Azure Application Gateway の WAF エンジン

Azure Web Application Firewall (WAF) エンジンは、トラフィックを検査して要求に潜在的な攻撃を表す特徴が含まれているかどうかを判断し、構成に応じて適切なアクションを実行するコンポーネントです。

次世代の WAF エンジン

新しい WAF エンジンは、高パフォーマンスでスケーラブルな Microsoft 独自のエンジンであり、以前の WAF エンジンよりも大幅に改善されています。

CRS 3.2 でリリースされた新しいエンジンには、次の利点があります。

• パフォーマンスの向上: POST や GET の P99 待機時間など、WAF 待機時間の大幅な改善。 POST 要求の処理が最大で約 8 分の 1、GET 要求の処理が約 4 分の 1 に減少し、P99 テイル レイテンシーが大幅に減少しました。
• スケールの拡大: 1 秒あたりの要求数 (RPS) が高くなり、同じコンピューティング能力でより大きな要求サイズを処理する機能を備えました。 次世代エンジンは、同じコンピューティング能力を使用して最大 8 倍の RPS にスケールアップすることができ、以前のエンジンでは実現できなかった 16 倍大きな要求サイズ (最大 2 MB の要求サイズ) を処理する能力を備えています。
• 保護の強化: 再設計された新しいエンジンには、効率的な正規表現処理が備わっており、一貫した待機時間エクスペリエンスを維持しながら、RegEx サービス拒否 (DOS) 攻撃に対する保護が強化されます。
• 豊富な機能セット: 新機能と今後の機能強化は、新しいエンジンでのみ使用できます。

新機能のサポート

Azure WAF エンジンでのみサポートされる多くの新機能があります。 機能は、次のとおりです。

• CRS 3.2
  • 要求本文のサイズ制限が 2 MB に増加
  • ファイルのアップロード制限が 4 GB に増加
• WAF v2 メトリック
• ルールごとの除外と名前による属性の除外のサポート。
• スケール制限の増加
  • HTTP リスナーの制限
  • 一致条件あたりの WAF の IP アドレス範囲数
  • 除外の制限
• レート制限のカスタム ルール
• [検査の制限] と [最大サイズの適用] は相互に独立してオンまたはオフにすることができ、各フィールドの値を個別に設定可能

新しい WAF 機能は、新しい WAF エンジンの新しいバージョンの CRS でのみリリースされます。

カスタム ルールのログ記録を要求する

カスタム ルールでアクションの種類がログとして定義されている場合、前のエンジンと新しい WAF エンジンのログ要求には違いがあります。

前のエンジンは、WAF が防止モードで実行されている場合、要求がカスタム規則によって許可されていても、要求のアクションの種類をブロックとして記録します。 前のエンジンは、検出モードでは、同じ要求のアクションの種類を検出済みとして記録します。

これに対し、新しい WAF エンジンは、WAF が防止モードまたは検出モードで実行されているかどうかに関係なく、要求アクションの種類をログとして記録します。

次のステップ

WAF のマネージド ルールについて理解を深めます。