本文提供有关应用程序网关上的 Azure Web 应用程序防火墙 (WAF) 特性和功能的常见问题的解答。
什么是 Azure WAF?
Azure WAF 是一个 Web 应用程序防火墙,可帮助保护 Web 应用程序免受常见威胁,例如 SQL 注入、跨站点脚本和其他 Web 攻击。 可以定义包含自定义和托管规则组合的 WAF 策略,以控制对 Web 应用程序的访问。
可以将 Azure WAF 策略应用于托管在应用程序网关或 Azure Front Door 上的 Web 应用程序。
WAF SKU 支持哪些功能?
WAF SKU 支持标准 SKU 中提供的所有功能。
如何监视 WAF?
通过诊断日志记录监视 WAF。 有关详细信息,请参阅应用程序网关的诊断日志记录和度量值。
检测模式是否会阻止流量?
不是。 检测模式仅记录触发了 WAF 规则的流量。
我可以自定义 WAF 规则吗?
是的。 有关详细信息,请参阅自定义 WAF 规则组和规则。
WAF 目前支持哪些规则?
WAF 目前支持 CRS 3.2、3.1 和 3.0。 这些规则针对开放 Web 应用程序安全项目 (OWASP) 确定的前 10 个漏洞中的大多数提供了基线安全性:
- SQL 注入保护
- 跨站点脚本保护
- 常见 Web 攻击防护,例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含攻击
- 防止 HTTP 协议违反行为
- 防止 HTTP 协议异常行为,例如缺少主机用户代理和接受标头
- 防止自动程序、爬网程序和扫描程序
- 检测常见应用程序错误配置(即 Apache、IIS 等)
有关详细信息,请参阅 OWASP 前十大漏洞。
新的 WAF 策略不再支持 CRS 2.2.9。 我们建议升级到最新的 CRS 版本。 CRS 2.2.9 不能与 CRS 3.2/DRS 2.1 及更高版本一起使用。
WAF 支持哪些内容类型?
应用程序网关 WAF 支持托管规则的以下内容类型:
- application/json
- application/xml
- application/x-www-form-urlencoded
- multipart/form-data
对于自定义规则:
- application/x-www-form-urlencoded
- application/soap+xml, application/xml, text/xml
- application/json
- multipart/form-data
WAF 是否支持 DDoS 防护?
是的。 可以在部署应用程序网关的虚拟网络上启用 DDos 防护。 此设置可确保 Azure DDos 防护服务还保护应用程序网关虚拟 IP (VIP)。
WAF 是否存储客户数据?
否,WAF 不存储客户数据。
Azure WAF 如何使用 WebSocket?
Azure 应用程序网关本机支持 WebSocket。 Azure 应用程序网关上 Azure WAF 上的 WebSocket 不需要任何其他配置也能正常工作。 但是,WAF 不会检查 WebSocket 流量。 在客户端和服务器之间初次握手后,客户端和服务器之间的数据交换可以是任何格式,例如二进制或加密格式。 因此,Azure WAF 无法一直分析数据,它仅充当数据的直通代理。
有关详细信息,请参阅应用程序网关中的 WebSocket 支持概述。
后续步骤
- 了解 Azure Web 应用程序防火墙。
- 了解 Azure Front Door。