Azure nos recursos e na funcionalidade do Gateway de Aplicativo.

O que é o WAF do Azure?

O WAF do Azure é um firewall do aplicativo Web que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, scripts entre sites e outras explorações da Web. Você pode definir uma política de WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.

Uma política do WAF do Azure pode ser aplicada aos aplicativos Web hospedados no Gateway de Aplicativo ou no Azure Front Doors.

A quais recursos o SKU do WAF dá suporte?

O SKU do WAF dá suporte a todos os recursos disponíveis no SKU Standard.

Como monitorar o WAF?

Monitore o WAF por meio do log de diagnóstico. Para obter mais informações, confira Log de diagnóstico e métricas para Gateway de Aplicativo.

Modo de detecção bloqueia o tráfego?

Não. O modo de detecção registra somente o tráfego que aciona uma regra do WAF.

Como posso personalizar regras WAF?

Sim. Para obter mais informações, confira Personalizar regras e grupos de regras do WAF.

Quais regras estão disponíveis para WAF no momento?

No momento, o WAF dá suporte ao CRS 3.2, 3.1 e 3.0. Essas regras fornecem segurança de linha de base contra a maioria das dez principais vulnerabilidades identificadas pelo OWASP (Open Web Application Security Project):

  • Proteção contra injeção de SQL
  • Proteção contra script entre sites
  • Proteção contra ataques comuns na Web, como injeção de comandos, solicitações HTTP indesejadas, divisão de resposta HTTP e ataque de inclusão de arquivo remoto
  • Proteção contra violações de protocolo HTTP
  • Proteção contra anomalias de protocolo HTTP, como ausência de host de agente do usuário e de cabeçalhos de aceitação
  • Prevenção contra bots, rastreadores e scanners
  • Detecção de erros de configuração de aplicativo comuns (ou seja, Apache, IIS e assim por diante)

Para saber mais, confira Dez principais vulnerabilidades do OWASP.

O CRS 2.2.9 não tem mais suporte para novas políticas do WAF. Recomenda-se atualizar para a versão mais recente do CRS.

A quais tipos de conteúdo o WAF dá suporte?

O WAF do Gateway de Aplicativo dá suporte aos seguintes tipos de conteúdo para regras gerenciadas:

  • aplicativo/json
  • aplicativo/xml
  • Application/x-www-form-urlencoded
  • multipart/form-data

E para regras personalizadas:

  • Application/x-www-form-urlencoded
  • application/soap+xml, application/xml, text/xml
  • aplicativo/json
  • multipart/form-data

O WAF dá suporte à proteção contra DDoS?

Sim. Você pode habilitar a proteção contra DDoS na rede virtual em que o gateway de aplicativo está implantado. Essa configuração garante que o serviço de Proteção contra DDoS do Azure também proteja o IP virtual (VIP) do gateway de aplicativo.

O WAF armazena dados do cliente?

Não, o WAF não armazena os dados do cliente.

Como o WAF do Azure funciona com WebSockets?

O Gateway de Aplicativo do Azure dá suporte nativo ao WebSocket. O WebSocket no WAF do Azure no Gateway de Aplicativo do Azure não requer nenhuma configuração adicional para funcionar. No entanto, o tráfego do WebSocket não é inspecionado pelo WAF. Após o handshake inicial entre o cliente e o servidor, a troca de dados entre o cliente e o servidor pode ser de qualquer formato, por exemplo, binário ou criptografado. Portanto, o WAF do Azure nem sempre pode analisar os dados, e apenas atua como um proxy de passagem para os dados.

Para obter mais informações, consulte a Visão geral do suporte ao WebSocket no Gateway de Aplicativo.

Próximas etapas