Impostazioni dei criteri per Web Application Firewall in Frontdoor di Azure

I criteri di Web Application Firewall (WAF) consentono di controllare l'accesso alle applicazioni Web tramite un set di regole personalizzate e gestite. Il nome del criterio WAF deve essere univoco. Verrà visualizzato un errore di convalida se si tenta di usare un nome esistente. Esistono più impostazioni a livello di criteri che si applicano a tutte le regole specificate per tale criterio, come descritto in questo articolo.

Stato WAF

I criteri WAF per Front door possono essere in uno dei due stati seguenti:

  • Abilitato: Quando un criterio è abilitato, WAF controlla attivamente le richieste in ingresso ed esegue le azioni corrispondenti in base alle definizioni delle regole
  • Disabilitato: quando un criterio è disabilitato, l'ispezione WAF viene sospesa. Le richieste in ingresso ignorano WAF e vengono inviate ai back-end in base al routing front-end.

Modalità WAF

I criteri di WAF possono essere configurati per l'esecuzione nelle due modalità seguenti:

  • Modalità di rilevamento Quando viene eseguito in modalità di rilevamento, WAF non esegue azioni diverse dal monitoraggio e registra la richiesta e la relativa regola WAF corrispondente nei log WAF. Attivare la diagnostica di registrazione per Front door (quando si usa il portale, questa operazione può essere ottenuta accedendo alla sezione Diagnostica nella portale di Azure).

  • Modalità di prevenzione Se configurata per l'esecuzione in modalità di prevenzione, WAF esegue l'azione specificata se una richiesta corrisponde a una regola. Tutte le richieste corrispondenti vengono anche registrate nei log di WAF.

Risposta WAF per le richieste bloccate

Per impostazione predefinita, quando WAF blocca una richiesta a causa di una regola corrispondente, restituisce un codice di stato 403 con - La richiesta è bloccata . Per la registrazione viene restituita anche una stringa di riferimento.

È possibile definire un codice di stato della risposta e un messaggio di risposta personalizzati quando una richiesta viene bloccata da WAF. Sono supportati i codici di stato personalizzati seguenti:

  • 200 - OK
  • 403 - Accesso negato
  • 405 Metodo non consentito
  • 406 Non accettabile
  • 429 Troppe richieste

Il codice di stato della risposta personalizzato e il messaggio di risposta sono un'impostazione del livello di criteri. Dopo la configurazione, tutte le richieste bloccate ottengono lo stesso stato di risposta personalizzato e lo stesso messaggio di risposta.

URI per l'azione di reindirizzamento

È necessario definire un URI a cui reindirizzare le richieste se l'azione REDIRECT è selezionata per una delle regole contenute in un criterio WAF. Questo URI di reindirizzamento deve essere un sito HTTP(S) valido e, dopo la configurazione, tutte le richieste corrispondenti alle regole con un'azione "REDIRECT" verranno reindirizzate al sito specificato.

Passaggi successivi