Este artigo responde a perguntas comuns sobre recursos e funcionalidades do Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure.
O que é o Azure Web Application Firewall?
O Azure Web Application Firewall é um firewall de aplicativo Web (WAF) que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, scripts entre sites e outras explorações da Web. Você pode definir uma política WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.
Você pode aplicar uma política WAF a aplicativos Web hospedados no Azure Application Gateway ou no Azure Front Door.
Quais recursos são suportados pela camada de produto WAF?
A camada WAF do Application Gateway suporta todos os recursos disponíveis na camada Standard.
Como faço para monitorar o WAF?
Monitore o WAF através dos registos de diagnóstico. Para obter mais informações, consulte Registos de Diagnóstico do Gateway de Aplicação.
O modo de deteção bloqueia o tráfego?
Não. O modo de deteção registra apenas o tráfego que aciona uma regra WAF.
Posso personalizar as regras do WAF?
Sim. Para obter mais informações, consulte Personalizar regras WAF.
Que regras estão atualmente disponíveis para o WAF?
Atualmente, o WAF suporta DRS (Default Rule set) 2.1, CRS (Core Rule set) 3.2 e 3.1. Essas regras fornecem segurança de linha de base contra a maioria das 10 principais vulnerabilidades identificadas pelo Open Web Application Security Project (OWASP):
- Proteção contra injeção de SQL
- Proteção contra scripts entre sites
- Proteção contra ataques comuns da Web, como injeção de comando, contrabando de solicitação HTTP, divisão de resposta HTTP e inclusão remota de arquivos
- Proteção contra violações de protocolo HTTP
- Proteção contra anomalias do protocolo HTTP, como a ausência de cabeçalhos
Host,User-AgenteAccept. - Prevenção contra bots, crawlers e scanners
- Deteção de configurações incorretas comuns de aplicativos (por exemplo, Apache e IIS)
Para obter mais informações, consulte as 10 principais vulnerabilidades do OWASP.
Os CRS 2.2.9 e 3.0 não são mais suportados para novas políticas WAF. Recomendamos que você atualize para a versão mais recente do DRS. Não é possível usar o CRS 2.2.9 junto com o CRS 3.2/DRS 2.1 e versões posteriores.
Que tipos de conteúdo são suportados pelo WAF?
O WAF do Application Gateway suporta os seguintes tipos de conteúdo para regras gerenciadas:
application/jsonapplication/xmlapplication/x-www-form-urlencodedmultipart/form-data
E para regras personalizadas:
application/x-www-form-urlencoded-
application/soap+xml,application/xml,text/xml application/jsonmultipart/form-data
O WAF suporta proteção contra DDoS?
Sim. Você pode habilitar a proteção distribuída contra negação de serviço (DDoS) na rede virtual onde o gateway de aplicativo está implantado. Essa configuração garante que o serviço Proteção contra DDoS do Azure também ajude a proteger o IP virtual (VIP) do gateway de aplicativo.
O WAF armazena dados de clientes?
Não, o WAF não armazena dados de clientes.
Como o WAF funciona com o WebSocket?
O Gateway de Aplicativo do Azure dá suporte nativo ao WebSocket. WebSocket no WAF do Application Gateway não requer nenhuma configuração extra para funcionar. No entanto, o WAF não inspeciona o tráfego WebSocket. Após o handshake inicial entre cliente e servidor, a troca de dados entre cliente e servidor pode ser de qualquer formato (por exemplo, binário ou criptografado). Portanto, o WAF nem sempre pode analisar os dados. Ele apenas atua como um proxy de passagem para os dados.
Para obter mais informações, consulte Visão geral do suporte a WebSocket no Application Gateway.
O WAF suporta nuvens isoladas?
Sim, são suportadas nuvens com ar comprimido. No entanto, regras personalizadas de filtragem geográfica, conjuntos de regras de proteção de bot e regras personalizadas de limitação de taxa não são suportadas em nuvens com ar comprimido.