[新产品/新功能] Application Gateway WAF 现支持自定义阻止响应代码和正文（公开预览）

<!-- AI_TASK_START: AI标题翻译 --> [新产品/新功能] Application Gateway WAF 现支持自定义阻止响应代码和正文（公开预览） <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 产品功能分析 ## 新功能/新产品概述 Azure 宣布为其 **应用网关（Application Gateway）** 集成的 **Web 应用程序防火墙（WAF）** 推出自定义阻止响应的功能（公共预览版）。该功能允许用户在 WAF 规则阻止恶意请求时，自定义返回给客户端的 **HTTP 响应状态码** 和 **响应正文（body）**。 在此更新之前，当 WAF 拦截一个请求时，会统一返回一个硬编码的 `403 Forbidden` 状态码和默认的文本消息 "The request is blocked"。现在，管理员可以在 WAF 策略层面进行全局配置，指定一个自定义的响应。例如，可以将状态码设置为 `404 Not Found` 以迷惑攻击者，或返回一个包含品牌信息、联系方式和事件跟踪 ID 的定制化 HTML 页面。 此功能的目标用户是负责应用程序安全和网络管理的云安全工程师及 DevOps 团队。市场定位上，此举旨在提升 Azure WAF 的灵活性和可控性，使用户能够提供更友好的用户体验、增强安全性并简化事件响应流程。值得注意的是，该功能此前已在 **Azure Front Door** 的 WAF 服务中提供，本次更新将 Application Gateway WAF 的能力与前者对齐，实现了 Azure 网络安全产品组合内部的功能一致性。 ## 关键客户价值 - **提升品牌形象与用户体验** - 当合法用户的请求被 WAF 误报（False Positive）而拦截时，系统可以返回一个带有企业品牌 Logo 和友好提示的定制化错误页面，而非冰冷的默认错误信息。这有助于减少用户困惑，引导用户联系技术支持，从而维护了专业的品牌形象。 - 与竞品（如 AWS WAF、Cloudflare WAF）类似功能对标，Azure 将此能力从边缘 CDN 服务（Front Door）下沉到核心应用交付控制器（Application Gateway），为部署在虚拟网络（VNet）内部的应用提供了同等级别的精细化控制，满足了不同架构下对用户体验一致性的要求。 - **增强安全混淆（Security Obfuscation）** - 管理员可以将默认的 `403 Forbidden` 响应码修改为 `404 Not Found` 或其他非特异性状态码。这使得自动化扫描工具和攻击者难以区分一个请求是被防火墙明确拒绝，还是因为目标资源不存在。这种混淆策略增加了攻击探测的难度和成本，是一种有效的被动防御手段。 - 该机制通过在 WAF 策略层面拦截并重写出站响应实现。当 WAF 引擎判定请求应被阻止时，它会放弃向后端服务的转发，并依据策略配置生成一个全新的 HTTP 响应直接返回给客户端。 - **简化故障排查与事件响应** - 自定义的响应正文中可以嵌入一个唯一的 **事件跟踪 ID（Trace ID）** 或请求标识符。当用户报告访问问题时，技术支持团队可以依据此 ID 在 WAF 日志或 **Azure Monitor** 中快速定位到具体的拦截事件、匹配的规则以及请求的详细信息，从而极大地缩短了故障排查时间。 ## 关键技术洞察 - **策略级（Policy-level）配置模型** - 该功能的自定义设置是在 WAF 策略级别进行配置的，这意味着所有被该策略下任何规则阻止的请求，都会收到相同的自定义响应。这种设计简化了管理，保证了在同一应用保护策略下响应行为的一致性。 - 这种实现方式的潜在局限性在于缺乏基于单条规则进行差异化响应的能力。例如，无法为 **SQL 注入** 攻击和 **跨站脚本（XSS）** 攻击配置不同的自定义错误页面。*注：此为基于行业实践的分析推测*。 - **实现与 Azure Front Door WAF 的功能对齐** - 本次更新明确提到该功能已在 Azure Front Door WAF 中存在。这反映了 Azure 正在整合其网络服务产品线，致力于在不同的应用交付和安全层（全球边缘 CDN vs. 区域性负载均衡器）提供一致的功能集和用户体验。这种策略降低了客户在混合使用 Azure 多种网络服务时的学习成本和管理复杂性。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # 公共预览：Application Gateway WAF 支持自定义阻止响应代码和正文 **发布时间:** 2025-08-26 **厂商:** Azure **类型:** Updates --- 宣布与 Application Gateway 集成的 WAF 的自定义阻止响应代码和正文功能开启公共预览 (public preview)。 与 Application Gateway 集成的 Azure WAF (Web Application Firewall) 现在支持为被阻止的请求自定义响应状态码和正文，从而提供了更高的灵活性和控制能力。 默认情况下，当 WAF 因匹配规则而阻止请求时，会返回 `403` 状态码并附带 “The request is blocked” 的消息。与集成 Azure Front Door 的 WAF 类似，现在客户也可以在 WAF 阻止请求时，为 Application Gateway 定义自定义的响应状态码和消息。此自定义功能是一项策略级别的设置，可确保所有被阻止的请求都收到相同的自定义响应状态和消息。 [了解更多](https://learn.microsoft.com/en-us/azure/web-application-firewall/ag/configure-custom-response-code) 。 <!-- AI_TASK_END: AI全文翻译 -->