Часто задаваемые вопросы о Azure Web Application Firewall в шлюзе приложений

В этой статье приводятся ответы на распространенные вопросы о функциях и функциональности Azure Web Application Firewall в Azure Application Gateway.

Что такое Azure Web Application Firewall?

Azure Web Application Firewall — это брандмауэр веб-приложения (WAF), который помогает защитить веб-приложения от распространенных угроз, таких как внедрение SQL, межсайтовые скрипты и другие веб-эксплойты. Вы можете определить политику WAF, состоящую из сочетания пользовательских и управляемых правил для управления доступом к веб-приложениям.

Политику WAF можно применить к веб-приложениям, размещенным на Azure Application Gateway или Azure Front Door.

Какие функции поддерживает уровень продуктов WAF?

Уровень WAF шлюза приложений поддерживает все функции, доступные на уровне "Стандартный".

Как отслеживать WAF?

Отслеживайте WAF с помощью ведения журнала диагностики. Дополнительные сведения см. в журналах диагностики шлюза приложений.

Блокирует ли режим обнаружения трафик?

Нет. В режиме обнаружения регистрируется только тот трафик, который активирует правило WAF.

Могу ли я настроить правила WAF?

Да. Дополнительные сведения см. в разделе "Настройка правил WAF".

Какие правила доступны в настоящее время для WAF?

Последняя и наиболее рекомендуемая версия набора правил WAF — набор правил по умолчанию (DRS) 2.2. В дополнение к базовой безопасности для большинства основных уязвимостей, которые идентифицируют проект Open Web Application Security (OWASP), DRS 2.2 включает дополнительные правила защиты, разработанные командой Microsoft Threat Intelligence, которые расширяют охват в рамках внедрения SQL, XSS и атак безопасности приложений:

• Защита от SQL-инъекций
• Защита от межсайтового скриптинга
• Защита от распространенных веб-атак, таких как внедрение команд, контрабанда HTTP-запросов, разделение ответа HTTP и включение удаленных файлов
• Защита от нарушений протокола HTTP.
• Защита от аномалий протокола HTTP, таких как отсутствие Host, User-Agentи Accept заголовки
• Защита от программ-роботов, программ-обходчиков и сканеров.
• Обнаружение распространенных неправильно настроенных приложений (например, Apache и IIS)

Дополнительные сведения см. в статье об основных уязвимостях OWASP 10.

Дополнительные сведения о старых версиях набора правил и политике поддержки управляемого набора правил WAF можно найти здесь. (ruleset-support-policy)

Какие типы контента поддерживают WAF?

WAF шлюза приложений поддерживает следующие типы контента для управляемых правил:

• application/json
• application/xml
• application/x-www-form-urlencoded
• multipart/form-data

А для пользовательских правил:

• application/x-www-form-urlencoded
• application/soap+xml, application/xml, text/xml
• application/json
• multipart/form-data

Поддерживает ли WAF защиту от атак DDoS?

Да. Вы можете включить защиту распределенного типа "отказ в обслуживании" (DDoS) в виртуальной сети, в которой развернут шлюз приложений. Этот параметр гарантирует, что служба защиты от атак DDoS Azure также помогает защитить виртуальный IP-адрес шлюза приложений (VIP).

Хранят ли данные клиента WAF?

Нет, WAF не хранит данные клиента.

Как WAF работает с WebSocket?

Azure Application Gateway изначально поддерживает WebSocket. WebSocket в WAF шлюза приложений не требует дополнительной настройки. Однако WAF не проверяет трафик WebSocket. После первоначального подтверждения между клиентом и сервером обмен данными между клиентом и сервером может иметь любой формат (например, двоичный или зашифрованный). Поэтому WAF не всегда может анализировать данные. Он просто выступает в качестве сквозного прокси-сервера для данных.

Дополнительные сведения см. в разделе Обзор поддержки WebSocket в Шлюзе приложений.

Поддерживает ли WAF облака, изолированные от сети?

Да, поддерживаются изолированные от сети облачные системы. Однако пользовательские правила для геофильтрации, пользовательские правила для защиты от ботов и пользовательские правила ограничения скорости не поддерживаются в изолированных облаках.

Можно ли отключить буферизацию запросов на шлюзе приложений под управлением WAF?

Буферизация запросов не может быть отключена, если вы используете SKU WAF шлюза приложений. ДЛЯ WAF требуется полный запрос к буферу в процессе обработки, поэтому даже если отключить буферизацию запросов в шлюзе приложений, WAF по-прежнему буферизирует запрос. Буферизация ответов не влияет на WAF.

Связанный контент

• Что такое Azure Web Application Firewall?
• Что такое Azure Front Door?

В этой статье приводятся ответы на распространенные вопросы о функциях и функциональности Azure Web Application Firewall в Azure Application Gateway.

Azure Web Application Firewall — это брандмауэр веб-приложения (WAF), который помогает защитить веб-приложения от распространенных угроз, таких как внедрение SQL, межсайтовые скрипты и другие веб-эксплойты. Вы можете определить политику WAF, состоящую из сочетания пользовательских и управляемых правил для управления доступом к веб-приложениям.

Политику WAF можно применить к веб-приложениям, размещенным на Azure Application Gateway или Azure Front Door.

Уровень WAF шлюза приложений поддерживает все функции, доступные на уровне "Стандартный".

Отслеживайте WAF с помощью ведения журнала диагностики. Дополнительные сведения см. в журналах диагностики шлюза приложений.

Нет. В режиме обнаружения регистрируется только тот трафик, который активирует правило WAF.

Да. Дополнительные сведения см. в разделе "Настройка правил WAF".

Последняя и наиболее рекомендуемая версия набора правил WAF — набор правил по умолчанию (DRS) 2.2. В дополнение к базовой безопасности для большинства основных уязвимостей, которые идентифицируют проект Open Web Application Security (OWASP), DRS 2.2 включает дополнительные правила защиты, разработанные командой Microsoft Threat Intelligence, которые расширяют охват в рамках внедрения SQL, XSS и атак безопасности приложений:

• Защита от SQL-инъекций
• Защита от межсайтового скриптинга
• Защита от распространенных веб-атак, таких как внедрение команд, контрабанда HTTP-запросов, разделение ответа HTTP и включение удаленных файлов
• Защита от нарушений протокола HTTP.
• Защита от аномалий протокола HTTP, таких как отсутствие Host, User-Agentи Accept заголовки
• Защита от программ-роботов, программ-обходчиков и сканеров.
• Обнаружение распространенных неправильно настроенных приложений (например, Apache и IIS)

Дополнительные сведения см. в статье об основных уязвимостях OWASP 10.

Дополнительные сведения о старых версиях набора правил и политике поддержки управляемого набора правил WAF можно найти здесь. (ruleset-support-policy)

WAF шлюза приложений поддерживает следующие типы контента для управляемых правил:

• application/json
• application/xml
• application/x-www-form-urlencoded
• multipart/form-data

А для пользовательских правил:

• application/x-www-form-urlencoded
• application/soap+xml, application/xml, text/xml
• application/json
• multipart/form-data

Да. Вы можете включить защиту распределенного типа "отказ в обслуживании" (DDoS) в виртуальной сети, в которой развернут шлюз приложений. Этот параметр гарантирует, что служба защиты от атак DDoS Azure также помогает защитить виртуальный IP-адрес шлюза приложений (VIP).

Нет, WAF не хранит данные клиента.

Azure Application Gateway изначально поддерживает WebSocket. WebSocket в WAF шлюза приложений не требует дополнительной настройки. Однако WAF не проверяет трафик WebSocket. После первоначального подтверждения между клиентом и сервером обмен данными между клиентом и сервером может иметь любой формат (например, двоичный или зашифрованный). Поэтому WAF не всегда может анализировать данные. Он просто выступает в качестве сквозного прокси-сервера для данных.

Дополнительные сведения см. в разделе Обзор поддержки WebSocket в Шлюзе приложений.

Да, поддерживаются изолированные от сети облачные системы. Однако пользовательские правила для геофильтрации, пользовательские правила для защиты от ботов и пользовательские правила ограничения скорости не поддерживаются в изолированных облаках.

Буферизация запросов не может быть отключена, если вы используете SKU WAF шлюза приложений. ДЛЯ WAF требуется полный запрос к буферу в процессе обработки, поэтому даже если отключить буферизацию запросов в шлюзе приложений, WAF по-прежнему буферизирует запрос. Буферизация ответов не влияет на WAF.

Связанный контент

• Что такое Azure Web Application Firewall?
• Что такое Azure Front Door?