Panoramica dei criteri di Azure Web application firewall (WAF)
Web application firewall Criteri contengono tutte le impostazioni e le configurazioni di WAF. Sono incluse esclusioni, regole personalizzate, regole gestite e così via. Questi criteri vengono quindi associati a un gateway applicazione (globale), a un listener (per sito) o a una regola basata sul percorso (per URI) per renderli effettivi.
Non esiste alcun limite al numero di criteri che è possibile creare. Quando si crea un criterio, deve essere associato a un gateway applicazione per rendere effettivo. Può essere associato a qualsiasi combinazione di gateway applicazione, listener e regole basate sul percorso.
Nota
gateway applicazione ha due versioni dello SKU WAF: gateway applicazione WAF_v1 e gateway applicazione WAF_v2. Le associazioni di criteri WAF sono supportate solo per lo SKU gateway applicazione WAF_v2.
Criteri WAF globali
Quando si associano criteri WAF a livello globale, ogni sito protetto da gateway applicazione WAF è protetto con le stesse regole gestite, regole personalizzate, esclusioni e altre impostazioni configurate.
Se si vuole applicare un singolo criterio a tutti i siti, è possibile associare i criteri al gateway applicazione. Per altre informazioni, vedere Create Web application firewall policies for gateway applicazione to create and apply a WAF policy using the portale di Azure.For more information, see Create Web application firewall policies for gateway applicazione to create and apply a WAF policy using the portale di Azure.
Criteri WAF per sito
Con i criteri WAF per sito, è possibile proteggere più siti con esigenze di sicurezza diverse dietro un unico WAF usando i criteri per sito. Ad esempio, se dietro il WAF ci sono cinque siti, è possibile avere cinque criteri WAF distinti, uno per ogni listener, per personalizzare le esclusioni, le regole personalizzate, i set di regole gestite e tutte le altre impostazioni WAF per ogni sito.
Supponiamo che al gateway applicazione sia stato applicato un criterio globale. È necessario applicare quindi un criterio diverso a un listener in quel gateway applicazione. I criteri del listener ora diventano effettivi solo per quel listener. I criteri globali del gateway applicazione si applicano comunque a tutti gli altri listener e alle regole basate sul percorso a cui non è stato assegnato un criterio specifico.
Criteri per URI
Per una maggiore personalizzazione fino al livello URI, è possibile associare un criterio WAF a una regola basata sul percorso. Se sono presenti determinate pagine all'interno di un singolo sito che richiedono criteri diversi, è possibile apportare modifiche ai criteri WAF che influiscono solo su un determinato URI. Questa operazione può essere applicata a una pagina di pagamento o di accesso o a qualsiasi altro URI che necessita di un criterio WAF ancora più specifico rispetto agli altri siti protetti da WAF.
Come per i criteri WAF per sito, i criteri più specifici sostituiscono quelli meno specifici. Ciò significa che un criterio per URI in una mappa del percorso URL esegue l'override di qualsiasi criterio WAF globale o per sito sopra di esso.
Esempio
Si supponga di avere tre siti: contoso.com, fabrikam.com e adatum.com tutti dietro lo stesso gateway applicazione. Si vuole applicare un WAF a tutti e tre i siti, ma è necessaria una maggiore sicurezza con adatum.com, perché questo è il luogo in cui i clienti visitano, esplorano e acquistano prodotti.
È possibile applicare un criterio globale al WAF, con alcune impostazioni di base, esclusioni o regole personalizzate, se necessario per impedire a alcuni falsi positivi di bloccare il traffico. In questo caso, non è necessario avere regole di inserimento SQL globali in esecuzione perché fabrikam.com e contoso.com sono pagine statiche senza back-end SQL. È quindi possibile disabilitare tali regole nei criteri globali.
Questo criterio globale è adatto per contoso.com e fabrikam.com, ma è necessario prestare maggiore attenzione con adatum.com dove vengono gestite le informazioni di accesso e i pagamenti. È possibile applicare un criterio per sito al listener adatum e lasciare in esecuzione le regole SQL. Si supponga anche che sia presente un cookie che blocca il traffico, quindi è possibile creare un'esclusione per il cookie per arrestare il falso positivo.
L'URI adatum.com/payments è la posizione in cui è necessario prestare attenzione. Applicare quindi un altro criterio a tale URI e lasciare abilitate tutte le regole e rimuovere anche tutte le esclusioni.
In questo esempio si dispone di un criterio globale che si applica a due siti. Si dispone di un criterio per sito che si applica a un sito e quindi a un criterio per URI che si applica a una regola specifica basata sul percorso. Per questo esempio, vedere Configurare i criteri WAF per sito usando Azure PowerShell per PowerShell corrispondente.
Configurazioni WAF esistenti
Tutte le nuove impostazioni WAF di Web application firewall (regole personalizzate, configurazioni del set di regole gestite, esclusioni e così via) esistono in un criterio WAF. Se si dispone di un WAF esistente, queste impostazioni potrebbero essere ancora presenti nella configurazione di WAF. Per altre informazioni sul passaggio al nuovo criterio WAF, eseguire la migrazione della configurazione WAF a un criterio WAF.