关于 Azure 应用网关上的 Web 应用防火墙的常见问题

Azure Web Application Firewall是一种web application firewall（WAF），可帮助保护 Web 应用程序免受 SQL 注入、跨站点脚本和其他 Web 攻击等常见威胁。 可以定义由自定义规则和托管规则组合而成的 WAF 策略，以控制对您的 Web 应用程序的访问权限。

可以将 WAF 策略应用于托管在Azure Application Gateway或Azure Front Door上的 Web 应用程序。

Application Gateway的 WAF 层支持标准层中提供的所有功能。

通过诊断日志记录监视 WAF。 有关详细信息，请参阅 Application Gateway 的Diagnostic 日志。

否。 检测模式仅记录触发了 WAF 规则的流量。

是的。 有关详细信息，请参阅 自定义 WAF 规则。

WAF 的最新推荐规则集版本是默认规则集 （DRS） 2.2。 除了针对 Open Web Application Security Project（OWASP）识别的大多数前 10 个漏洞的基线安全性之外，DRS 2.2 还包括由Microsoft威胁智能团队开发的附加专有保护规则，这些规则扩展了 SQL 注入、XSS 和应用程序安全攻击模式的覆盖范围：

• 防范 SQL 注入
• 跨站脚本攻击防护
• 防范常见 Web 攻击，例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含
• 防止 HTTP 协议违反行为
• 防范 HTTP 协议异常，例如缺失 Host、User-Agent 和 Accept 标头
• 防止自动程序、爬网程序和扫描程序
• 检测常见的应用程序配置错误（例如 Apache 和 IIS）

有关详细信息，请参阅 OWASP 前 10 个漏洞。

可以在[此处]找到有关旧规则集版本和 WAF 的托管规则集支持策略的详细信息。（ruleset-support-policy）

Application Gateway WAF 支持托管规则的以下内容类型：

• application/json
• application/xml
• application/x-www-form-urlencoded
• multipart/form-data

对于自定义规则：

• application/x-www-form-urlencoded
• application/soap+xml、application/xml、text/xml
• application/json
• multipart/form-data

是的。 可以在部署应用程序网关的虚拟网络上启用分布式拒绝服务（DDoS）保护。 此设置可确保Azure DDoS Protection服务还有助于保护application gateway的虚拟 IP（VIP）。

否，WAF 不会存储客户数据。

Azure Application Gateway原生支持 WebSocket。 Application Gateway WAF 上的 WebSocket 不需要任何额外的配置才能正常工作。 但是，WAF 不会检查 WebSocket 流量。 在客户端和服务器完成初始握手后，客户端和服务器之间的数据交换可以采用任何格式（例如，二进制或加密）。 因此 WAF 不能总是解析数据。 它只是充当数据的直通代理。

有关详细信息，请参阅 应用程序网关中的 WebSocket 支持概述。

是的，支持空隙云。 但是，隔离云不支持地理位置筛选自定义规则、机器人防护规则集和速率限制的自定义规则。

如果运行的是Application Gateway的 WAF SKU，则无法禁用请求缓冲。 WAF 要求完整请求作为处理的一部分进行缓冲，因此，即使禁用Application Gateway WAF 内的请求缓冲仍会缓冲请求。 响应缓冲不受 WAF 影响。

相关内容

• 什么是Azure Web Application Firewall？
• 什么是Azure Front Door？