つい先日知ったのだが、IIS7.xでは、UrlScanのほぼ全ての主要機能がRequest Filtering Module（要求フィルタ）という名称のネイティブモジュールに組み込まれて提供されているそうだ。

参照元：Use Request Filtering | Microsoft Docs

IIS7.xにもUrlScanを導入することが出来るが、あくまでもISAPIフィルタとしての導入になる。
そして、設定変更にIIS Managerやappcmdツールを使うことが出来ない。
もちろん、WMIプロバイダ経由でのアクセスも無理だし、PowerShellでの管理も難しいだろう。

モジュールとして提供され、IIS7.xに組み込むことが出来ると言うことは、IIS7.xの管理ツールが一通り使えるということだ。
Administration Pack for IIS Managerを使えば、GUIベースで設定変更することが（手入力が必要とはいえ）可能になるし、IIS 7.0 Manager for Remote Administrationを使って、リモート管理も可能になる。

ただし、それだけなら可能性を感じることはなかった。

なぜ可能性を感じさせると書いたのかというと、要求フィルタがマネージドモジュールではなく、ネイティブモジュールで書かれている点。
ネイティブモジュールなら、PostDataに対するチェックも実装次第で可能になる。パフォーマンス的な理由でUrlScanでは実装されていない様なので、将来性のある要求フィルタではオプションとして、PostData部分に対するチェックも可能になってほしい。

現時点では、独自のルールを追加することが出来るという記述が見つからないが、今後もUrlScanの機能がどんどん組み込まれていって、独自のルールが書ける様になった上で、PostDataのチェックが可能なら、無償の簡易WAFとしての有用性が高まる。
簡易WAFという表現には語弊があるかも知れないけど、
例えばWebアプリに脆弱性が潜んでおり、修正までに時間を要するくせに、選択項目をちゃんとチェックしていなかっただけというお粗末なものに対して、バーチャルパッチとして、特定のパラメータに関して許容する文字列を限定させる。
そんな使い方での対策がしやすくなるんじゃないか？と思う。

何より、MS純正のWAFならホスト型を嫌がるSEでも、気持ち的に安心して入れてくれる気がするしｗ*1