Vanliga frågor och svar om Azure Web Application Firewall på Application Gateway

Den här artikeln besvarar vanliga frågor om Azure Web Application Firewall (WAF) på Application Gateway funktioner.

Vad är Azure WAF?

Azure WAF är en brandvägg för webbprogram som skyddar dina webbprogram från vanliga hot som SQL-inmatning, skriptkörning mellan webbplatser och andra webbexploateringar. Du kan definiera en WAF-princip som består av en kombination av anpassade och hanterade regler för att styra åtkomsten till dina webbprogram.

En Azure WAF-princip kan tillämpas på webbprogram som finns på Application Gateway eller Azure Front Door.

Vilka funktioner stöder WAF-SKU:n?

WAF-SKU:n stöder alla funktioner som är tillgängliga i standard-SKU:n.

Hur gör jag för att övervaka WAF?

Övervaka WAF via diagnostisk loggning. Mer information finns i Diagnostisk loggning och mått för Application Gateway.

Blockerar detekteringsläget trafik?

Nej. Identifieringsläget loggar endast trafik som utlöser en WAF-regel.

Kan jag anpassa WAF-regler?

Ja. Mer information finns i Anpassa WAF-regelgrupper och regler.

Vilka regler är för närvarande tillgängliga för WAF?

WAF stöder för närvarande CRS 3.2, 3.1 och 3.0. Dessa regler ger grundläggande säkerhet mot de flesta av de 10 främsta säkerhetsriskerna som OWASP (Open Web Application Security Project) identifierar:

• Skydd mot SQL-inmatning
• Skydd mot skript över flera webbplatser
• Skydd mot vanliga webbattacker, till exempel kommandoinmatning, smuggling av HTTP-begäran, delning av HTTP-svar och fjärrinkluderingsattack
• Skydd mot åtgärder som inte följer HTTP-protokollet
• Skydd mot avvikelser i HTTP-protokollet, såsom saknade värd-, användaragent- och accepthuvuden
• Skydd mot robotar, crawlers och skannrar
• Identifiering av vanliga felkonfigurationer för program (det vill säga Apache, IIS och så vidare)

Mer information finns i OWASP de 10 främsta säkerhetsriskerna.

CRS 2.2.9 stöds inte längre för nya WAF-principer. Vi rekommenderar att du uppgraderar till den senaste CRS-versionen. CRS 2.2.9 kan inte användas tillsammans med CRS 3.2/DRS 2.1 och senare versioner.

Vilka innehållstyper stöder WAF?

Application Gateway WAF stöder följande innehållstyper för hanterade regler:

• application/json
• application/xml
• application/x-www-form-urlencoded
• flerdelade/formulär-data

Och för anpassade regler:

• application/x-www-form-urlencoded
• applikation/tvål+xml, applikation/xml, text/xml
• application/json
• flerdelade/formulär-data

Har WAF stöd för DDoS-skydd?

Ja. Du kan aktivera DDoS-skydd i det virtuella nätverk där programgatewayen distribueras. Den här inställningen säkerställer att Azure DDoS Protection-tjänsten även skyddar den virtuella IP-adressen (VIP) för programgatewayen.

Lagrar WAF kunddata?

Nej, WAF lagrar inte kunddata.

Hur fungerar Azure WAF med WebSockets?

Azure Application Gateway har inbyggt stöd för WebSocket. WebSocket på Azure WAF på Azure Application Gateway kräver ingen extra konfiguration för att fungera. WAF inspekterar dock inte WebSocket-trafiken. Efter den första handskakningen mellan klient och server kan datautbytet mellan klient och server vara av vilket format som helst, till exempel binärt eller krypterat. Därför kan Azure WAF inte alltid parsa data, det fungerar bara som en direktproxy för data.

Mer information finns i Översikt över WebSocket-stöd i Application Gateway.

Nästa steg

• Läs mer om Azure Web Application Firewall.
• Läs mer om Azure Front Door.

Den här artikeln besvarar vanliga frågor om Azure Web Application Firewall (WAF) på Application Gateway funktioner.

Azure WAF är en brandvägg för webbprogram som skyddar dina webbprogram från vanliga hot som SQL-inmatning, skriptkörning mellan webbplatser och andra webbexploateringar. Du kan definiera en WAF-princip som består av en kombination av anpassade och hanterade regler för att styra åtkomsten till dina webbprogram.

En Azure WAF-princip kan tillämpas på webbprogram som finns på Application Gateway eller Azure Front Door.

WAF-SKU:n stöder alla funktioner som är tillgängliga i standard-SKU:n.

Övervaka WAF via diagnostisk loggning. Mer information finns i Diagnostisk loggning och mått för Application Gateway.

Nej. Identifieringsläget loggar endast trafik som utlöser en WAF-regel.

Ja. Mer information finns i Anpassa WAF-regelgrupper och regler.

WAF stöder för närvarande CRS 3.2, 3.1 och 3.0. Dessa regler ger grundläggande säkerhet mot de flesta av de 10 främsta säkerhetsriskerna som OWASP (Open Web Application Security Project) identifierar:

• Skydd mot SQL-inmatning
• Skydd mot skript över flera webbplatser
• Skydd mot vanliga webbattacker, till exempel kommandoinmatning, smuggling av HTTP-begäran, delning av HTTP-svar och fjärrinkluderingsattack
• Skydd mot åtgärder som inte följer HTTP-protokollet
• Skydd mot avvikelser i HTTP-protokollet, såsom saknade värd-, användaragent- och accepthuvuden
• Skydd mot robotar, crawlers och skannrar
• Identifiering av vanliga felkonfigurationer för program (det vill säga Apache, IIS och så vidare)

Mer information finns i OWASP de 10 främsta säkerhetsriskerna.

CRS 2.2.9 stöds inte längre för nya WAF-principer. Vi rekommenderar att du uppgraderar till den senaste CRS-versionen. CRS 2.2.9 kan inte användas tillsammans med CRS 3.2/DRS 2.1 och senare versioner.

Application Gateway WAF stöder följande innehållstyper för hanterade regler:

• application/json
• application/xml
• application/x-www-form-urlencoded
• flerdelade/formulär-data

Och för anpassade regler:

• application/x-www-form-urlencoded
• applikation/tvål+xml, applikation/xml, text/xml
• application/json
• flerdelade/formulär-data

Ja. Du kan aktivera DDoS-skydd i det virtuella nätverk där programgatewayen distribueras. Den här inställningen säkerställer att Azure DDoS Protection-tjänsten även skyddar den virtuella IP-adressen (VIP) för programgatewayen.

Lagrar WAF kunddata?

Nej, WAF lagrar inte kunddata.

Azure Application Gateway har inbyggt stöd för WebSocket. WebSocket på Azure WAF på Azure Application Gateway kräver ingen extra konfiguration för att fungera. WAF inspekterar dock inte WebSocket-trafiken. Efter den första handskakningen mellan klient och server kan datautbytet mellan klient och server vara av vilket format som helst, till exempel binärt eller krypterat. Därför kan Azure WAF inte alltid parsa data, det fungerar bara som en direktproxy för data.

Mer information finns i Översikt över WebSocket-stöd i Application Gateway.

Nästa steg

• Läs mer om Azure Web Application Firewall.
• Läs mer om Azure Front Door.