應用程式閘道上 Azure Web 應用程式防火牆的常見問題集

Azure WAF 是一種 Web 應用程式防火牆，可協助保護您的 Web 應用程式免於遭受常見的威脅，例如 SQL 插入式攻擊、跨網站指令碼和其他 web 惡意探索。 您可以定義由自訂和受控規則組合所組成的 WAF 原則，以控制對 Web 應用程式的存取。

Azure WAF 原則可以套用至裝載于 應用程式閘道 或 Azure Front Door 上的 Web 應用程式。

WAF SKU 支援標準 SKU 中的所有可用功能。

透過診斷記錄來監視 WAF。 如需詳細資訊，請參閱應用程式閘道的診斷記錄和計量。

否。 偵測模式只會記錄觸發 WAF 規則的流量。

是。 如需詳細資訊，請參閱自訂 WAF 規則群組與規則。

WAF 目前支援 CRS 3.2、3.1 和 3.0。 這些規則會針對 Open Web Application Security Project (OWASP) 識別的多數前 10 大弱點，提供基準安全性：

• SQL 插入式攻擊保護
• 跨網站指令碼保護
• 抵禦常見 Web 攻擊，例如命令插入、HTTP 要求走私、HTTP 回應分割和遠端檔案包含攻擊
• 防範 HTTP 通訊協定違規
• 防範 HTTP 通訊協定異常行為，例如遺漏主機使用者代理程式和接受標頭
• 防範 Bot、編目程式和掃描器
• 偵測一般應用程式錯誤設定 (即 Apache、IIS 等)

如需詳細資訊，請參閱 OWASP 前 10 大弱點 (英文)。

新的 WAF 原則已不再支援 CRS 2.2.9。 建議您升級至最新 CRS 版本。 CRS 2.2.9 無法與 CRS 3.2/DRS 2.1 和更新版本搭配使用。

應用程式閘道 WAF 針對受控規則支援下列內容類型：

• application/json
• 應用程式/xml
• application/x-www-form-urlencoded
• multipart/form-data

而針對自訂規則則支援：

• application/x-www-form-urlencoded
• application/soap+xml、application/xml 和 text/xml
• application/json
• multipart/form-data

是。 您可以在部署應用程式閘道的虛擬網路上啟用 DDoS 保護。 此設定可確保 Azure DDoS 保護服務也會保護應用程式閘道虛擬 IP (VIP)。

WAF 是否會儲存客戶資料？

否，WAF 不會儲存客戶資料。

Azure 應用程式閘道原生支援 WebSocket。 Azure 應用程式閘道上的 Azure WAF 上的 WebSocket 不需要任何額外的設定才能運作。 不過，WAF 不會檢查 WebSocket 流量。 在用戶端與伺服器之間初始交握之後，用戶端與伺服器之間的資料交換可以是任何格式，例如二進位或加密。 因此，Azure WAF 不一定可以剖析資料，它只會作為資料的傳遞 Proxy。

如需詳細資訊，請參閱應用程式閘道中的 WebSocket 支援概觀。

後續步驟

• 了解 Azure Web 應用程式防火牆。
• 深入了解 Azure Front Door。