Partilhar via

Perguntas frequentes sobre o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo

Este artigo responde a perguntas comuns sobre o Azure Web Application Firewall (WAF) em recursos e funcionalidades do Application Gateway.

O que é o Azure WAF?

O WAF do Azure é um firewall de aplicativo Web que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, scripts entre sites e outras explorações da Web. Você pode definir uma política WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.

Uma política WAF do Azure pode ser aplicada a aplicativos Web hospedados no Application Gateway ou no Azure Front Door.

Quais recursos o WAF SKU suporta?

O WAF SKU suporta todos os recursos disponíveis no SKU padrão.

Como faço para monitorar o WAF?

Monitore o WAF através do registro em log de diagnóstico. Para obter mais informações, consulte Log de diagnóstico e métricas para o Application Gateway.

O modo de deteção bloqueia o tráfego?

Não. O modo de deteção registra apenas o tráfego que aciona uma regra WAF.

Posso personalizar as regras do WAF?

Sim. Para obter mais informações, consulte Personalizar grupos de regras e regras do WAF.

Que regras estão atualmente disponíveis para o WAF?

Atualmente, o WAF suporta CRS 3.2, 3.1 e 3.0. Essas regras fornecem segurança de linha de base contra a maioria das 10 principais vulnerabilidades identificadas pelo Open Web Application Security Project (OWASP):

  • Proteção contra injeção de SQL
  • Proteção de scripts entre sites
  • Proteção contra ataques comuns da Web, como injeção de comando, contrabando de solicitação HTTP, divisão de resposta HTTP e ataque de inclusão remota de arquivos
  • Proteção contra violações de protocolo HTTP
  • Proteção contra anomalias do protocolo HTTP, como host ausente, agente do usuário e cabeçalhos de aceitação
  • Prevenção contra bots, crawlers e scanners
  • Deteção de configurações incorretas comuns de aplicativos (ou seja, Apache, IIS e assim por diante)

Para obter mais informações, consulte As 10 principais vulnerabilidades do OWASP.

O CRS 2.2.9 não é mais suportado para novas políticas WAF. Recomendamos que você atualize para a versão mais recente do CRS. O CRS 2.2.9 não pode ser usado junto com o CRS 3.2/DRS 2.1 e versões superiores.

Que tipos de conteúdo são suportados pelo WAF?

O WAF do Application Gateway suporta os seguintes tipos de conteúdo para regras gerenciadas:

  • Aplicação/JSON
  • Aplicativo/XML
  • aplicação/x-www-form-urlencoded
  • dados de várias partes/formulários

E para regras personalizadas:

  • aplicação/x-www-form-urlencoded
  • application/soap+xml, application/xml, text/xml
  • Aplicação/JSON
  • dados de várias partes/formulários

O WAF suporta proteção contra DDoS?

Sim. Você pode habilitar a proteção contra DDoS na rede virtual onde o gateway de aplicativo está implantado. Essa configuração garante que o serviço de Proteção contra DDoS do Azure também proteja o IP virtual (VIP) do gateway de aplicativo.

O WAF armazena dados de clientes?

Não, o WAF não armazena dados de clientes.

Como o WAF do Azure funciona com WebSockets?

O Gateway de Aplicativo do Azure dá suporte nativo ao WebSocket. O WebSocket no WAF do Azure no Gateway de Aplicativo do Azure não requer nenhuma configuração extra para funcionar. No entanto, o WAF não inspeciona o tráfego WebSocket. Após o handshake inicial entre cliente e servidor, a troca de dados entre cliente e servidor pode ser de qualquer formato, por exemplo, binário ou criptografado. Portanto, o WAF do Azure nem sempre pode analisar os dados, ele apenas atua como um proxy de passagem para os dados.

Para obter mais informações, consulte Visão geral do suporte a WebSocket no Application Gateway.

Próximos passos