Поделиться через


Подсистема WAF в Шлюзе приложений Azure

Модуль брандмауэра веб-приложений Azure (WAF) проверяет трафик, обнаруживает потенциальные атаки на основе подписей запросов и принимает соответствующие меры в соответствии с конфигурацией.

Следующее поколение движка WAF

Новый движок WAF представляет собой высокопроизводительную масштабируемую проприетарную подсистему Microsoft и имеет значительные улучшения по сравнению с предыдущим движком WAF.

Новый двигатель, выпущенный с CRS 3.2, предоставляет следующие преимущества:

  • Улучшенная производительность. Значительные сокращения задержки WAF, включая задержки POST и GET P99. В хвостовых задержках P99 наблюдается значительное сокращение: примерно в 8 раз при обработке запросов POST и примерно в 4 раза при обработке запросов GET.
  • Увеличенный масштаб. Увеличено количество запросов в секунду (RPS) для той же вычислительной мощности с возможностью обрабатывать более крупные запросы. Наш механизм следующего поколения может масштабировать до восьми раз больше RPS с использованием той же вычислительной мощности, и имеет возможность обрабатывать 16 раз больше размеров запросов (до 2 МБ запросов), что было невозможно с предыдущим ядром.
  • Улучшенная защита. Новая модернизированная подсистема с эффективной системой обработки регулярных выражений обеспечивает улучшенную защиту от атак типа "отказ в обслуживании" (DOS), при этом сохраняя стабильную задержку.
  • Расширенный набор возможностей. Новые возможности и будущие улучшения доступны только в новой версии подсистемы.

Поддержка новых возможностей

Реализовано множество новых возможностей, которые поддерживаются только в подсистеме WAF Azure. Доступны следующие функции:

Новые функции WAF выпускаются только с новыми версиями CRS на новом движке WAF.

Ведение журнала запросов для настраиваемых правил

В том, как предыдущий механизм регистрации запросов и новая подсистема WAF записывают запросы, есть различия, если настраиваемое правило определяет тип действия как Журнал.

Когда WAF работает в режиме предотвращения, предыдущая версия записывает тип действия запроса в журнал как Заблокировано, даже если настраиваемое правило разрешает запрос. В режиме обнаружения подсистема записывала тот же тип действия запроса в журнал как Обнаружено.

Теперь новая версия подсистемы WAF записывает тип действия запроса в журнал как Log как в режиме предотвращения, так и в режиме обнаружения.

Следующий шаг