Panoramica dei criteri di Web application firewall (WAF) di Azure
I criteri Web application firewall contengono tutte le impostazioni e le configurazioni WAF. Sono incluse esclusioni, regole personalizzate, regole gestite e così via. Questi criteri vengono quindi associati a un gateway applicazione (globale), a un listener (per sito) o a una regola basata sul percorso (per URI) per renderli effettivi.
Non esiste alcun limite al numero di criteri che è possibile creare. Quando si crea un criterio, deve essere associato a un gateway applicazione per rendere effettivo il criterio. Può essere associato a qualsiasi combinazione di gateway applicazione, listener e regole basate sul percorso.
Nota
Il gateway applicazione ha due versioni dello SKU WAF: gateway applicazione WAF_v1 e gateway applicazione WAF_v2. Le associazioni di criteri WAF sono supportate solo per lo SKU del gateway applicazione WAF_v2.
Criterio WAF globale
Quando si associano criteri WAF a livello globale, ogni sito protetto da WAF del gateway applicazione è protetto con le stesse regole gestite, regole personalizzate, esclusioni e altre impostazioni configurate.
Se si vuole applicare un singolo criterio a tutti i siti, è possibile associare i criteri al gateway applicazione. Per altre informazioni, vedere Creare criteri web application firewall per il gateway applicazione per creare e applicare criteri WAF usando il portale di Azure.
Criteri web application firewall per sito
Con i criteri WAF per sito, è possibile proteggere più siti con esigenze di sicurezza diverse dietro un unico WAF usando i criteri per sito. Ad esempio, se dietro il WAF ci sono cinque siti, è possibile avere cinque criteri WAF distinti, uno per ogni listener, per personalizzare le esclusioni, le regole personalizzate, i set di regole gestite e tutte le altre impostazioni WAF per ogni sito.
Supponiamo che al gateway applicazione sia stato applicato un criterio globale. È necessario applicare quindi un criterio diverso a un listener in quel gateway applicazione. I criteri del listener ora diventano effettivi solo per quel listener. I criteri globali del gateway applicazione si applicano comunque a tutti gli altri listener e alle regole basate sul percorso a cui non è stato assegnato un criterio specifico.
Criterio per URI
Per una maggiore personalizzazione fino al livello URI, è possibile associare un criterio WAF a una regola basata su percorso. Se sono presenti determinate pagine all'interno di un singolo sito che richiedono criteri diversi, è possibile apportare modifiche ai criteri WAF che influiscono solo su un determinato URI. Questa operazione può essere applicata a una pagina di pagamento o di accesso o a qualsiasi altro URI che necessita di un criterio WAF ancora più specifico rispetto agli altri siti dietro il WAF.
Come per i criteri WAF per sito, i criteri più specifici sostituiscono quelli meno specifici. Ciò significa che un criterio per URI in una mappa percorso URL esegue l'override di qualsiasi criterio WAF globale o per sito sopra di esso.
Esempio
Si supponga di avere tre siti: contoso.com, fabrikam.com e adatum.com tutti dietro lo stesso gateway applicazione. Si vuole applicare un WAF a tutti e tre i siti, ma è necessaria una maggiore sicurezza con adatum.com perché questo è il percorso in cui i clienti visitano, esplorano e acquistano prodotti.
È possibile applicare un criterio globale al WAF, con alcune impostazioni di base, esclusioni o regole personalizzate, se necessario, per impedire a alcuni falsi positivi di bloccare il traffico. In questo caso, non è necessario che siano in esecuzione regole di inserimento SQL globali perché fabrikam.com e contoso.com sono pagine statiche senza back-end SQL. È quindi possibile disabilitare tali regole nei criteri globali.
Questo criterio globale è adatto per contoso.com e fabrikam.com, ma è necessario prestare maggiore attenzione con adatum.com dove vengono gestite le informazioni di accesso e i pagamenti. È possibile applicare un criterio per sito al listener adatum e lasciare in esecuzione le regole SQL. Si supponga anche che sia presente un cookie che blocca il traffico, quindi è possibile creare un'esclusione per il cookie per arrestare il falso positivo.
L'URI adatum.com/payments è la posizione in cui è necessario prestare attenzione. Applicare quindi un altro criterio a tale URI e lasciare abilitate tutte le regole e rimuovere anche tutte le esclusioni.
In questo esempio si dispone di un criterio globale che si applica a due siti. Si dispone di un criterio per sito che si applica a un sito e quindi a un criterio per URI che si applica a una regola specifica basata su percorso. Per questo esempio, vedere Configurare criteri WAF per sito usando Azure PowerShell per PowerShell corrispondente.
Configurazioni WAF esistenti
Tutte le nuove impostazioni WAF di Web Application Firewall (regole personalizzate, configurazioni del set di regole gestite, esclusioni e così via) esistono in un criterio WAF. Se si dispone di un WAF esistente, queste impostazioni potrebbero essere ancora presenti nella configurazione waf. Per altre informazioni sul passaggio al nuovo criterio WAF, Eseguire la migrazione della configurazione WAF a un criterio WAF.