Подсистема WAF в Шлюзе приложений Azure

Подсистема брандмауэра веб-приложений Azure (WAF) — это компонент, который проверяет трафик и определяет, включает ли запрос подпись, которая может указывать на потенциальную атаку и предпринимать необходимые действия в зависимости от конфигурации.

Следующее поколение подсистемы WAF

Новая подсистема WAF представляет собой высокопроизводительную масштабируемую систему, защищаемую Майкрософт, которая обрела значительные улучшения по сравнению с предыдущей версией.

В новой подсистеме, выпускаемой с CRS 3.2, предоставляются следующие преимущества:

• Улучшенная производительность. Значительные сокращения задержки WAF, включая задержки POST и GET P99. В "хвостовых" задержках P99 наблюдается значительное сокращение: примерно в 8 раз при обработке запросов POST и примерно в 4 раза при обработке запросов GET.
• Увеличенный масштаб. Увеличено количество запросов в секунду (RPS) для той же вычислительной мощности с возможностью обрабатывать более крупные запросы. Наш механизм следующего поколения может масштабировать до восьми раз больше RPS с использованием той же вычислительной мощности, и имеет возможность обрабатывать 16 раз больше размеров запросов (до 2-МБ размеров запросов), что было невозможно с предыдущим механизмом.
• Улучшенная защита. Обновленная модернизированная подсистема с эффективной обработкой регулярных выражений обеспечивает усиленную защиту от атак типа "отказ в обслуживании" (DOS), при этом сохраняя стабильно низкую задержку.
• Расширенный набор возможностей. Новые возможности и будущие улучшения доступны только в новой версии подсистемы.

Поддержка новых возможностей

Реализовано множество новых возможностей, которые поддерживаются только в подсистеме WAF Azure. Доступны следующие функции:

• CRS 3.2
  • Увеличено ограничение на размер текста запроса до 2 МБ
  • Увеличено ограничение на отправку файлов до 4 ГБ
• Метрики WAF версии 2
• Исключения для определенных правил и поддержка атрибутов исключений по имени
• Увеличение ограничений масштабирования
  • Ограничение прослушивателей HTTP
  • Диапазоны IP-адресов WAF на каждое условие соответствия
  • Ограничение исключений
• Пользовательские правила ограничения скорости
• Ограничение проверки и принудительное применение максимального размера можно включить или отключить независимо друг от друга, а значения для каждого поля можно задать независимо

Новые функции WAF выпускаются только с более поздними версиями CRS на новом подсистеме WAF.

Ведение журнала запросов для настраиваемых правил

В новой версии подсистемы WAF изменилась запись запроса в журнал, когда настраиваемое правило определяет тип действия как Журнал.

Ранее в режиме предотвращения WAF записывал тип действия запроса в журнал как Заблокировано, даже если настраиваемое правило разрешало запрос. В режиме обнаружения подсистема записывала тот же тип действия запроса в журнал как Обнаружено.

Теперь новая версия подсистемы WAF записывает тип действия запроса в журнал как Журнал как в режиме предотвращения, так и в режиме обнаружения.

Следующие шаги

Дополнительные сведения об управляемых правилах WAF.