Często zadawane pytania dotyczące usługi Azure Web Application Firewall w Application Gateway

Zapora aplikacji internetowej platformy Azure to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe przed typowymi zagrożeniami, takimi jak wstrzyknięcie kodu SQL, wykonywanie skryptów między witrynami i inne luki w zabezpieczeniach sieci Web. Można zdefiniować zasady zapory aplikacji internetowej składające się z kombinacji niestandardowych i zarządzanych reguł w celu kontrolowania dostępu do aplikacji internetowych.

Zasady zapory aplikacji internetowej platformy Azure można stosować do aplikacji internetowych hostowanych w usłudze Application Gateway lub Azure Front Door.

Jednostka SKU zapory aplikacji internetowej obsługuje wszystkie funkcje dostępne w jednostce SKU w warstwie Standardowa.

Monitorowanie zapory aplikacji internetowej za pomocą rejestrowania diagnostycznego. Aby uzyskać więcej informacji, zobacz Rejestrowanie diagnostyczne i metryki dla Application Gateway.

Nie. Tryb wykrywania rejestruje tylko ruch, który wyzwala regułę zapory aplikacji internetowej.

Tak. Aby uzyskać więcej informacji, zobacz Dostosowywanie grup reguł i reguł zapory aplikacji internetowej.

Zapora aplikacji internetowej obsługuje obecnie systemy CRS 3.2, 3.1 i 3.0. Te reguły zapewniają zabezpieczenia punktu odniesienia dla większości 10 najważniejszych luk w zabezpieczeniach, które identyfikuje projekt OWASP (Open Web Application Security Project):

• Ochrona przed atakami polegającymi na iniekcji SQL
• Ochrona skryptów między witrynami
• Ochrona przed typowymi atakami internetowymi, takimi jak iniekcja poleceń, przemyt żądań HTTP, dzielenie odpowiedzi HTTP i atak zdalnego dołączania plików
• Ochrona przed naruszeniami protokołu HTTP
• Ochrona przed nieprawidłowościami protokołu HTTP, takimi jak brakujące powiązania agenta i użytkownika hosta oraz akceptowanie nagłówków
• Zapobieganie atakom z użyciem robotów, przeszukiwarek i skanerów
• Wykrywanie typowych błędów konfiguracji aplikacji (czyli Apache, IIS itd.)

Aby uzyskać więcej informacji, zobacz OWASP top 10 vulnerabilities (OWASP top 10 vulnerabilities).

System CRS 2.2.9 nie jest już obsługiwany w przypadku nowych zasad zapory aplikacji internetowej. Zalecamy uaktualnienie do najnowszej wersji crS. Nie można używać crS 2.2.9 wraz z CRS 3.2/DRS 2.1 i nowszymi wersjami.

Application Gateway zapora aplikacji internetowej obsługuje następujące typy zawartości dla reguł zarządzanych:

• application/json
• aplikacja/xml
• application/x-www-form-urlencoded
• multipart/form-data

Dla reguł niestandardowych:

• application/x-www-form-urlencoded
• application/soap+xml, application/xml, text/xml
• application/json
• multipart/form-data

Tak. Ochronę przed atakami DDoS można włączyć w sieci wirtualnej, w której wdrożono bramę aplikacji. To ustawienie zapewnia, że usługa Azure DDoS Protection chroni również wirtualny adres IP (VIP) bramy aplikacji.

Czy zapora aplikacji internetowej przechowuje dane klientów?

Nie, zapora aplikacji internetowej nie przechowuje danych klientów.

Azure Application Gateway natywnie obsługuje protokół WebSocket. Funkcja WebSocket w zaporze aplikacji internetowej platformy Azure na Azure Application Gateway nie wymaga dodatkowej konfiguracji. Jednak zapora aplikacji internetowej nie sprawdza ruchu protokołu WebSocket. Po początkowym uzgadnianiu między klientem a serwerem wymiana danych między klientem a serwerem może mieć dowolny format, na przykład binarny lub zaszyfrowany. Dlatego zapora aplikacji internetowej platformy Azure nie zawsze może analizować dane, działa ona tylko jako serwer proxy przekazywania danych.

Aby uzyskać więcej informacji, zobacz Omówienie obsługi protokołu WebSocket w Application Gateway.

Następne kroki

• Dowiedz się więcej o usłudze Azure Web Application Firewall.
• Dowiedz się więcej o usłudze Azure Front Door.