Изменить

Часто задаваемые вопросы о брандмауэре веб-приложения Azure в Шлюзе приложений

  • Вопросы и ответы

В этой статье содержатся ответы на часто задаваемые вопросы о Брандмауэре веб-приложения Azure (WAF) и о возможностях и функциональности Шлюза приложений.

Что такое Azure WAF?

Azure WAF — это брандмауэр веб-приложения, который помогает защитить веб-приложения от распространенных угроз, таких как внедрение кода SQL, межсайтовые сценарии и другие веб-атаки. Вы можете определить политику WAF, состоящую из сочетания настраиваемых и управляемых правил для управления доступом к веб-приложениям.

Политику Azure WAF можно применять к веб-приложениям, размещенным в Шлюз приложений или Azure Front Door.

Какие функции поддерживает SKU WAF?

SKU WAF поддерживает все функции, доступные в SKU ценовой категории "Стандартный".

Как выполнять мониторинг WAF?

Мониторинг WAF с помощью ведения журнала диагностики. Дополнительную информацию см. в статье Ведение журнала диагностики и метрики для шлюза приложений.

Блокируется ли трафик в режиме обнаружения?

Нет. Режим обнаружения только регистрирует трафик, активирующий правило WAF.

Могу ли я настроить правила WAF?

Да. Дополнительные сведения см. в разделе Настройка группы правил и правил WAF.

Какие правила на сегодняшний день доступны в WAF?

В настоящее время WAF поддерживает CRS 3.2, 3.1и 3.0. Эти правила обеспечивают базовый уровень защиты от 10 главных уязвимостей, определенных в открытом проекте безопасности веб-приложений (OWASP):

  • Защита от внедрения кода SQL.
  • Защита от межсайтовых сценариев
  • Защита от распространенных сетевых атак, в том числе от внедрения команд, несанкционированных HTTP-запросов, разделения HTTP-запросов и включения удаленного файла
  • Защита от нарушений протокола HTTP.
  • Защита от аномалий протокола HTTP, например отсутствия агента пользователя узла и заголовков accept.
  • Защита от программ-роботов, программ-обходчиков и сканеров.
  • Обнаружение распространенных неправильных конфигураций приложений (Apache, IIS и т. д.).

Дополнительные сведения см. в статье 10 главных уязвимостей по версии OWASP.

CRS 2.2.9 больше не поддерживается для новых политик WAF. Рекомендуем перейти на последнюю версию CRS. CRS 2.2.9 нельзя использовать вместе с CRS 3.2/DRS 2.1 и более поздними версиями.

Какие типы содержимого поддерживает WAF?

WAF Шлюза приложений поддерживают следующие типы содержимого для управляемых правил:

  • приложение/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

Для настраиваемых правил:

  • application/x-www-form-urlencoded
  • application/soap+xml, application/xml, text/xml
  • приложение/json
  • multipart/form-data

Поддерживает ли WAF защиту от атак DDoS?

Да. Вы можете включить защиту от атак DDos в виртуальной сети, где развертывается шлюз приложений. Эта настройка гарантирует, что служба Защиты от атак DDoS также защищает виртуальный IP-адрес шлюза приложений.

Хранит ли WAF данные клиента?

Нет, WAF не хранит данные клиентов.

Как AZURE WAF работает с WebSockets?

Шлюз приложений Azure изначально поддерживает WebSocket. Для работы WebSocket в Azure WAF на Шлюз приложений Azure не требуется дополнительная настройка. Однако WAF не проверяет трафик WebSocket. После первоначального подтверждения между клиентом и сервером обмен данными между клиентом и сервером может иметь любой формат, например, двоичный или зашифрованный. Поэтому Azure WAF не всегда может анализировать данные, он просто выступает в качестве сквозного прокси-сервера для данных.

Дополнительные сведения см. в разделе Обзор поддержки WebSocket в Шлюзе приложений.

Дальнейшие действия