Domande frequenti sul gateway applicazioneFrequently asked questions for Application Gateway

GeneraleGeneral

D. Che cos'è il gateway applicazione?Q. What is Application Gateway?

Il gateway applicazione di Azure è un servizio di controller per la distribuzione di applicazioni (ADC) con numerose funzionalità di bilanciamento del carico di livello 7.Azure Application Gateway is an Application Delivery Controller (ADC) as a service, offering various layer 7 load balancing capabilities for your applications. Offre un servizio altamente disponibile e scalabile completamente gestito da Azure.It offers highly available and scalable service, which is fully managed by Azure.

D. Quali funzionalità supporta il gateway applicazione?Q. What features does Application Gateway support?

Application Gateway supporta l'offload SSL e SSL end-to-end, web application firewall, affinità della sessione basata su cookie, routing basato su percorso url, hosting multisito e altro.Application Gateway supports SSL offloading and end to end SSL, Web Application Firewall, cookie-based session affinity, url path-based routing, multi site hosting, and others. Per un elenco completo delle funzionalità supportate, vedere l'introduzione al gateway applicazioneFor a full list of supported features, visit Introduction to Application Gateway

D. Qual è la differenza tra gateway applicazione e Azure Load Balancer?Q. What is the difference between Application Gateway and Azure Load Balancer?

Il gateway applicazione è un servizio di bilanciamento del carico di livello 7 e funziona quindi solo con il traffico Web (HTTP/HTTPS/WebSocket).Application Gateway is a layer 7 load balancer, which means it works with web traffic only (HTTP/HTTPS/WebSocket). Supporta funzionalità come terminazione SSL, affinità di sessione basata su cookie e round robin per il bilanciamento del carico del traffico.It supports capabilities such as SSL termination, cookie-based session affinity, and round robin for load balancing traffic. Load Balancer esegue il bilanciamento del carico del traffico al livello 4 (TCP/UDP).Load Balancer, load balances traffic at layer 4 (TCP/UDP).

D. Quali protocolli supporta il gateway applicazione?Q. What protocols does Application Gateway support?

Il gateway applicazione supporta HTTP, HTTPS e WebSocket.Application Gateway supports HTTP, HTTPS, and WebSocket.

D. Quali risorse sono supportate oggi nell'ambito del pool back-end?Q. What resources are supported today as part of backend pool?

I pool back-end possono essere costituiti da schede di interfaccia di rete, set di scalabilità di macchine virtuali, indirizzi IP pubblici, indirizzi IP interni, nomi di dominio completi (FQDN) e back-end multi-tenant come App Web di Azure.Backend pools can be composed of NICs, virtual machine scale sets, public IPs, internal IPs, fully qualified domain names (FQDN), and multi-tenant back-ends like Azure Web Apps. I membri del pool back-end del gateway applicazione non sono associati a un set di disponibilità.Application Gateway backend pool members are not tied to an availability set. I membri del pool back-end possono trovarsi tra cluster, data center o all'esterno di Azure, purché abbiano connettività IP.Members of backend pools can be across clusters, data centers, or outside of Azure as long as they have IP connectivity.

D. In quale aree è disponibile il servizio?Q. What regions is the service available in?

Il gateway applicazione è disponibile in tutte le aree di Azure globale.Application Gateway is available in all regions of global Azure. È anche disponibile in Azure Cina e Azure per enti pubbliciIt is also available in Azure China and Azure Government

D. Si tratta di una distribuzione dedicata per la sottoscrizione o è condivisa tra clienti?Q. Is this a dedicated deployment for my subscription or is it shared across customers?

Il gateway applicazione è una distribuzione dedicata nella rete virtuale.Application Gateway is a dedicated deployment in your virtual network.

D. È supportato il reindirizzamento HTTP->HTTPS?Q. Is HTTP->HTTPS redirection supported?

Il reindirizzamento è supportato.Redirection is supported. Per altre informazioni, vedere la panoramica del reindirizzamento del gateway applicazione.Visit Application Gateway redirect overview to learn more.

D. In quale ordine vengono elaborati i listener?Q. In what order are listeners processed?

I listener vengono elaborati nell'ordine in cui sono visualizzati.Listeners are processed in the order they are shown. Per tale motivo, se un listener di base corrisponde a una richiesta in ingresso, questa viene elaborata per prima.For that reason if a basic listener matches an incoming request it processes it first. I listener multisito devono essere configurati prima di un listener di base per garantire che il traffico sia indirizzato al back-end corretto.Multi-site listeners should be configured before a basic listener to ensure traffic is routed to the correct back-end.

D. Dove è possibile trovare IP e DNS del gateway applicazione?Q. Where do I find Application Gateway’s IP and DNS?

Quando si usa un indirizzo IP pubblico come endpoint, queste informazioni sono reperibili nella risorsa dell'indirizzo IP pubblico o nella pagina Panoramica del gateway applicazione nel portale.When using a public IP address as an endpoint, this information can be found on the public IP address resource or on the Overview page for the Application Gateway in the portal. Per gli indirizzi IP interni, queste informazioni si trovano nella pagina Panoramica.For internal IP addresses, this can be found on the Overview page.

D. L'IP o il DNS cambia durante il ciclo di vita del gateway applicazione?Q. Does the IP or DNS change over the lifetime of the Application Gateway?

L'indirizzo VIP può cambiare se il gateway viene arrestato e avviato dal cliente.The VIP can change if the gateway is stopped and started by the customer. Il DNS associato al gateway applicazione non cambia durante il ciclo di vita del gateway.The DNS associated with Application Gateway does not change over the lifecycle of the gateway. Per questo motivo è consigliabile usare un alias CNAME che punti all'indirizzo DNS del gateway applicazione.For this reason, it is recommended to use a CNAME alias and point it to the DNS address of the Application Gateway.

D. Il gateway applicazione supporta l'IP statico?Q. Does Application Gateway support static IP?

No, il gateway applicazione non supporta indirizzi IP pubblici statici, ma supporta indirizzi IP interni statici.No, Application Gateway does not support static public IP addresses, but it does support static internal IPs.

D. Il gateway applicazione supporta più indirizzi IP pubblici nel gateway?Q. Does Application Gateway support multiple public IPs on the gateway?

Il gateway applicazione supporta un solo indirizzo IP pubblico.Only one public IP address is supported on an Application Gateway.

D. Il gateway applicazione supporta le intestazioni x-forwarded-for?Q. Does Application Gateway support x-forwarded-for headers?

Sì, il gateway applicazione inserisce le intestazioni x-forwarded-for, x-forwarded-proto e x-forwarded-port nella richiesta inoltrata al back-end.Yes, Application Gateway inserts x-forwarded-for, x-forwarded-proto, and x-forwarded-port headers into the request forwarded to the backend. Il formato dell'intestazione x-forwarded-for è un elenco di IP:Porta separato da virgole.The format for x-forwarded-for header is a comma-separated list of IP:Port. I valori validi per x-forwarded-proto sono http o https.The valid values for x-forwarded-proto are http or https. X-forwarded-port specifica la porta raggiunta dalla richiesta nel gateway applicazione.X-forwarded-port specifies the port at which the request reached at the Application Gateway.

D. Quanto tempo occorre per distribuire un gateway applicazione? Il gateway applicazione funziona durante l'aggiornamento?Q. How long does it take to deploy an Application Gateway? Does my Application Gateway still work when being updated?

Nuove distribuzioni di gateway applicazione possono richiedere fino a 20 minuti per effettuare il provisioning.New Application Gateway deployments can take up to 20 minutes to provision. Le modifiche all'istanza di conteggio/dimensioni non causano problemi e il gateway rimane attivo durante questo periodo di tempo.Changes to instance size/count are not disruptive, and the gateway remains active during this time.

ConfigurazioneConfiguration

D. Il gateway applicazione viene sempre distribuito in una rete virtuale?Q. Is Application Gateway always deployed in a virtual network?

Sì, il gateway applicazione viene sempre distribuito in una subnet di rete virtuale.Yes, Application Gateway is always deployed in a virtual network subnet. Questa subnet può contenere solo gateway applicazione.This subnet can only contain Application Gateways.

D. Il gateway applicazione può comunicare con istanze all'esterno della rete virtuale?Q. Can Application Gateway talk to instances outside its virtual network?

Il gateway applicazione può comunicare con le istanze all'esterno della rete virtuale nella quale si trova se è disponibile la connettività IP.Application Gateway can talk to instances outside of the virtual network that it is in as long as there is IP connectivity. Se si prevede di usare indirizzi IP interni come membri del pool back-end, è necessario il peering reti virtuali o il gateway VPN.If you plan to use internal IPs as backend pool members, then it requires VNET Peering or VPN Gateway.

D. È possibile distribuire altri elementi nella subnet del gateway applicazione?Q. Can I deploy anything else in the Application Gateway subnet?

No, ma è possibile distribuire altri gateway applicazione nella subnet.No, but you can deploy other application gateways in the subnet.

D. I gruppi di sicurezza di rete sono supportati nella subnet del gateway applicazione?Q. Are Network Security Groups supported on the Application Gateway subnet?

I gruppi di sicurezza di rete sono supportati nella subnet del gateway applicazione con le restrizioni seguenti:Network Security Groups are supported on the Application Gateway subnet with the following restrictions:

  • Le eccezioni devono essere inserite per il traffico in entrata sulle porte 65503-65534 affinché l'integrità del back-end funzioni correttamente.Exceptions must be put in for incoming traffic on ports 65503-65534 for backend health to work correctly.

  • La connettività Internet in uscita non può essere bloccata.Outbound internet connectivity can not be blocked.

  • È necessario consentire il traffico dal tag AzureLoadBalancer.Traffic from the AzureLoadBalancer tag must be allowed.

D. Quali sono i limiti del gateway applicazione? È possibile aumentare questi limiti?Q. What are the limits on Application Gateway? Can I increase these limits?

Vedere Limiti del gateway applicazione per informazioni sui limiti.Visit Application Gateway Limits to view the limits.

D. È possibile usare il gateway applicazione per il traffico interno ed esterno contemporaneamente?Q. Can I use Application Gateway for both external and internal traffic simultaneously?

Sì, il gateway applicazione supporta un indirizzo IP interno e un indirizzo IP esterno.Yes, Application Gateway supports having one internal IP and one external IP per Application Gateway.

D. Il peering reti virtuali è supportato?Q. Is VNet peering supported?

Sì, il peering reti virtuali è supportato ed è utile per il bilanciamento del carico del traffico in altre reti virtuali.Yes, VNet peering is supported and is beneficial for load balancing traffic in other virtual networks.

D. È possibile comunicare con server locali se connessi da tunnel VPN o ExpressRoute?Q. Can I talk to on-premises servers when they are connected by ExpressRoute or VPN tunnels?

Sì, se il traffico è consentito.Yes, as long as traffic is allowed.

D. È possibile avere un pool back-end che serve molte applicazioni su porte diverse?Q. Can I have one backend pool serving many applications on different ports?

L'architettura di microservizi è supportata.Micro service architecture is supported. È necessario configurare più impostazioni HTTP per il probe su porte diverse.You would need multiple http settings configured to probe on different ports.

D. I probe personalizzati supportano caratteri jolly o regex nei dati di risposta?Q. Do custom probes support wildcards/regex on response data?

I probe personalizzati non supportano caratteri jolly o regex nei dati di risposta.Custom probes do not support wildcard or regex on response data.

D. Come vengono elaborate le regole?Q. How are rules processed?

Le regole vengono elaborate nell'ordine in cui sono configurate.Rules are processed in the order they are configured. È consigliabile che le regole multisito siano configurate prima delle regole di base per ridurre le probabilità che il traffico sia indirizzato a un back-end inappropriato, in quanto la regola di base selezionarebbe il traffico in base alla porta prima che venga valutata la regola multisito.It is recommended that multi-site rules are configured before basic rules to reduce the chance that traffic is routed to the inappropriate backend as the basic rule would match traffic based on port prior to the multi-site rule being evaluated.

D. Come vengono elaborate le regole?Q. How are rules processed?

Le regole vengono elaborate nell'ordine in cui sono create.Rules are processed in the order they are created. È consigliabile configurare le regole multisito prima delle regole di base.It is recommended that multi-site rules are configured before basic rules. Configurando prima i listener multisito, la configurazione riduce le probabilità che il traffico venga instradato al back-end non appropriato.By configuring multi-site listeners first, this configuration reduces the chance that traffic is routed to the inappropriate backend. Questo problema di routing può verificarsi se la regola di base corrisponde al traffico in base alla porta prima che venga valutata la regola multisito.This routing issue can occur as the basic rule would match traffic based on port prior to the multi-site rule being evaluated.

D. Cosa indica il campo Host per i probe personalizzati?Q. What does the Host field for custom probes signify?

Il campo Host specifica il nome a cui inviare il probe.Host field specifies the name to send the probe to. Applicabile solo quando vengono configurati più siti nel gateway applicazione. In caso contrario, usare "127.0.0.1".Applicable only when multi-site is configured on Application Gateway, otherwise use '127.0.0.1'. Questo valore è diverso dal nome host della VM ed è nel formato <protocollo>://<host>:<porta><percorso>.This value is different from VM host name and is in format <protocol>://<host>:<port><path>.

D. È possibile consentire l'accesso al gateway applicazione ad alcuni IP di origine?Q. Can I whitelist Application Gateway access to a few source IPs?

Questo scenario è possibile usando gruppi di sicurezza di rete nella subnet del gateway applicazione.This scenario can be done using NSGs on Application Gateway subnet. Nella subnet nell'ordine di priorità elencato, è necessario inserire le restrizioni seguenti:The following restrictions should be put on the subnet in the listed order of priority:

  • Consentire il traffico in ingresso dall'intervallo di IP/IP di origine.Allow incoming traffic from source IP/IP range.

  • Consentire le richieste in ingresso da tutte le origini alle porte 65503-65534 per la comunicazione integrità back-end.Allow incoming requests from all sources to ports 65503-65534 for backend health communication.

  • Consentire probe di bilanciamento del carico di Azure in ingresso (tag AzureLoadBalancer) e il traffico di rete virtuale in ingresso (tag VirtualNetwork) nei gruppi di sicurezza di rete.Allow incoming Azure Load Balancer probes (AzureLoadBalancer tag) and inbound virtual network traffic (VirtualNetwork tag) on the NSG.

  • Bloccare tutto il traffico in ingresso con una regola Nega tutto.Block all other incoming traffic with a Deny all rule.

  • Consentire il traffico in uscita a Internet per tutte le destinazioni.Allow outbound traffic to the internet for all destinations.

PrestazioniPerformance

D. In che modo il gateway applicazione supporta la disponibilità elevata e la scalabilità?Q. How does Application Gateway support high availability and scalability?

Il gateway applicazione supporta scenari di disponibilità elevata se sono presenti due o più istanze distribuite.Application Gateway supports high availability scenarios when you have two or more instances deployed. Azure distribuisce queste istanze nei domini di errore e di aggiornamento per impedire l'arresto simultaneo di tutte le istanze.Azure distributes these instances across update and fault domains to ensure that all instances do not fail at the same time. Il gateway applicazione supporta la scalabilità tramite l'aggiunta di più istanze dello stesso gateway per ripartire il carico.Application Gateway supports scalability by adding multiple instances of the same gateway to share the load.

D. Come si ottiene uno scenario di ripristino di emergenza tra data center con un gateway applicazione?Q. How do I achieve DR scenario across data centers with Application Gateway?

I clienti possono usare Gestione traffico per distribuire il traffico tra più gateway applicazione in data center diversi.Customers can use Traffic Manager to distribute traffic across multiple Application Gateways in different datacenters.

D. La scalabilità automatica è supportata?Q. Is auto scaling supported?

No, ma il gateway applicazione offre una metrica della velocità effettiva che può essere usata per ricevere un avviso quando viene raggiunta una soglia.No, but Application Gateway has a throughput metric that can be used to alert you when a threshold is reached. L'operazione manuale di aggiunta di istanze o ridimensionamento non provoca il riavvio del gateway e non ha alcun impatto sul traffico esistente.Manually adding instances or changing size does not restart the gateway and does not impact existing traffic.

D. Il ridimensionamento manuale causa tempi di inattività?Q. Does manual scale up/down cause downtime?

Non si verificano tempi di inattività, le istanze vengono distribuite tra domini di aggiornamento e domini di errore.There is no downtime, instances are distributed across upgrade domains and fault domains.

D. È possibile modificare le dimensioni di un'istanza da medie a grandi senza interruzioni?Q. Can I change instance size from medium to large without disruption?

Sì, Azure distribuisce le istanze nei domini di errore e di aggiornamento per impedire l'arresto simultaneo di tutte le istanze.Yes, Azure distributes instances across update and fault domains to ensure that all instances do not fail at the same time. Il gateway applicazione supporta la scalabilità con l'aggiunta di più istanze dello stesso gateway per la condivisione del carico.Application Gateway supports scaling by adding multiple instances of the same gateway to share the load.

Configurazione SSLSSL Configuration

D. Quali certificati sono supportati dal gateway applicazione?Q. What certificates are supported on Application Gateway?

Sono supportati certificati autofirmati, certificati della CA e certificati con caratteri jolly.Self signed certs, CA certs, and wild-card certs are supported. I certificati di convalida estesa non sono supportati.EV certs are not supported.

D. Quali sono i pacchetti di crittografia attualmente supportati dal gateway applicazione?Q. What are the current cipher suites supported by Application Gateway?

Di seguito sono elencati i pacchetti di crittografia attualmente supportati dal gateway applicazione.The following are the current cipher suites supported by application gateway. Per informazioni su come configurare le opzioni SSL, vedere l'articolo Configure SSL policy versions and cipher suites on Application Gateway (Configurare versioni di criteri SSL e pacchetti di crittografia nel gateway applicazione).Visit: Configure SSL policy versions and cipher suites on Application Gateway to learn how to customize SSL options.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHATLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHATLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHATLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHATLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

D. Il gateway applicazione supporta anche la ripetizione della crittografia del traffico nel back-end?Q. Does Application Gateway also support re-encryption of traffic to the backend?

Sì, il gateway applicazione supporta l'offload SSL e l'SSL end-to-end, che consente di crittografare nuovamente il traffico nel back-end.Yes, Application Gateway supports SSL offload, and end to end SSL, which re-encrypts the traffic to the backend.

D. È possibile configurare i criteri SSL per gestire le versioni del protocollo SSL?Q. Can I configure SSL policy to control SSL Protocol versions?

Sì, è possibile configurare il gateway applicazione per rifiutare TLS1.0, TLS1.1 e TLS1.2.Yes, you can configure Application Gateway to deny TLS1.0, TLS1.1, and TLS1.2. SSL 2.0 e 3.0 sono già disabilitati per impostazione predefinita e non sono configurabili.SSL 2.0 and 3.0 are already disabled by default and are not configurable.

D. È possibile configurare l'ordine dei pacchetti di crittografia e dei criteri?Q. Can I configure cipher suites and policy order?

Sì, la configurazione dei pacchetti di crittografia è supportata.Yes, configuration of cipher suites is supported. Quando si definiscono criteri personalizzati, deve essere abilitato almeno uno dei pacchetti di crittografia seguenti.When defining a custom policy, at least one of the following cipher suites must be enabled. Il gateway applicazione usa SHA256 per la gestione del back-end.Application gateway uses SHA256 to for backend management.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256

D. Quanti certificati SSL sono supportati?Q. How many SSL certificates are supported?

Sono supportati fino a 20 certificati SSL.Up to 20 SSL certificates are supported.

D. Quanti certificati di autenticazione sono supportati per la ripetizione della crittografia nel back-end?Q. How many authentication certificates for backend re-encryption are supported?

Sono supportati fino a 10 certificati di autenticazione con un valore predefinito di 5.Up to 10 authentication certificates are supported with a default of 5.

D. Il gateway applicazione si integra con Azure Key Vault in modo nativo?Q. Does Application Gateway integrate with Azure Key Vault natively?

No, non è integrato con Azure Key Vault.No, it is not integrated with Azure Key Vault.

Configurazione del Web application firewall (WAF)Web Application Firewall (WAF) Configuration

D. Lo SKU del WAF offre tutte le funzionalità disponibili con lo SKU Standard?Q. Does the WAF SKU offer all the features available with the Standard SKU?

Sì, il WAF offre tutte le funzionalità disponibili nello SKU Standard.Yes, WAF supports all the features in the Standard SKU.

D. Qual è la versione di CRS supportata dal gateway applicazione?Q. What is the CRS version Application Gateway supports?

Il gateway applicazione supporta CRS 2.2.9 e CRS 3.0.Application Gateway supports CRS 2.2.9 and CRS 3.0.

D. Come si monitora il Web application firewall?Q. How do I monitor WAF?

Il Web application firewall viene monitorato tramite la registrazione diagnostica. Per altre informazioni sulla registrazione diagnostica, vedere Integrità back-end, registrazione diagnostica e metriche per il gateway applicazioneWAF is monitored through diagnostic logging, more information on diagnostic logging can be found at Diagnostics Logging and Metrics for Application Gateway

D. La modalità di rilevamento blocca il traffico?Q. Does detection mode block traffic?

No, la modalità di rilevamento registra solo il traffico che ha attivato una regola del Web application firewall.No, detection mode only logs traffic, which triggered a WAF rule.

D. Come si personalizzano le regole del Web application firewall?Q. How do I customize WAF rules?

Sì, le regole WAF sono personalizzabili. Per altre informazioni sulla relativa personalizzazione, vedere Customize WAF rule groups and rules (Personalizzare le regole e i gruppi di regole di WAF)Yes, WAF rules are customizable, for more information on how to customize them visit Customize WAF rule groups and rules

D. Quali regole sono attualmente disponibili?Q. What rules are currently available?

Il Web application firewall supporta attualmente CRS 2.2.9 e 3.0, che offre la protezione di base per la maggior parte delle prime 10 vulnerabilità identificate dall'Open Web Application Security Project (OWASP) disponibili in Prime 10 vulnerabilità OWASPWAF currently supports CRS 2.2.9 and 3.0, which provide baseline security against most of the top 10 vulnerabilities identified by the Open Web Application Security Project (OWASP) found here OWASP top 10 Vulnerabilities

  • Protezione dagli attacchi SQL injectionSQL injection protection

  • Protezione dagli attacchi di scripting intersitoCross site scripting protection

  • Protezione dai comuni attacchi Web, ad esempio attacchi di iniezione di comandi, richieste HTTP non valide, attacchi HTTP Response Splitting e Remote File InclusionCommon Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack

  • Protezione dalle violazioni del protocollo HTTPProtection against HTTP protocol violations

  • Protezione contro eventuali anomalie del protocollo HTTP, ad esempio user agent host mancante e accept headerProtection against HTTP protocol anomalies such as missing host user-agent and accept headers

  • Prevenzione contro robot, crawler e scannerPrevention against bots, crawlers, and scanners

    • Rilevamento di errori di configurazione dell'applicazione comuni (ad esempio, Apache, IIS e così via)Detection of common application misconfigurations (that is, Apache, IIS, etc.)

D. Il WAF supporta anche la prevenzione DDoS?Q. Does WAF also support DDoS prevention?

No, non fornisce la prevenzione DDoS.No, WAF does not provide DDoS prevention.

Diagnostica e registrazioneDiagnostics and Logging

D. Quali tipi di log sono disponibili con il gateway applicazione?Q. What types of logs are available with Application Gateway?

Sono disponibili tre log con il gateway applicazione.There are three logs available for Application Gateway. Per altre informazioni su questi log e altre funzionalità di diagnostica, vedere Integrità back-end, log di diagnostica e metriche per il gateway applicazione.For more information on these logs and other diagnostic capabilities, visit Backend health, diagnostics logs, and metrics for Application Gateway.

  • ApplicationGatewayAccessLog: il log di accesso contiene ogni richiesta inviata al front-end del gateway applicazione.ApplicationGatewayAccessLog - The access log contains each request submitted to the Application Gateway frontend. I dati includono indirizzo IP del chiamante, URL richiesto, latenza della risposta, codice restituito, byte in ingresso e in uscita. Il log di accesso viene raccolto ogni 300 secondi.The data includes the caller's IP, URL requested, response latency, return code, bytes in and out. Access log is collected every 300 seconds. Il log contiene un record per ogni istanza del gateway applicazione.This log contains one record per instance of Application Gateway.
  • ApplicationGatewayPerformanceLog: il log delle prestazioni acquisisce le informazioni sulle prestazioni di ogni singola istanza, come il totale delle richieste servite, la velocità effettiva in byte, il numero delle richieste non riuscite e il numero delle istanze back-end integre e non integre.ApplicationGatewayPerformanceLog - The performance log captures performance information on per instance basis including total request served, throughput in bytes, total requests served, failed request count, healthy and unhealthy back-end instance count.
  • ApplicationGatewayFirewallLog: il log del firewall contiene le richieste registrate tramite la modalità di rilevamento o prevenzione di un gateway applicazione configurato con il Web application firewall.ApplicationGatewayFirewallLog - The firewall log contains requests that are logged through either detection or prevention mode of an application gateway that is configured with web application firewall.

D. Come è possibile sapere se i membri del pool back-end sono integri?Q. How do I know if my backend pool members are healthy?

È possibile usare il cmdlet Get-AzureRmApplicationGatewayBackendHealth di PowerShell o verificare l'integrità tramite il portale. Vedere la diagnostica del gateway applicazione.You can use the PowerShell cmdlet Get-AzureRmApplicationGatewayBackendHealth or verify health through the portal by visiting Application Gateway Diagnostics

D. Che cos'è il criterio di conservazione per i log di diagnostica?Q. What is the retention policy on the diagnostics logs?

I log di diagnostica vengono inseriti nell'account di archiviazione dei clienti, i quali possono impostare i criteri di conservazione in base alle preferenze.Diagnostic logs flow to the customers storage account and customers can set the retention policy based on their preference. I log di diagnostica possono anche essere inviati a un hub eventi o a Log Analytics.Diagnostic logs can also be sent to an Event Hub or Log Analytics. Vedere Diagnostica del gateway applicazione per altri dettagli.Visit Application Gateway Diagnostics for more details.

D. Come si ottengono i log di controllo per il gateway applicazione?Q. How do I get audit logs for Application Gateway?

Sono disponibili log di controllo per il gateway applicazione.Audit logs are available for Application Gateway. Nel portale fare clic su Log attività nel pannello del menu di un gateway applicazione per accedere al log di controllo.In the portal, click Activity Log in the menu blade of an Application Gateway to access the audit log.

D. È possibile impostare avvisi con il gateway applicazione?Q. Can I set alerts with Application Gateway?

Sì, il gateway applicazione supporta gli avvisi, che vengono configurati in base alle metriche.Yes, Application Gateway does support alerts, alerts are configured off metrics. Il gateway applicazione ha attualmente una metrica di "velocità effettiva" che può essere configurata per l'invio di avvisi.Application Gateway currently has a metric of "throughput", which can be configured to alert. Per altre informazioni sugli avvisi, vedere Ricevere notifiche di avviso.To learn more about alerts, visit Receive alert notifications.

D. L'integrità back-end restituisce uno stato sconosciuto. Quale potrebbe essere la causa?Q. Backend health returns unknown status, what could be causing this status?

Nella maggior parte dei casi, l'accesso al back-end è bloccato da un gruppo di sicurezza di rete o un DNS personalizzato.The most common reason is access to the backend is being blocked by an NSG or custom DNS. Vedere Integrità back-end, registrazione diagnostica e metriche per il gateway applicazione per altre informazioni.Visit Backend health, diagnostics logging, and metrics for Application Gateway to learn more.

Passaggi successiviNext Steps

Per altre informazioni sul gateway applicazione, vedere la panoramica del gateway applicazione.To learn more about Application Gateway visit Introduction to Application Gateway.