Domande frequenti per Web application firewall di Azure nel gateway applicazione

Questo articolo risponde alle domande più comuni su Azure Web Application Firewall (WAF) sulle caratteristiche e le funzionalità del gateway applicazione.

Cos'è il web application firewall di Azure?

Il WAF di Azure è un web application firewall che consente di proteggere le applicazioni Web da minacce comuni, quali attacchi SQL injection, script da altri siti e altri exploit Web. L'utente può definire un criterio WAF costituito da una combinazione di regole personalizzate e gestite per controllare l'accesso alle applicazioni Web.

Un criterio di Azure WAF può essere applicato alle applicazioni Web ospitate nel gateway applicazione o in Frontdoor di Azure.

Quali funzionalità supporta lo SKU WAF?

Lo SKU WAF supporta tutte le funzionalità disponibili nello SKU Standard.

Come posso monitorare WAF?

Monitorare WAF tramite la registrazione diagnostica. Per altre informazioni, vedere Registrazione diagnostica e metriche per il gateway applicazione.

La modalità di rilevamento blocca il traffico?

No La modalità di rilevamento registra solo il traffico che attiva una regola WAF.

È possibile personalizzare le regole WAF?

Sì. Per ulteriori informazioni, vedere Personalizzare i gruppi di regole e le regole WAF.

Quali regole sono attualmente disponibili per WAF?

WAF attualmente supporta CRS 3.2, 3.1 e 3.0. Queste regole forniscono una sicurezza di base contro la maggior parte delle 10 principali vulnerabilità identificate da Open Web Application Security Project (OWASP):

• Protezione contro le vulnerabilità di SQL injection
• Protezione da cross-site scripting
• Protezione contro gli attacchi Web più comuni, ad esempio l'iniezione di comandi, il contrabbando di richieste HTTP, la suddivisione delle risposte HTTP e l'attacco di inclusione di file remoti
• Protezione dalle violazioni del protocollo HTTP
• Protezione contro eventuali anomalie del protocollo HTTP, ad esempio agente utente host e intestazioni accept mancanti
• Prevenzione contro robot, crawler e scanner
• Rilevamento di configurazioni errate comuni delle applicazioni, ad esempio Apache, IIS e così via.

Per ulteriori informazioni, vedere Principali 10 vulnerabilità OWASP.

CRS 2.2.9 non è più supportato per i nuovi criteri WAF. Si consiglia di eseguire l'aggiornamento all'ultima versione del CRS. CRS 2.2.9 non può essere utilizzato insieme a CRS 3.2/DRS 2.1 e versioni successive.

Quali tipi di contenuto supporta WAF?

WAF del gateway applicazione supporta i tipi di contenuto seguenti per le regole gestite:

• application/json
• Applicazione/XML
• application/x-www-form-urlencoded
• multipart/form-data

E per le regole personalizzate:

• application/x-www-form-urlencoded
• Applicazione/SOAP+XML, Applicazione/XML, Testo/XML
• application/json
• multipart/form-data

WAF supporta la protezione DDoS?

Sì. È possibile abilitare la protezione DDoS nella rete virtuale in cui viene distribuito il gateway applicazione. Questa impostazione garantisce che il servizio Protezione DDoS di Azure protegga anche l'indirizzo IP virtuale (VIP) del gateway applicazione.

WAF memorizza i dati dei clienti?

No, WAF non archivia i dati dei clienti.

Come funziona Azure WAF con WebSockets?

Il gateway applicazione di Azure supporta in modo nativo WebSocket. WebSocket in Azure WAF in Azure Application Gateway non richiede alcuna configurazione aggiuntiva per funzionare. Tuttavia, WAF non ispeziona il traffico WebSocket. Dopo l'handshake iniziale tra client e server, lo scambio di dati tra client e server può essere di qualsiasi formato, ad esempio binario o crittografato. Azure WAF non è quindi sempre in grado di analizzare i dati, ma funge solo da proxy pass-through per i dati.

Per altre informazioni, vedere Panoramica del supporto di WebSocket in Gateway di Applicazione.

Passaggi successivi

• Informazioni sul web application firewall di Azure.
• Altre informazioni su Frontdoor di Azure.

Questo articolo risponde alle domande più comuni su Azure Web Application Firewall (WAF) sulle caratteristiche e le funzionalità del gateway applicazione.

Il WAF di Azure è un web application firewall che consente di proteggere le applicazioni Web da minacce comuni, quali attacchi SQL injection, script da altri siti e altri exploit Web. L'utente può definire un criterio WAF costituito da una combinazione di regole personalizzate e gestite per controllare l'accesso alle applicazioni Web.

Un criterio di Azure WAF può essere applicato alle applicazioni Web ospitate nel gateway applicazione o in Frontdoor di Azure.

Lo SKU WAF supporta tutte le funzionalità disponibili nello SKU Standard.

Monitorare WAF tramite la registrazione diagnostica. Per altre informazioni, vedere Registrazione diagnostica e metriche per il gateway applicazione.

No La modalità di rilevamento registra solo il traffico che attiva una regola WAF.

Sì. Per ulteriori informazioni, vedere Personalizzare i gruppi di regole e le regole WAF.

WAF attualmente supporta CRS 3.2, 3.1 e 3.0. Queste regole forniscono una sicurezza di base contro la maggior parte delle 10 principali vulnerabilità identificate da Open Web Application Security Project (OWASP):

• Protezione contro le vulnerabilità di SQL injection
• Protezione da cross-site scripting
• Protezione contro gli attacchi Web più comuni, ad esempio l'iniezione di comandi, il contrabbando di richieste HTTP, la suddivisione delle risposte HTTP e l'attacco di inclusione di file remoti
• Protezione dalle violazioni del protocollo HTTP
• Protezione contro eventuali anomalie del protocollo HTTP, ad esempio agente utente host e intestazioni accept mancanti
• Prevenzione contro robot, crawler e scanner
• Rilevamento di configurazioni errate comuni delle applicazioni, ad esempio Apache, IIS e così via.

Per ulteriori informazioni, vedere Principali 10 vulnerabilità OWASP.

CRS 2.2.9 non è più supportato per i nuovi criteri WAF. Si consiglia di eseguire l'aggiornamento all'ultima versione del CRS. CRS 2.2.9 non può essere utilizzato insieme a CRS 3.2/DRS 2.1 e versioni successive.

WAF del gateway applicazione supporta i tipi di contenuto seguenti per le regole gestite:

• application/json
• Applicazione/XML
• application/x-www-form-urlencoded
• multipart/form-data

E per le regole personalizzate:

• application/x-www-form-urlencoded
• Applicazione/SOAP+XML, Applicazione/XML, Testo/XML
• application/json
• multipart/form-data

Sì. È possibile abilitare la protezione DDoS nella rete virtuale in cui viene distribuito il gateway applicazione. Questa impostazione garantisce che il servizio Protezione DDoS di Azure protegga anche l'indirizzo IP virtuale (VIP) del gateway applicazione.

WAF memorizza i dati dei clienti?

No, WAF non archivia i dati dei clienti.

Il gateway applicazione di Azure supporta in modo nativo WebSocket. WebSocket in Azure WAF in Azure Application Gateway non richiede alcuna configurazione aggiuntiva per funzionare. Tuttavia, WAF non ispeziona il traffico WebSocket. Dopo l'handshake iniziale tra client e server, lo scambio di dati tra client e server può essere di qualsiasi formato, ad esempio binario o crittografato. Azure WAF non è quindi sempre in grado di analizzare i dati, ma funge solo da proxy pass-through per i dati.

Per altre informazioni, vedere Panoramica del supporto di WebSocket in Gateway di Applicazione.

Passaggi successivi

• Informazioni sul web application firewall di Azure.
• Altre informazioni su Frontdoor di Azure.