Mecanismo de WAF no Gateway de Aplicativo do Azure

O mecanismo de WAF (Firewall de Aplicativo Web) do Azure é o componente que inspeciona o tráfego e determina se uma solicitação inclui uma assinatura que representa um possível ataque e toma as medidas apropriadas de acordo com a configuração.

Próxima geração do mecanismo de WAF

O novo mecanismo WAF é um mecanismo proprietário escalonável de alto desempenho da Microsoft e tem melhorias significativas em relação ao mecanismo de WAF anterior.

O novo mecanismo, lançado com o CRS 3.2, oferece os seguintes benefícios:

• Desempenho aprimorado: melhorias substanciais na latência de WAF, incluindo latências P99 POST e GET. Observamos uma redução considerável nas latências de cauda P99 com redução de até aproximadamente 8 vezes no processamento de solicitações POST e redução de aproximadamente 4 vezes no processamento de solicitações GET.
• Aumento da escala: maior RPS (solicitações por segundo), usando a mesma potência de computação e com a capacidade de processar solicitações maiores. Nosso mecanismo de última geração pode escalar até 16 vezes mais RPS, usando a mesma potência de computação e tem a capacidade de processar solicitações 2 vezes maiores (solicitações de até 2 MB), o que não era possível com o mecanismo anterior.
• Melhor proteção: o novo mecanismo reformulado com processamento eficiente de regex oferece melhor proteção contra ataques de DOS (negação de serviço) de regex, mantendo uma experiência de latência consistente.
• Conjunto de recursos mais avançado: os novos recursos e o aprimoramento futuro estarão disponíveis somente por meio do novo mecanismo.

Suporte para novos recursos

Há muitos novos recursos que só têm suporte no mecanismo de WAF do Azure. Os recursos incluem:

• CRS 3.2
  • Aumento do limite de tamanho do corpo da solicitação para 2 MB
  • Aumento do limite de upload de arquivo para 4 GB
• Métricas de WAF v2
• Exclusões por regra e suporte para atributos de exclusão por nome.
• Aumento dos limites de escala
  • Número de ouvintes HTTP
  • Intervalos de endereços IP de WAF por condições de correspondência
  • Limite de exclusões
• Regras personalizadas de limite de taxa
• Limite de inspeção e aplicação de tamanho máximo podem ser ativados/desativados independentemente um do outro e os valores para cada campo podem ser definidos independentemente

Os novos recursos do WAF só serão lançados com as versões posteriores do CRS no novo mecanismo de WAF.

Solicitar registro em log para regras personalizadas

Há uma diferença entre como o mecanismo anterior e o novo mecanismo de WAF solicitam o log quando uma regra personalizada define o tipo de ação como Log.

Quando o WAF é executado no modo de prevenção, o mecanismo anterior registra o tipo de ação da solicitação como Bloqueado, embora a solicitação seja permitida pela regra personalizada. No modo de detecção, o mecanismo anterior registra o mesmo tipo de ação da solicitação como Detectado.

Por outro lado, o novo mecanismo de WAF registra o tipo de ação da solicitação como Log, se o WAF estiver em execução no modo de prevenção ou de detecção.

Próximas etapas

Saiba mais sobre as Regras gerenciadas de WAF.