你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure Front Door 上的 Web 应用程序防火墙 (WAF)

Azure Front Door 上的 Azure Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护。 它可防范常见的攻击和漏洞，确保高可用性和合规性。 本文介绍了 Azure Front Door 上的 Azure Web 应用程序防火墙的功能。 有关详细信息，请参阅 Azure Front Door 上的 WAF。

策略设置

使用 Web 应用程序防火墙 (WAF) 策略，可以通过自定义规则和托管规则来控制对 Web 应用程序的访问。 你可以调整策略状态或配置其模式。 根据具体设置，可以检查传入的请求、监视这些请求，或针对与规则匹配的请求采取措施。 还可以将 WAF 设置为仅检测威胁而不阻止威胁，这在首次启用 WAF 时非常有用。 评估其影响后，可以将 WAF 重新配置为预防模式。 有关详细信息，请参阅 WAF 策略设置。

托管规则

Azure Front Door WAF 可保护 Web 应用程序免受常见漏洞和攻击的影响。 Azure 托管规则集提供了防御常见安全威胁的易用部署。 Azure 会更新这些规则，以防御新的攻击特征。 默认规则集包括 Microsoft 威胁情报收集规则，可提供更高的覆盖范围、特定的漏洞修补程序并进一步减少误报。 有关详细信息，请参阅 WAF 托管规则。

注意

• 仅 Azure Front Door 高级版和 Azure Front Door（经典版）支持托管规则。
• Azure Front Door（经典版）仅支持 DRS 1.1 或更低版本。

自定义规则

通过 Front Door 的 Azure Web 应用程序防火墙 (WAF)，可以根据定义的条件来控制对 Web 应用程序的访问。 自定义 WAF 规则包括优先级编号、规则类型、匹配条件和操作。 自定义规则有两种类型：匹配规则和速率限制规则。 匹配规则将基于特定条件来控制访问，而速率限制规则将根据条件和传入请求的速率来控制访问。 有关详细信息，请参阅 WAF 自定义规则。

排除列表

Azure Web 应用程序防火墙 (WAF) 有时可能会阻止你希望允许的请求。 通过 WAF 排除列表，可以省略 WAF 评估中的某些请求属性，从而允许正常处理请求的其余属性。 有关详细信息，请参阅 WAF 排除列表。

地区筛选

默认情况下，Azure Front Door 会响应所有用户请求，而不管用户位于何处。 通过地区筛选，可以按国家/地区限制对 Web 应用程序的访问。 有关详细信息，请参阅 WAF 地区筛选。

机器人防护

Front Door 的 Azure Web 应用程序防火墙 (WAF) 包括机器人防护规则，用于识别和允许善意的机器人，同时阻止恶意的机器人。 有关详细信息，请参阅配置机器人保护。

IP 限制

借助 Azure WAF 中的 IP 限制规则，你可以通过指定允许或阻止的 IP 地址或 IP 地址范围来控制对 Web 应用程序的访问。 有关详细信息，请参阅配置 IP 限制。

速率限制

Azure WAF 中的速率限制规则将基于匹配条件和传入请求的速率来控制访问。 有关详细信息，请参阅什么是 Azure Front Door 服务的速率限制？。

优化

Azure WAF 的默认规则集以 OWASP 核心规则集 (CRS) 为基础，并且包括 Microsoft 威胁情报收集规则。 你可以通过定义规则排除、创建自定义规则和禁用规则来优化 WAF 规则，从而满足应用程序的特定需求。 有关详细信息，请参阅 WAF 优化。

监视和日志记录

Azure WAF 通过与 Azure Monitor 和 Azure Monitor 日志集成提供了监视和日志记录功能。 有关详细信息，请参阅 Azure Web 应用程序防火墙 (WAF) 日志记录和监视。

后续步骤

• 了解如何创建 Web 应用程序防火墙策略并应用于 Azure Front Door。
• 有关详细信息，请参阅 Web 应用程序防火墙 (WAF) 常见问题解答。