Forum aux questions concernant le pare-feu d’applications web Azure sur Application Gateway

Le pare-feu d’applications web Azure est un pare-feu d’applications web (WAF) qui permet de protéger vos applications web contre les menaces courantes telles que l’injection SQL, les scripts intersites et d’autres attaques web. Vous pouvez définir une stratégie WAF qui se compose d’une combinaison de règles personnalisées et gérées pour contrôler l’accès à vos applications web.

Vous pouvez appliquer une stratégie WAF aux applications web hébergées sur Azure Application Gateway ou Azure Front Door.

Le niveau WAF d’Application Gateway prend en charge toutes les fonctionnalités disponibles dans le niveau Standard.

Surveillez le pare-feu d’applications web via la journalisation des diagnostics. Pour plus d’informations, consultez journaux de diagnostic pour Application Gateway.

Non. Le mode de détection journalise uniquement le trafic qui déclenche une règle de pare-feu d’applications web.

Oui. Pour plus d’informations, consultez Personnaliser les règles WAF.

Le WAF prend actuellement en charge l’ensemble de règles par défaut (DRS) 2.1, l’ensemble de règles de base (CRS) 3.2 et la version 3.1. Ces règles constituent un rempart contre la plupart des 10 principales vulnérabilités identifiées par l’OWASP (Open Web Application Security Project) :

• Protection contre l’injection SQL
• Protection contre les scripts intersites
• Protection contre les attaques web courantes telles que l’injection de commandes, la contrebande de requêtes HTTP, le fractionnement de réponse HTTP et l’inclusion de fichiers distants
• Protection contre les violations de protocole HTTP
• Protection contre les anomalies de protocole HTTP telles que les en-têtes Host, User-Agent et Accept manquants
• Protection contre les robots, les crawlers et les scanneurs
• Détection de configurations incorrectes d’application courantes (par exemple, Apache et IIS)

Pour plus d’informations, consultez les 10 principales vulnérabilités OWASP.

CRS 2.2.9 et 3.0 ne sont plus pris en charge pour les nouvelles stratégies WAF. Nous vous recommandons de procéder à la mise à niveau vers la dernière version de DRS. Vous ne pouvez pas utiliser CRS 2.2.9 avec CRS 3.2/DRS 2.1 et versions ultérieures.

Le WAF Application Gateway prend en charge les types de contenu suivants pour les règles managées :

• application/json
• application/xml
• application/x-www-form-urlencoded
• multipart/form-data

Pour les règles personnalisées :

• application/x-www-form-urlencoded
• application/soap+xml application/xml text/xml
• application/json
• multipart/form-data

Oui. Vous pouvez activer la protection par déni de service distribué (DDoS) sur le réseau virtuel sur lequel la passerelle d’application est déployée. Ce paramètre garantit que le service Azure DDoS Protection aide également à protéger l’adresse IP virtuelle de la passerelle d’application.

Non, le WAF ne stocke pas les données client.

Azure Application Gateway prend en charge WebSocket en mode natif. WebSocket sur le WAF Application Gateway ne nécessite aucune configuration supplémentaire pour fonctionner. Toutefois, le WAF n’inspecte pas le trafic WebSocket. Après la négociation initiale entre le client et le serveur, l’échange de données entre le client et le serveur peut être de n’importe quel format (par exemple, binaire ou chiffré). Par conséquent, le WAF ne peut pas toujours analyser les données. Il agit simplement comme un proxy pass-through pour les données.

Pour plus d’informations, consultez Vue d’ensemble de la prise en charge de WebSocket dans Application Gateway.

Oui, les clouds en air gap sont pris en charge. Toutefois, les règles personnalisées de filtrage géographique, les ensembles de règles de protection contre les bots et les règles personnalisées de limitation de débit ne sont pas pris en charge sur les clouds isolés.

Contenu connexe

• Qu’est-ce que le pare-feu d’applications web Azure ?
• Qu’est-ce qu’Azure Front Door ?