Creare criteri di Web application firewall per il gateway applicazione

L'associazione di una politica WAF ai listener consente di proteggere più siti dietro a un singolo WAF tramite politiche diverse. Ad esempio, se sono presenti cinque siti dietro il WAF, è possibile avere cinque criteri WAF separati (uno per ogni listener) per personalizzare le esclusioni, le regole personalizzate e i set di regole gestite per un sito senza influire sulle altre quattro. Se si vuole applicare un singolo criterio a tutti i siti, è sufficiente associare il criterio al gateway applicazione, anziché ai singoli listener, per applicarlo a livello globale. I criteri possono essere applicati anche a una regola di routing basata sul percorso.

È possibile creare tutti i criteri desiderati. Dopo aver creato un criterio, esso deve essere associato a un Application Gateway per entrare in vigore, ma può essere associato a qualsiasi combinazione di Application Gateway e listener.

Se il gateway applicazione ha un criterio associato e quindi si associa un criterio diverso a un listener in tale gateway applicazione, il criterio del listener diventa effettivo, ma solo per i listener a cui sono assegnati. I criteri del gateway applicazione si applicano comunque a tutti gli altri listener a cui non è stato assegnato un criterio specifico.

Tutte le nuove impostazioni WAF di Web Application Firewall (regole personalizzate, configurazioni del set di regole gestite, esclusioni e così via) vivono all'interno di un criterio WAF. Se si dispone di un WAF esistente, queste impostazioni potrebbero essere ancora presenti nella configurazione waf. Per informazioni su come passare al nuovo criterio WAF, vedere Aggiornare la configurazione waf a un criterio WAF più avanti in questo articolo.

I criteri WAF devono trovarsi nello stato abilitato per controllare il traffico delle richieste, registrare gli eventi e intervenire sulle richieste. I criteri WAF in modalità rilevamento registrano eventi quando vengono attivate le regole WAF, ma non esegue altre azioni. Le politiche in modalità di prevenzione intraprendono azioni sulle richieste e registrano l'evento nei log.

Creare un criterio

Creare prima di tutto un criterio WAF di base con un set di regole predefinito gestito usando il portale di Azure.

1. In alto a sinistra del portale selezionare Crea una risorsa. Cercare WAF, selezionare Web Application Firewall, quindi selezionare Crea.

2. Nella pagina Crea un criterio WAF, scheda Informazioni di base immettere o selezionare le informazioni seguenti e accettare le impostazioni predefinite per le impostazioni rimanenti:

   Impostazione	Valore
   Criteri per	WAF regionale (gateway applicazione)
   Abbonamento	Selezionare il nome della sottoscrizione
   Gruppo di risorse	selezionare il gruppo di risorse
   Nome della policy	Digitare un nome univoco per il criterio WAF.

3. Nella scheda Associazione selezionare Aggiungi associazione, quindi selezionare una delle impostazioni seguenti:

   Impostazione	Valore
   Gateway applicazione	Selezionare il gateway dell'applicazione e quindi selezionare Aggiungi.
   Ascoltatore HTTP	Selezionare il gateway di applicazione, selezionare i listener e quindi selezionare Aggiungi.
   Percorso di instradamento	Selezionare il gateway di applicazione, quindi selezionare il listener, selezionare la regola di routing e quindi selezionare Aggiungi.

   Nota

   Se si assegna un criterio al gateway applicazione (o listener) che dispone già di un criterio, il criterio originale viene sovrascritto e sostituito dal nuovo criterio.

4. Selezionare Rivedi e crea e quindi Crea.

Configurare le regole WAF (facoltativo)

Quando si crea un criterio WAF, per impostazione predefinita è in modalità di rilevamento. In modalità Rilevamento WAF non blocca alcuna richiesta. Le regole WAF corrispondenti vengono invece registrate nei log waf. Per visualizzare WAF in azione, è possibile modificare le impostazioni della modalità in Prevenzione. In modalità prevenzione le regole di corrispondenza definite nei set di regole gestite da Microsoft selezionati vengono bloccate e/o registrate nei log WAF.

Regole gestite

Le regole OWASP gestite da Azure sono abilitate per impostazione predefinita. Per disabilitare una singola regola all'interno di un gruppo di regole, espandere le regole all'interno del gruppo di regole, selezionare la casella di controllo davanti al numero di regola e selezionare Disabilita.

Regole personalizzate

Per creare una regola personalizzata, selezionare Aggiungi regola personalizzata nella scheda Regole personalizzate. Verrà visualizzata la pagina di configurazione della regola personalizzata. Lo screenshot seguente mostra una regola personalizzata di esempio configurata per bloccare una richiesta se la stringa di query contiene il testo blockme.

Aggiorna la configurazione WAF a una politica WAF

Se si dispone di un WAF esistente, è possibile notare alcune modifiche nel portale. Prima di tutto, è necessario identificare che tipo di Policy hai abilitato nel tuo WAF. Esistono tre stati potenziali:

1. Nessuna policy WAF
2. Politica solo regole personalizzate
3. Politica WAF

Puoi capire in quale stato si trova il tuo WAF osservandolo nel portale. Se le impostazioni WAF sono visibili e possono essere modificate dalla visualizzazione del Gateway dell'applicazione, il WAF è nello stato 1.

Se si seleziona Web Application Firewall e viene visualizzato un criterio associato, waf è nello stato 2 o 3. Dopo aver eseguito il passaggio al criterio, se mostra solo regole personalizzate e gateway applicativi associati, si tratta di un criterio che include solo regole personalizzate.

Se mostra anche le Impostazioni dei criteri e le Regole gestite, allora si tratta di una policy completa del Web Application Firewall.

Aggiornare i criteri WAF

Se si dispone di un criterio WAF con sole regole personalizzate, potrebbe voler passare al nuovo criterio WAF. Una policy supporta le impostazioni della policy WAF, i set di regole gestite, le esclusioni e i gruppi di regole disabilitate. Essenzialmente, tutte le configurazioni WAF eseguite in precedenza all'interno del gateway applicativo vengono ora eseguite tramite la politica WAF.

Le modifiche apportate alla regola personalizzata sono disabilitate solo per i criteri WAF. Per modificare le impostazioni waf, ad esempio la disabilitazione delle regole, l'aggiunta di esclusioni e così via, è necessario eseguire l'aggiornamento a una nuova risorsa dei criteri firewall di primo livello.

A tale scopo, crea una policy Web Application Firewall e associarla ai gateway di applicazione e ai listener scelti. Questo nuovo criterio deve essere esattamente uguale alla configurazione WAF corrente, ovvero ogni regola personalizzata, esclusione, regola disabilitata e così via deve essere copiata nel nuovo criterio che si sta creando. Dopo aver associato un criterio al gateway applicazione, è possibile continuare ad apportare modifiche alle regole e alle impostazioni di WAF. È anche possibile eseguire questa operazione con Azure PowerShell. Per ulteriori informazioni, vedere Associare un criterio WAF a un gateway di applicazione esistente.

Facoltativamente, è possibile usare uno script di migrazione per eseguire l'aggiornamento a un criterio WAF. Per altre informazioni, vedere Aggiornare i criteri di Web Application Firewall con Azure PowerShell.

Forza modalità

Se non si vuole copiare tutti gli elementi in una politica esattamente uguale a quella della configurazione corrente, è possibile impostare la WAF in modalità "forzata". Eseguire il codice di Azure PowerShell seguente per impostare WAF in modalità forzata. È quindi possibile associare qualsiasi policy WAF al WAF, anche se non ha le stesse impostazioni della tua configurazione.

$appgw = Get-AzApplicationGateway -Name <your Application Gateway name> -ResourceGroupName <your Resource Group name>
$appgw.ForceFirewallPolicyAssociation = $true

Procedere quindi con i passaggi per associare un criterio del WAF al gateway dell'applicazione. Per altre informazioni, vedere Associare un criterio WAF a un Application Gateway esistente.

Passo successivo