Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Модуль брандмауэра веб-приложений Azure (WAF) проверяет трафик, обнаруживает потенциальные атаки на основе подписей запросов и принимает соответствующие меры в соответствии с конфигурацией.
Следующее поколение движка WAF
Новый движок WAF представляет собой высокопроизводительную масштабируемую проприетарную подсистему Microsoft и имеет значительные улучшения по сравнению с предыдущим движком WAF.
Новый двигатель, выпущенный с CRS 3.2, предоставляет следующие преимущества:
- Улучшенная производительность. Значительные сокращения задержки WAF, включая задержки POST и GET P99. В хвостовых задержках P99 наблюдается значительное сокращение: примерно в 8 раз при обработке запросов POST и примерно в 4 раза при обработке запросов GET.
- Увеличенный масштаб. Увеличено количество запросов в секунду (RPS) для той же вычислительной мощности с возможностью обрабатывать более крупные запросы. Наш механизм следующего поколения может масштабировать до восьми раз больше RPS с использованием той же вычислительной мощности, и имеет возможность обрабатывать 16 раз больше размеров запросов (до 2 МБ запросов), что было невозможно с предыдущим ядром.
- Улучшенная защита. Новая модернизированная подсистема с эффективной системой обработки регулярных выражений обеспечивает улучшенную защиту от атак типа "отказ в обслуживании" (DOS), при этом сохраняя стабильную задержку.
- Расширенный набор возможностей. Новые возможности и будущие улучшения доступны только в новой версии подсистемы.
Поддержка новых возможностей
Реализовано множество новых возможностей, которые поддерживаются только в подсистеме WAF Azure. Доступны следующие функции:
-
CRS 3.2
- Увеличено ограничение на размер текста запроса до 2 МБ
- Увеличено ограничение на отправку файлов до 4 ГБ
- DRS 2.1 и более поздние версии DRS
- Метрики WAF версии 2
- Исключения для определенных правил и поддержка атрибутов исключений по имени
-
Увеличение ограничений масштабирования
- Предел слушателей HTTP
- Диапазоны IP-адресов WAF по каждому условию соответствия
- Ограничение исключений
- Пользовательские правила ограничения скорости
- Ограничение проверки и принудительное применение максимального размера можно включить или отключить независимо друг от друга, а значения для каждого поля можно задать независимо
Новые функции WAF выпускаются только с новыми версиями CRS на новом движке WAF.
Ведение журнала запросов для настраиваемых правил
В том, как предыдущий механизм регистрации запросов и новая подсистема WAF записывают запросы, есть различия, если настраиваемое правило определяет тип действия как Журнал.
Когда WAF работает в режиме предотвращения, предыдущая версия записывает тип действия запроса в журнал как Заблокировано, даже если настраиваемое правило разрешает запрос. В режиме обнаружения подсистема записывала тот же тип действия запроса в журнал как Обнаружено.
Теперь новая версия подсистемы WAF записывает тип действия запроса в журнал как Log как в режиме предотвращения, так и в режиме обнаружения.