Application Gateway의 Azure Web Application Firewall에 대해 자주 묻는 질문

Azure WAF는 SQL 삽입, 사이트 간 스크립팅 및 기타 웹 공격과 같은 일반적인 위협으로부터 웹 애플리케이션을 보호하는 데 유용한 웹 애플리케이션 방화벽입니다. 사용자 지정 및 관리형 규칙의 조합으로 구성된 WAF 정책을 정의하여 웹 애플리케이션에 대한 액세스를 제어할 수 있습니다.

Azure WAF 정책은 Application Gateway 또는 Azure Front Door에서 호스트되는 웹 애플리케이션에 적용할 수 있습니다.

WAF SKU는 표준 SKU에서 사용할 수 있는 모든 기능을 지원합니다.

진단 로깅을 통해 WAF를 모니터링합니다. 자세한 내용은 Application Gateway에 대한 진단 로깅 및 메트릭을 참조하세요.

아니요. 검색 모드는 WAF 규칙을 트리거하는 트래픽만 기록합니다.

예. 자세한 내용은 WAF 규칙 그룹 및 규칙 사용자 지정을 참조하세요.

WAF는 현재 CRS 3.2, 3.1 및 3.0을 지원합니다. 이러한 규칙은 OWASP(Open Web Application Security Project)에서 식별하는 상위 10개 취약성 대부분에 대한 기본 보안을 제공합니다.

• SQL 삽입 공격 보호
• 교차 사이트 스크립팅 보호
• 명령 삽입, HTTP 요청 스머글링, HTTP 응답 분할 및 원격 파일 포함 공격과 같은 일반적인 웹 공격에 대한 보호
• HTTP 프로토콜 위반 보호
• 누락된 호스트 사용자-에이전트 및 수락 헤더 같은 HTTP 프로토콜 이상 보호
• 보트, 크롤러 및 스캐너 방지
• 일반적인 응용 프로그램 구성 오류(즉, Apache, IIS 등) 감지

자세한 내용은 OWASP 상위 10개 취약성을 참조하세요.

CRS 2.2.9는 새 WAF 정책에 더 이상 지원되지 않습니다. 최신 CRS 버전으로 업그레이드하는 것이 좋습니다. CRS 2.2.9는 CRS 3.2/DRS 2.1 이상 버전과 함께 사용할 수 없습니다.

Application Gateway WAF는 관리 규칙에 대해 다음과 같은 콘텐츠 형식을 지원합니다.

• application/json
• 응용 프로그램/xml
• 응용 프로그램 / x-www- 양식 - urlencoded
• multipart/양식 데이터

사용자 지정 규칙의 경우 :

• 응용 프로그램 / x-www- 양식 - urlencoded
• 응용 프로그램/비누+xml, 응용 프로그램/xml, 텍스트/xml
• application/json
• multipart/양식 데이터

예. 애플리케이션 게이트웨이가 배포된 가상 네트워크에서 DDoS 보호를 사용하도록 설정할 수 있습니다. 이 설정을 사용하면 Azure DDoS Protection 서비스가 애플리케이션 게이트웨이 VIP(가상 IP)도 보호할 수 있습니다.

WAF는 고객 데이터를 저장합니까?

아니요, WAF는 고객 데이터를 저장하지 않습니다.

Azure Application Gateway는 기본적으로 WebSocket을 지원합니다. Azure Application Gateway의 Azure WAF에 있는 WebSocket은 작동하는 데 추가 구성이 필요하지 않습니다. 그러나 WAF는 WebSocket 트래픽을 검사하지 않습니다. 클라이언트와 서버 간의 초기 핸드셰이크 후 클라이언트와 서버 간의 데이터 교환은 이진 또는 암호화와 같은 모든 형식이 될 수 있습니다. 따라서 Azure WAF는 항상 데이터를 구문 분석할 수 없으며 데이터에 대한 통과 프록시 역할만 합니다.

자세한 내용은 Application Gateway의 WebSocket 지원 개요를 참조하세요.

다음 단계

• Azure 웹 애플리케이션 방화벽에 대해 알아봅니다.
• Azure Front Door에 대해 자세히 알아봅니다.