この記事では、Application Gateway の Azure Web Application Firewall (WAF) 機能に関する一般的な質問に回答します。
Azure WAF とは何ですか?
Azure WAF は Web アプリケーション ファイアウォールです。SQL インジェクション、クロスサイト スクリプティング、その他の Web エクスプロイトなどの一般的な脅威から Web アプリケーションを保護するのに役立ちます。 Web アプリケーションへのアクセスを制御するために、カスタム ルールとマネージド ルールの組み合わせからなる WAF ポリシーを定義できます。
Azure WAF ポリシーは、Application Gateway または Azure Front Door でホストされている Web アプリケーションに適用できます。
WAF SKU はどのような機能でサポートされていますか。
WAF SKU では、Standard SKU で利用可能なすべての機能がサポートされています。
WAF を監視するにはどうすればよいですか?
WAF の監視には、診断ログを使用します。 詳細については、Application Gateway の診断ログとメトリックに関するページを参照してください。
検出モードではトラフィックがブロックされますか?
いいえ。 検出モードでは、WAF 規則をトリガーするトラフィックをログに記録するにとどまります。
WAF ルールはカスタマイズできますか?
はい。 詳細については、WAF 規則グループと規則のカスタマイズに関するページを参照してください。
WAF で現在利用できるのはどのような規則ですか?
WAF で現在サポートされているのは、CRS 3.2、3.1、3.0 です。 これらのルールは、Open Web Application Security Project (OWASP) が特定した 10 の脆弱性のほとんどに対するベースライン セキュリティを提供するものです。
- SQL インジェクションからの保護
- クロスサイト スクリプティングに対する保護
- 一般的な Web 攻撃 (コマンド インジェクション、HTTP 要求スマグリング、HTTP 応答スプリッティング、リモート ファイル インクルード攻撃など) に対する保護
- HTTP プロトコル違反に対する保護
- HTTP プロトコル異常に対する保護 (ホスト ユーザー エージェントと承認ヘッダーが見つからない場合など)
- ボット、クローラー、スキャナーの防止
- アプリケーションのよくある構成ミスの検出 (Apache、IIS など)
詳細については、OWASP の 10 の脆弱性に関するページを参照してください。
新しい WAF ポリシーでは、CRS 2.2.9 はサポートされなくなりました。 CRS を最新バージョンにアップグレードすることをお勧めします。 CRS 2.2.9 を CRS 3.2/DRS 2.1 以降のバージョンと共に使用することはできません。
WAF はどのようなコンテンツ タイプをサポートしていますか。
Application Gateway WAF は、次のコンテンツ タイプをサポートしています (マネージド ルールの場合)。
- application/json
- application/xml
- application/x-www-form-urlencoded
- multipart/form-data
カスタム ルールの場合:
- application/x-www-form-urlencoded
- application/soap+xml、application/xml、text/xml
- application/json
- multipart/form-data
WAF は DDoS 保護をサポートしていますか?
はい。 アプリケーション ゲートウェイをデプロイしてある仮想ネットワーク上で、DDos 保護を有効にすることができます。 この設定によって、アプリケーション ゲートウェイの仮想 IP (VIP) も Azure DDoS Protection サービスによる保護の対象になります。
WAF は顧客データを格納しますか?
いいえ、WAF は顧客データを格納しません。
Azure WAF は WebSocket でどのように機能しますか?
Azure Application Gateway は WebSocket をネイティブにサポートしています。 Azure Application Gateway 上の Azure WAF 上にある WebSocket では、追加の構成を機能させる必要はありません。 ただし、WAF は WebSocket トラフィックを検査しません。 クライアントとサーバーの間の最初のハンドシェイクの後、クライアントとサーバー間のデータ交換は、バイナリや暗号化など、任意の形式で行うことができます。 そのため、Azure WAF は常にデータを解析できるわけではありません。データのパススルー プロキシとして機能するだけです。
詳細については、「Application Gateway での WebSocket のサポートの概要」を参照してください。
次のステップ
- Azure Web アプリケーション ファイアウォールについて学習します。
- Azure Front Door の詳細を確認します。