Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące funkcji i funkcji usługi Azure Web Application Firewall (WAF Application Gateway).
Co to jest zapora aplikacji internetowej platformy Azure?
Zapora aplikacji internetowej platformy Azure to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe przed typowymi zagrożeniami, takimi jak wstrzyknięcie kodu SQL, wykonywanie skryptów między witrynami i inne luki w zabezpieczeniach sieci Web. Można zdefiniować zasady zapory aplikacji internetowej składające się z kombinacji niestandardowych i zarządzanych reguł w celu kontrolowania dostępu do aplikacji internetowych.
Zasady zapory aplikacji internetowej platformy Azure można stosować do aplikacji internetowych hostowanych w usłudze Application Gateway lub Azure Front Door.
Jakie funkcje obsługuje jednostka SKU zapory aplikacji internetowej?
Jednostka SKU zapory aplikacji internetowej obsługuje wszystkie funkcje dostępne w jednostce SKU w warstwie Standardowa.
Jak mogę monitorować zaporę aplikacji internetowej?
Monitorowanie zapory aplikacji internetowej za pomocą rejestrowania diagnostycznego. Aby uzyskać więcej informacji, zobacz Rejestrowanie diagnostyczne i metryki dla Application Gateway.
Czy tryb wykrywania blokuje ruch?
Nie. Tryb wykrywania rejestruje tylko ruch, który wyzwala regułę zapory aplikacji internetowej.
Czy mogę dostosować reguły zapory aplikacji internetowej?
Tak. Aby uzyskać więcej informacji, zobacz Dostosowywanie grup reguł i reguł zapory aplikacji internetowej.
Jakie reguły są obecnie dostępne dla zapory aplikacji internetowej?
Zapora aplikacji internetowej obsługuje obecnie systemy CRS 3.2, 3.1 i 3.0. Te reguły zapewniają zabezpieczenia punktu odniesienia dla większości 10 najważniejszych luk w zabezpieczeniach, które identyfikuje projekt OWASP (Open Web Application Security Project):
- Ochrona przed atakami polegającymi na iniekcji SQL
- Ochrona skryptów między witrynami
- Ochrona przed typowymi atakami internetowymi, takimi jak iniekcja poleceń, przemyt żądań HTTP, dzielenie odpowiedzi HTTP i atak zdalnego dołączania plików
- Ochrona przed naruszeniami protokołu HTTP
- Ochrona przed nieprawidłowościami protokołu HTTP, takimi jak brakujące powiązania agenta i użytkownika hosta oraz akceptowanie nagłówków
- Zapobieganie atakom z użyciem robotów, przeszukiwarek i skanerów
- Wykrywanie typowych błędów konfiguracji aplikacji (czyli Apache, IIS itd.)
Aby uzyskać więcej informacji, zobacz OWASP top 10 vulnerabilities (OWASP top 10 vulnerabilities).
System CRS 2.2.9 nie jest już obsługiwany w przypadku nowych zasad zapory aplikacji internetowej. Zalecamy uaktualnienie do najnowszej wersji crS. Nie można używać crS 2.2.9 wraz z CRS 3.2/DRS 2.1 i nowszymi wersjami.
Jakie typy zawartości obsługuje zapora aplikacji internetowej?
Application Gateway zapora aplikacji internetowej obsługuje następujące typy zawartości dla reguł zarządzanych:
- application/json
- aplikacja/xml
- application/x-www-form-urlencoded
- multipart/form-data
Dla reguł niestandardowych:
- application/x-www-form-urlencoded
- application/soap+xml, application/xml, text/xml
- application/json
- multipart/form-data
Czy zapora aplikacji internetowej obsługuje ochronę przed atakami DDoS?
Tak. Ochronę przed atakami DDoS można włączyć w sieci wirtualnej, w której wdrożono bramę aplikacji. To ustawienie zapewnia, że usługa Azure DDoS Protection chroni również wirtualny adres IP (VIP) bramy aplikacji.
Czy zapora aplikacji internetowej przechowuje dane klientów?
Nie, zapora aplikacji internetowej nie przechowuje danych klientów.
W jaki sposób zapora aplikacji internetowej platformy Azure działa z zestawami WebSocket?
Azure Application Gateway natywnie obsługuje protokół WebSocket. Funkcja WebSocket w zaporze aplikacji internetowej platformy Azure na Azure Application Gateway nie wymaga dodatkowej konfiguracji. Jednak zapora aplikacji internetowej nie sprawdza ruchu protokołu WebSocket. Po początkowym uzgadnianiu między klientem a serwerem wymiana danych między klientem a serwerem może mieć dowolny format, na przykład binarny lub zaszyfrowany. Dlatego zapora aplikacji internetowej platformy Azure nie zawsze może analizować dane, działa ona tylko jako serwer proxy przekazywania danych.
Aby uzyskać więcej informacji, zobacz Omówienie obsługi protokołu WebSocket w Application Gateway.
Następne kroki
- Dowiedz się więcej o usłudze Azure Web Application Firewall.
- Dowiedz się więcej o usłudze Azure Front Door.