Impostazioni dei criteri per Web Application Firewall in Frontdoor di Azure

Un criterio web application firewall (WAF) consente di controllare l'accesso alle applicazioni Web tramite un set di regole personalizzate e gestite. Il nome del criterio WAF deve essere univoco. Se si tenta di usare un nome esistente, viene visualizzato un errore di convalida. Più impostazioni a livello di criteri si applicano a tutte le regole specificate per tale criterio, come descritto in questo articolo.

Stato WAF

Un criterio WAF per Frontdoor di Azure ha uno dei due stati seguenti:

  • Abilitato: quando un criterio è abilitato, WAF controlla attivamente le richieste in ingresso e esegue le azioni corrispondenti in base alle definizioni delle regole.
  • Disabilitato: quando un criterio è disabilitato, l'ispezione WAF viene sospesa. Le richieste in ingresso ignorano WAF e vengono inviate ai back-end in base al routing di Frontdoor di Azure.

Modalità WAF

È possibile configurare un criterio WAF da eseguire nelle due modalità seguenti:

  • Modalità di rilevamento: quando viene eseguito in modalità di rilevamento, WAF non esegue alcuna azione diversa da monitorare e registrare la richiesta e la regola WAF corrispondente ai log WAF. Attivare la diagnostica di registrazione per Frontdoor di Azure quando si usa il portale di Azure. Passare alla sezione Diagnostica nel portale di Azure.
  • Modalità prevenzione: quando un WAF è configurato per l'esecuzione in modalità di prevenzione, il WAF esegue l'azione specificata se una richiesta corrisponde a una regola. Tutte le richieste corrispondenti vengono anche registrate nei log di WAF.

Risposta WAF per le richieste bloccate

Per impostazione predefinita, quando WAF blocca una richiesta a causa di una regola corrispondente, restituisce un codice di stato 403 con il messaggio "La richiesta è bloccata". Viene restituita anche una stringa di riferimento per la registrazione.

È possibile definire un codice di stato della risposta personalizzato e un messaggio di risposta quando WAF blocca una richiesta. Sono supportati i codici di stato personalizzati seguenti:

  • 200 OK
  • 403 Negato
  • 405 Metodo non consentito
  • 406 Non accettabile
  • 429 Numero eccessivo di richieste

Un codice di stato della risposta personalizzato con un messaggio di risposta è un'impostazione a livello di criterio. Dopo la configurazione, tutte le richieste bloccate ottengono lo stesso stato della risposta personalizzata e lo stesso messaggio di risposta.

URI per l'azione di reindirizzamento

È necessario definire un URI per reindirizzare le richieste a se l'azione REDIRECT è selezionata per una delle regole contenute in un criterio WAF. Questo URI di reindirizzamento deve essere un sito HTTP(S) valido. Dopo la configurazione, tutte le richieste corrispondenti alle regole con un'azione REDIRECT vengono reindirizzate al sito specificato.

Passaggi successivi

Informazioni su come definire le risposte personalizzate WAF.