應用程式閘道上的 Azure Web 應用程式防火牆的常見問題解答

本文解答了有關應用程式閘道上的 Azure Web 應用程式防火牆 （WAF） 特性和功能的常見問題。

什麼是 Azure WAF？

Azure WAF 是一種 Web 應用程式防火牆，可協助保護您的 Web 應用程式免於遭受常見的威脅，例如 SQL 插入式攻擊、跨網站指令碼和其他 web 惡意探索。 您可以定義由自訂和受控規則組合所組成的 WAF 原則，以控制對 Web 應用程式的存取。

Azure WAF 策略可應用於應用程式閘道或 Azure Front Door 上託管的 Web 應用程式。

WAF SKU 支援哪些功能？

WAF SKU 支援標準 SKU 中提供的所有功能。

如何監控 WAF？

通過診斷日誌記錄監控 WAF。 有關詳細資訊，請參閱 應用程式網關的診斷日誌記錄和指標。

檢測模式是否阻止流量？

否。 檢測模式僅記錄觸發 WAF 規則的流量。

我可以自定義 WAF 規則嗎？

是的。 更多資訊，請參見 自定義WAF規則組和規則。

WAF 目前有哪些規則可用？

WAF 目前支援 CRS 3.2、 3.1 和 3.0。 這些規則針對開放 Web 應用程式安全專案 （OWASP） 識別的前 10 個漏洞中的大多數提供基準安全性：

• SQL 插入式攻擊保護
• 跨網站腳本保護
• 抵禦常見的 Web 攻擊，如命令注入、HTTP 請求走私、HTTP 回應拆分和遠端檔包含攻擊
• 防範 HTTP 通訊協定違規
• 防範 HTTP 通訊協定異常行為，例如遺漏主機使用者代理程式和接受標頭
• 防範 Bot、編目程式和掃描器
• 偵測常見的應用程式錯誤設定（即 Apache、IIS 等）

有關更多資訊，請參閱 OWASP 前 10 大漏洞。

新的 WAF 原則已不再支援 CRS 2.2.9。 我們建議您升級到最新的CRS版本。 CRS 2.2.9 不能與 CRS 3.2/DRS 2.1 及更高版本一起使用。

WAF 支援哪些內容類型？

應用程式閘道 WAF 支援託管規則的以下內容類型：

• application/json
• 應用程式/XML
• application/x-www-form-urlencoded
• multipart/表單數據

對於自訂規則：

• application/x-www-form-urlencoded
• 應用程式/SOAP + XML、應用程式/XML、文字/XML
• application/json
• multipart/表單數據

WAF 是否支援 DDoS 防護？

是的。 可以在部署應用程式閘道的虛擬網路上啟用 DDoS 防護。 此設置可確保 Azure DDoS 防護服務還保護應用程式閘道虛擬 IP （VIP）。

WAF 是否儲存客戶數據？

不，WAF 不存儲客戶數據。

Azure WAF 如何與 WebSockets 配合使用？

Azure 應用程式閘道本機支援 WebSocket。 Azure 應用程式閘道上的 WebSocketWAF 不需要任何額外的配置即可工作。 但是，WAF 不會檢查 WebSocket 流量。 在用戶端和伺服器之間的初始握手之後，用戶端和伺服器之間的數據交換可以是任何格式，例如二進位或加密。 因此，Azure WAF 不能始終分析數據，它只是充當數據的直通代理。

如需詳細資訊，請參閱應用程式閘道中的 WebSocket 支援概觀。

後續步驟

• 了解 Azure Web 應用程式防火牆。
• 深入了解 Azure Front Door。

本文解答了有關應用程式閘道上的 Azure Web 應用程式防火牆 （WAF） 特性和功能的常見問題。

Azure WAF 是一種 Web 應用程式防火牆，可協助保護您的 Web 應用程式免於遭受常見的威脅，例如 SQL 插入式攻擊、跨網站指令碼和其他 web 惡意探索。 您可以定義由自訂和受控規則組合所組成的 WAF 原則，以控制對 Web 應用程式的存取。

Azure WAF 策略可應用於應用程式閘道或 Azure Front Door 上託管的 Web 應用程式。

WAF SKU 支援標準 SKU 中提供的所有功能。

通過診斷日誌記錄監控 WAF。 有關詳細資訊，請參閱 應用程式網關的診斷日誌記錄和指標。

否。 檢測模式僅記錄觸發 WAF 規則的流量。

是的。 更多資訊，請參見 自定義WAF規則組和規則。

WAF 目前支援 CRS 3.2、 3.1 和 3.0。 這些規則針對開放 Web 應用程式安全專案 （OWASP） 識別的前 10 個漏洞中的大多數提供基準安全性：

• SQL 插入式攻擊保護
• 跨網站腳本保護
• 抵禦常見的 Web 攻擊，如命令注入、HTTP 請求走私、HTTP 回應拆分和遠端檔包含攻擊
• 防範 HTTP 通訊協定違規
• 防範 HTTP 通訊協定異常行為，例如遺漏主機使用者代理程式和接受標頭
• 防範 Bot、編目程式和掃描器
• 偵測常見的應用程式錯誤設定（即 Apache、IIS 等）

有關更多資訊，請參閱 OWASP 前 10 大漏洞。

新的 WAF 原則已不再支援 CRS 2.2.9。 我們建議您升級到最新的CRS版本。 CRS 2.2.9 不能與 CRS 3.2/DRS 2.1 及更高版本一起使用。

應用程式閘道 WAF 支援託管規則的以下內容類型：

• application/json
• 應用程式/XML
• application/x-www-form-urlencoded
• multipart/表單數據

對於自訂規則：

• application/x-www-form-urlencoded
• 應用程式/SOAP + XML、應用程式/XML、文字/XML
• application/json
• multipart/表單數據

是的。 可以在部署應用程式閘道的虛擬網路上啟用 DDoS 防護。 此設置可確保 Azure DDoS 防護服務還保護應用程式閘道虛擬 IP （VIP）。

WAF 是否儲存客戶數據？

不，WAF 不存儲客戶數據。

Azure 應用程式閘道本機支援 WebSocket。 Azure 應用程式閘道上的 WebSocketWAF 不需要任何額外的配置即可工作。 但是，WAF 不會檢查 WebSocket 流量。 在用戶端和伺服器之間的初始握手之後，用戶端和伺服器之間的數據交換可以是任何格式，例如二進位或加密。 因此，Azure WAF 不能始終分析數據，它只是充當數據的直通代理。

如需詳細資訊，請參閱應用程式閘道中的 WebSocket 支援概觀。

後續步驟

• 了解 Azure Web 應用程式防火牆。
• 深入了解 Azure Front Door。