Azure安全系列（3）ApplicationGateway中的Web应用防火墙

Web 应用程序防火墙 ( Web Application Firewall， 通常简称 WAF）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

Azure Application Gateway 中有 WAF功能，关于Application Gateway的内容，请参见《Azure Application Gateway-专为web设计的7层负载均衡（应用程序网关）》

Azure Application Gateway 中的WAF有何功能？

• SQL 注入保护。
• 跨站点脚本保护。
• 其他常见 Web 攻击防护，例如命令注入、HTTP 请求走私、HTTP 响应拆分和远程文件包含。
• 防止 HTTP 协议违反行为。
• 防止 HTTP 协议异常行为（例如缺少主机用户代理和接受标头）。
• 防范爬网程序和扫描程序。
• 检测常见应用程序错误配置（例如 Apache 和 IIS 等）。
• 具有下限和上限的可配置请求大小限制。
• 排除列表允许你忽略 WAF 评估中的某些请求属性。 常见示例是 Active Directory 插入的令牌，这些令牌用于身份验证或密码字段。
• 根据应用程序的具体需求创建自定义规则。

如何配置使用Azure Application Gateway中的 WAF功能？

使用Application Gateway中的web防火墙， WAF 会自动更新以包含针对新漏洞的保护，而无需其他配置。

Azure Application Gateway的规则有哪些？

应用程序网关上的 WAF 基于开放 Web 应用程序安全项目 (OWASP) 中的核心规则集 (CRS) 3.1、3.0 或 2.2.9， 也可以创建自定义策略。

Azure Application Gateway 中的WAF有何优势？

保护

• 无需修改后端代码即可保护 Web 应用程序免受 Web 漏洞和攻击的威胁。
• 同时保护多个 Web 应用程序。 应用程序网关的实例最多可以托管 40 个受 Web 应用程序防火墙保护的网站。
• 为同一 WAF 后面的不同站点创建自定义 WAF 策略

监视

• 使用实时 WAF 日志监视 Web 应用程序受到的攻击。 此日志与 Azure Monitor 相集成，让你可以跟踪 WAF 警报并轻松监视趋势。
• 应用程序网关 WAF 已与 Azure 安全中心集成。 安全中心可集中查看所有 Azure 资源的安全状态。

自定义规则

• 根据应用程序的要求自定义 WAF 规则和规则组，并消除误报。
• 为 WAF 后面的每个站点关联 WAF 策略，以允许进行特定于站点的配置
• 根据应用程序的需求创建自定义规则