Motor da WAF no Gateway de Aplicação do Azure

O mecanismo WAF (Azure Web Application Firewall) é o componente que inspeciona o tráfego e determina se uma solicitação inclui uma assinatura que representa um ataque potencial e toma as medidas apropriadas dependendo da configuração.

Próxima geração de motores WAF

O novo motor WAF é um motor proprietário da Microsoft escalável e de alto desempenho e tem melhorias significativas em relação ao motor WAF anterior.

O novo motor, lançado com CRS 3.2, oferece os seguintes benefícios:

• Melhor desempenho: melhorias significativas na latência do WAF, incluindo latências P99 POST e GET. Observamos uma redução significativa nas latências finais do P99 com até aproximadamente 8x de redução no processamento de solicitações POST e aproximadamente 4x no processamento de solicitações GET.
• Maior escala: solicitações mais altas por segundo (RPS), usando o mesmo poder de computação e com a capacidade de processar solicitações maiores. Nosso mecanismo de próxima geração pode escalar até oito vezes mais RPS usando o mesmo poder de computação e tem a capacidade de processar tamanhos de solicitação 16 vezes maiores (tamanhos de solicitação de até 2 MB), o que não era possível com o mecanismo anterior.
• Melhor proteção: O novo mecanismo redesenhado com processamento regex eficiente oferece melhor proteção contra ataques de negação de serviço (DOS) RegEx, mantendo uma experiência de latência consistente.
• Conjunto de funcionalidades mais rico: as novas funcionalidades e melhorias futuras estão disponíveis apenas através do novo motor.

Suporte para novos recursos

Há muitos recursos novos que são suportados apenas no mecanismo WAF do Azure. As funcionalidades incluem:

• CRS 3.2
  • Aumento do limite de tamanho do corpo da solicitação para 2 MB
  • Aumento do limite de upload de arquivos para 4 GB
• Métricas WAF v2
• Por regra exclusões e suporte para atributos de exclusão por nome.
• Limites de escala aumentados
  • Limite de ouvintes HTTP
  • Intervalos de endereços IP WAF por condição de correspondência
  • Limite de exclusões
• Regras personalizadas de limite de taxa
• Limite de Inspeção e Imposição de Tamanho Máximo podem ser ativados/desativados independentemente uns dos outros e os valores para cada campo podem ser definidos independentemente

Novos recursos WAF só são lançados com versões posteriores do CRS no novo motor WAF.

Solicitar registro em log para regras personalizadas

Há uma diferença entre como o mecanismo anterior e o novo log do mecanismo WAF solicitam quando uma regra personalizada define o tipo de ação como Log.

Quando o WAF é executado no modo de prevenção, o mecanismo anterior registra o tipo de ação da solicitação como Bloqueado , mesmo que a solicitação seja permitida pela regra personalizada. No modo de deteção, o mecanismo anterior registra o mesmo tipo de ação da solicitação como Detetado.

Por outro lado, o novo mecanismo WAF registra o tipo de ação de solicitação como Log, independentemente de o WAF estar sendo executado no modo de prevenção ou deteção.

Próximos passos

Saiba mais sobre as regras gerenciadas pelo WAF.