Este artigo responde às perguntas comuns sobre o WAF (Firewall do Aplicativo Web) do Azure nos recursos e na funcionalidade do Gateway de Aplicativo.
O que é o WAF do Azure?
O WAF do Azure é um firewall do aplicativo Web que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, scripts entre sites e outras explorações da Web. Você pode definir uma política de WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.
Uma política do WAF do Azure pode ser aplicada aos aplicativos Web hospedados no Gateway de Aplicativo ou no Azure Front Door.
A quais recursos o SKU do WAF dá suporte?
O SKU do WAF dá suporte a todos os recursos disponíveis no SKU Standard.
Como monitorar o WAF?
Monitore o WAF por meio do log de diagnóstico. Para obter mais informações, confira Log de diagnóstico e métricas para Gateway de Aplicativo.
Modo de detecção bloqueia o tráfego?
Não. O modo de detecção registra somente o tráfego que aciona uma regra do WAF.
Como posso personalizar regras WAF?
Sim. Para obter mais informações, confira Personalizar regras e grupos de regras do WAF.
Quais regras estão disponíveis para WAF no momento?
No momento, o WAF dá suporte ao CRS 3.2, 3.1 e 3.0. Essas regras fornecem segurança de linha de base contra a maioria das dez principais vulnerabilidades identificadas pelo OWASP (Open Web Application Security Project):
- Proteção contra injeção de SQL
- Proteção contra script entre sites
- Proteção contra ataques comuns na Web, como injeção de comandos, solicitações HTTP indesejadas, divisão de resposta HTTP e ataque de inclusão de arquivo remoto
- Proteção contra violações de protocolo HTTP
- Proteção contra anomalias de protocolo HTTP, como ausência de host de agente do usuário e de cabeçalhos de aceitação
- Prevenção contra bots, rastreadores e scanners
- Detecção de erros de configuração de aplicativo comuns (ou seja, Apache, IIS e assim por diante)
Para saber mais, confira Dez principais vulnerabilidades do OWASP.
O CRS 2.2.9 não tem mais suporte para novas políticas do WAF. Recomenda-se atualizar para a versão mais recente do CRS. O CRS 2.2.9 não pode ser usado junto com o CRS 3.2/DRS 2.1 e versões superiores.
A quais tipos de conteúdo o WAF dá suporte?
O WAF do Gateway de Aplicativo dá suporte aos seguintes tipos de conteúdo para regras gerenciadas:
- aplicativo/json
- aplicativo/xml
- Application/x-www-form-urlencoded
- multipart/form-data
E para regras personalizadas:
- Application/x-www-form-urlencoded
- application/soap+xml, application/xml, text/xml
- aplicativo/json
- multipart/form-data
O WAF dá suporte à proteção contra DDoS?
Sim. Você pode habilitar a proteção contra DDoS na rede virtual em que o gateway de aplicativo está implantado. Essa configuração garante que o serviço de Proteção contra DDoS do Azure também proteja o IP virtual (VIP) do gateway de aplicativo.
O WAF armazena dados do cliente?
Não, o WAF não armazena os dados do cliente.
Como o WAF do Azure funciona com WebSockets?
O Gateway de Aplicativo do Azure dá suporte nativo ao WebSocket. O WebSocket no WAF do Azure no Gateway de Aplicativo do Azure não requer nenhuma configuração adicional para funcionar. No entanto, o WAF não inspeciona o tráfego do WebSocket. Após o handshake inicial entre o cliente e o servidor, a troca de dados entre o cliente e o servidor pode ser de qualquer formato, por exemplo, binário ou criptografado. Portanto, o WAF do Azure nem sempre pode analisar os dados, e apenas atua como um proxy de passagem para os dados.
Para obter mais informações, consulte a Visão geral do suporte ao WebSocket no Gateway de Aplicativo.
Próximas etapas
- Saiba mais sobre o Firewall do Aplicativo Web do Azure.
- Saiba mais sobre o Azure Front Door.