Azure 应用程序网关上的 WAF 引擎

Azure Web 应用程序防火墙 (WAF) 引擎是检查流量并确定请求是否包含表示潜在攻击的签名并根据配置采取相应操作的组件。

下一代 WAF 引擎

新的 WAF 引擎是高性能、可缩放的 Microsoft 专有引擎，与以前的 WAF 引擎相比有显著改进。

与 CRS 3.2 一起发布的新引擎提供以下优势：

• 提高了性能：WAF 延迟显著改进，包括 P99 POST 和 GET 延迟。 我们观察到 P99 尾部延迟显著减少，处理 POST 请求最高减少约 8 倍，处理 GET 请求最高减少约 4 倍。
• 增加了规模：使用相同计算能力，每秒请求数 (RPS) 更高，并且能够处理更大的请求大小。 我们的下一代引擎可以使用相同的计算能力将 RPS 扩展到八倍以上，并且能够处理大 16 倍的请求大小（最高 2 MB 的请求大小），这是前一代引擎不可能做到的。
• 更好的保护：重新设计的新引擎具有高效的正则表达式处理能力，可以更好地抵御正则表达式拒绝服务 (DOS) 攻击，同时保持一致的延迟体验。
• 更丰富的功能集：新功能和将来的增强功能仅通过新引擎提供。

支持新功能

许多新功能仅在 Azure WAF 引擎中受支持。 具体功能包括：

• CRS 3.2
  • 将请求正文大小限制提高到 2 MB
  • 将文件上传限制提高到 4 GB
• WAF v2 指标
• 按规则排除项并支持按名称的排除属性。
• 增加的规模限制
  • HTTP 侦听器限制
  • 每个匹配条件的 WAF IP 地址范围
  • 排除项限制
• 可以单独启用/禁用每个字段的检查限制和最大大小强制实施，并且可以单独设置每个字段的值

新的 WAF 功能将仅在新 WAF 引擎上更高版本的 CRS 中发布。

自定义规则的请求日志记录

当自定义规则将操作类型定义为“日志”时，前一代引擎和新的 WAF 引擎日志请求的方式有所不同。

WAF 在防护模式下运行时，即使自定义规则允许请求通过，以前的引擎仍将请求的操作类型记录为“已阻止”。 在检测模式下，以前的引擎会将相同请求的操作类型记录为“检测到”。

相比之下，无论 WAF 是在防护模式还是检测模式下运行，新的 WAF 引擎都将请求操作类型记录为“日志”。

后续步骤

详细了解 WAF 托管规则。