В этой статье содержатся ответы на часто задаваемые вопросы о Брандмауэре веб-приложения Azure (WAF) и о возможностях и функциональности Шлюза приложений.
Что такое Azure WAF?
Azure WAF — это брандмауэр веб-приложения, который помогает защитить веб-приложения от распространенных угроз, таких как внедрение кода SQL, межсайтовые сценарии и другие веб-атаки. Вы можете определить политику WAF, состоящую из сочетания настраиваемых и управляемых правил для управления доступом к веб-приложениям.
Политику Azure WAF можно применять к веб-приложениям, размещенным в Шлюз приложений или Azure Front Door.
Какие функции поддерживает SKU WAF?
SKU WAF поддерживает все функции, доступные в SKU ценовой категории "Стандартный".
Как выполнять мониторинг WAF?
Мониторинг WAF с помощью ведения журнала диагностики. Дополнительную информацию см. в статье Ведение журнала диагностики и метрики для шлюза приложений.
Блокируется ли трафик в режиме обнаружения?
Нет. Режим обнаружения только регистрирует трафик, активирующий правило WAF.
Могу ли я настроить правила WAF?
Да. Дополнительные сведения см. в разделе Настройка группы правил и правил WAF.
Какие правила на сегодняшний день доступны в WAF?
В настоящее время WAF поддерживает CRS 3.2, 3.1и 3.0. Эти правила обеспечивают базовый уровень защиты от 10 главных уязвимостей, определенных в открытом проекте безопасности веб-приложений (OWASP):
- Защита от внедрения кода SQL.
- Защита от межсайтовых сценариев
- Защита от распространенных сетевых атак, в том числе от внедрения команд, несанкционированных HTTP-запросов, разделения HTTP-запросов и включения удаленного файла
- Защита от нарушений протокола HTTP.
- Защита от аномалий протокола HTTP, например отсутствия агента пользователя узла и заголовков accept.
- Защита от программ-роботов, программ-обходчиков и сканеров.
- Обнаружение распространенных неправильных конфигураций приложений (Apache, IIS и т. д.).
Дополнительные сведения см. в статье 10 главных уязвимостей по версии OWASP.
CRS 2.2.9 больше не поддерживается для новых политик WAF. Рекомендуем перейти на последнюю версию CRS. CRS 2.2.9 нельзя использовать вместе с CRS 3.2/DRS 2.1 и более поздними версиями.
Какие типы содержимого поддерживает WAF?
WAF Шлюза приложений поддерживают следующие типы содержимого для управляемых правил:
- приложение/json
- application/xml
- application/x-www-form-urlencoded
- multipart/form-data
Для настраиваемых правил:
- application/x-www-form-urlencoded
- application/soap+xml, application/xml, text/xml
- приложение/json
- multipart/form-data
Поддерживает ли WAF защиту от атак DDoS?
Да. Вы можете включить защиту от атак DDos в виртуальной сети, где развертывается шлюз приложений. Эта настройка гарантирует, что служба Защиты от атак DDoS также защищает виртуальный IP-адрес шлюза приложений.
Хранит ли WAF данные клиента?
Нет, WAF не хранит данные клиентов.
Как AZURE WAF работает с WebSockets?
Шлюз приложений Azure изначально поддерживает WebSocket. Для работы WebSocket в Azure WAF на Шлюз приложений Azure не требуется дополнительная настройка. Однако WAF не проверяет трафик WebSocket. После первоначального подтверждения между клиентом и сервером обмен данными между клиентом и сервером может иметь любой формат, например, двоичный или зашифрованный. Поэтому Azure WAF не всегда может анализировать данные, он просто выступает в качестве сквозного прокси-сервера для данных.
Дополнительные сведения см. в разделе Обзор поддержки WebSocket в Шлюзе приложений.
Дальнейшие действия
- Узнайте больше о брандмауэре веб-приложения Azure.
- Узнайте больше о Azure Front Door.