In diesem Artikel werden häufig gestellte Fragen zu Features und Funktionen für die Azure Web Application Firewall auf dem Azure-Anwendungsgateway beantwortet.
Was ist die Azure Web Application Firewall?
Azure Web Application Firewall ist eine Webanwendungsfirewall (WAF), die Ihre Webanwendungen vor häufigen Bedrohungen wie SQL-Einfügung, websiteübergreifendes Skripting und anderen Web-Exploits schützt. Sie können eine WAF-Richtlinie definieren, die aus einer Kombination aus benutzerdefinierten und verwalteten Regeln besteht, um den Zugriff auf Ihre Webanwendungen zu steuern.
Sie können eine WAF-Richtlinie auf Webanwendungen anwenden, die auf Azure-Anwendungsgateway oder Azure Front Door gehostet werden.
Welche Features unterstützt die WAF-Produktebene?
Die WAF-Ebene des Anwendungsgateways unterstützt alle Features, die auf der Standardebene verfügbar sind.
Wie kann ich die WAF überwachen?
Überwachen Sie das WAF mittels diagnostischer Protokollierung. Weitere Informationen finden Sie in den Diagnoseprotokollen für das Anwendungsgateway.
Wird Datenverkehr durch den Erkennungsmodus blockiert?
Nein. Der Erkennungsmodus protokolliert nur Datenverkehr, der eine WAF-Regel auslöst.
Kann ich WAF-Regeln anpassen?
Ja. Weitere Informationen finden Sie unter Anpassen von WAF-Regeln.
Welche Regeln sind derzeit für die WAF verfügbar?
Der WAF unterstützt derzeit den Standardregelsatz 2.1, den Kernregelsatz (CRS) 3.2 und 3.1. Diese Regeln bieten grundlegende Sicherheit für die meisten der zehn wichtigsten, von Open Web Application Security Project (OWASP) identifizierten Sicherheitsrisiken:
- Schutz vor SQL-Einfügung
- Schutz vor websiteübergreifendem Skripting
- Schutz vor allgemeinen Webangriffen wie Einfügung von Befehlen, HTTP-Anforderungsschmuggel, Teilen von HTTP-Antworten und Remotedateieinschluss
- Schutz vor Verletzungen des HTTP-Protokolls
- Schutz vor HTTP-Protokollanomalien wie fehlenden
Host,User-AgentundAcceptHeadern - Verhindern von Bots, Crawlern und Scannern
- Erkennung gängiger Anwendungsfehler (z. B. Apache und IIS)
Weitere Informationen finden Sie in den OWASP top 10 Sicherheitsrisiken.
CRS 2.2.9 und 3.0 werden für neue WAF-Richtlinien nicht mehr unterstützt. Es wird empfohlen, ein Upgrade auf die neueste DRS-Version durchzuführen. Sie können CRS 2.2.9 nicht zusammen mit CRS 3.2/DRS 2.1 und höheren Versionen verwenden.
Welche Inhaltstypen unterstützt die WAF?
Das Anwendungsgateway WAF unterstützt die folgenden Inhaltstypen für verwaltete Regeln:
application/jsonapplication/xmlapplication/x-www-form-urlencodedmultipart/form-data
Für benutzerdefinierte Regeln:
application/x-www-form-urlencoded-
application/soap+xml,application/xmltext/xml application/jsonmultipart/form-data
Unterstützt der WAF DDoS-Schutz?
Ja. Sie können den DDoS-Schutz (Distributed Denial-of-Service) im virtuellen Netzwerk aktivieren, in dem das Anwendungsgateway bereitgestellt wird. Diese Einstellung stellt sicher, dass der Azure DDoS Protection-Dienst auch zum Schutz der virtuellen IP (VIP) des Anwendungsgateways beiträgt.
Speichert der WAF Kundendaten?
Nein, die WAF speichert keine Kundendaten.
Wie funktioniert das WAF mit WebSocket?
Azure Application Gateway bietet systemeigene Unterstützung von WebSocket. WebSocket auf dem Anwendungsgateway WAF erfordert keine zusätzliche Konfiguration, um zu funktionieren. Die WAF prüft jedoch nicht den WebSocket-Datenverkehr. Nach dem anfänglichen Handshake zwischen Client und Server kann der Datenaustausch zwischen Client und Server ein beliebiges Format aufweisen (z. B. binär oder verschlüsselt). Daher kann die WAF die Daten nicht immer analysieren. Sie fungiert nur als Pass-Through-Proxy für die Daten.
Weitere Informationen finden Sie unter Übersicht über die WebSocket-Unterstützung in Application Gateway.
Unterstützt die WAF luftgespaltene Wolken?
Ja, luftgespaltene Wolken werden unterstützt. Benutzerdefinierte Regeln für Geofilter, Bot-Schutz-Regelsätze und benutzerdefinierte Regeln zur Ratenbegrenzung werden jedoch für isolierte Clouds nicht unterstützt.