Web application firewall (WAF)Web application firewall (WAF)

Web application firewall (WAF) è una funzionalità del gateway applicazione che offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni.Web application firewall (WAF) is a feature of Application Gateway that provides centralized protection of your web applications from common exploits and vulnerabilities.

Il Web application firewall si basa sulle regole di OWASP Core Rule Set 3.0 o 2.2.9.Web application firewall is based on rules from the OWASP core rule sets 3.0 or 2.2.9. Le applicazioni Web sono sempre più vittime di attacchi che sfruttano le più comuni vulnerabilità note.Web applications are increasingly targets of malicious attacks that exploit common known vulnerabilities. Per citarne alcuni, tra i più comuni troviamo gli attacchi SQL injection e gli attacchi di scripting intersito.Common among these exploits are SQL injection attacks, cross site scripting attacks to name a few. Impedire questo tipo di attacchi nel codice dell'applicazione può risultare un'operazione complessa e potrebbe richiedere una manutenzione rigorosa, l'applicazione di patch e il monitoraggio a più livelli della topologia dell'applicazione.Preventing such attacks in application code can be challenging and may require rigorous maintenance, patching and monitoring at multiple layers of the application topology. Un Web application firewall centralizzato semplifica notevolmente la gestione della sicurezza e offre agli amministratori delle applicazioni migliori garanzie contro le minacce o le intrusioni.A centralized web application firewall helps make security management much simpler and gives better assurance to application administrators against threats or intrusions. Una soluzione WAF è anche in grado di reagire più velocemente a una minaccia alla sicurezza tramite l'applicazione di patch su una vulnerabilità nota in una posizione centrale, anziché proteggere ogni singola applicazione Web.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. È possibile convertire facilmente i gateway applicazione esistenti in un gateway applicazione con Web application firewall.Existing application gateways can be converted to a web application firewall enabled application gateway easily.

imageURLroute

Il gateway applicazione funziona come controller per la distribuzione di applicazioni che offre terminazione SSL, affinità di sessione basate su cookie, distribuzione del carico round robin, routing basato sui contenuti, possibilità di ospitare più siti Web e miglioramenti alla sicurezza.Application Gateway operates as an application delivery controller and offers SSL termination, cookie-based session affinity, round-robin load distribution, content-based routing, ability to host multiple websites and security enhancements. I miglioramenti della sicurezza offerti dal gateway applicazione includono la gestione dei criteri di SSL e il supporto di SSL end-to-end.Security enhancements offered by Application Gateway include SSL policy management, end to end SSL support. La sicurezza delle applicazioni è ora potenziata dall'integrazione diretta di Web application firewall nell'offerta ADC.Application security is now strengthened by WAF (web application firewall) being directly integrated into the ADC offering. In questo modo è facile configurare una posizione centrale per gestire e proteggere le applicazioni Web dalle vulnerabilità Web più comuni.This provides an easy to configure central location to manage and protect your web applications against common web vulnerabilities.

VantaggiBenefits

Di seguito sono indicati i vantaggi principali del gateway applicazione e del Web application firewall:The following are the core benefits that Application Gateway and web application firewall provide:

ProtezioneProtection

  • Protezione dell'applicazione Web dalle vulnerabilità e dagli attacchi del Web, senza alcuna modifica al codice di back-end.Protect your web application from web vulnerabilities and attacks without modification to backend code.

  • Protezione contemporanea di più applicazioni Web con un gateway applicazione.Protect multiple web applications at the same time behind an application gateway. Il gateway applicazione supporta l'hosting di un massimo di 20 siti Web su un singolo gateway. Tutti questi siti possono essere protetti dagli attacchi Web con Web application firewall.Application gateway supports hosting up to 20 websites behind a single gateway that could all be protected against web attacks with WAF.

MonitoraggioMonitoring

  • Monitorare l'applicazione Web contro gli attacchi tramite un log di Web application firewall in tempo reale.Monitor your web application against attacks using a real-time WAF log. Questo log è integrato in Monitoraggio di Azure per tenere traccia degli avvisi e dei log di Web application firewall e monitorare facilmente le tendenze.This log is integrated with Azure Monitor to track WAF alerts and logs and easily monitor trends.

  • Web application firewall sarà presto integrato con il Centro sicurezza di Azure.WAF will be integrated with Azure Security Center soon. Il Centro sicurezza di Azure offre una visualizzazione centralizzata dello stato di sicurezza di tutte le risorse di Azure.Azure Security Center allows for a central view of the security state of all your Azure resources.

PersonalizzazioneCustomization

  • Possibilità di personalizzare le regole di Web application firewall e i gruppi di regole per soddisfare i requisiti dell'applicazione ed eliminare i falsi positivi.The ability to customize WAF rules and rule groups to suit your application requirements and eliminate false positives.

FunzionalitàFeatures

Web application firewall è preconfigurato con CRS 3.0 per impostazione predefinita, ma è possibile scegliere di usare la versione 2.2.9.Web application firewall comes preconfigured with CRS 3.0 by default or you can choose to use 2.2.9. CRS 3.0 offre meno falsi positivi rispetto alla versione 2.2.9.CRS 3.0 offers reduced false positives over 2.2.9. È possibile personalizzare le regole in base alle esigenze.The ability to customize rules to suit your needs is provided. Le vulnerabilità Web per le quali Web application firewall offre protezione includono:Some of the common web vulnerabilities which web application firewall protects against includes:

  • Protezione dagli attacchi SQL injectionSQL injection protection
  • Protezione dagli attacchi di scripting intersitoCross site scripting protection
  • Protezione dai comuni attacchi Web, ad esempio attacchi di iniezione di comandi, richieste HTTP non valide, attacchi HTTP Response Splitting e Remote File InclusionCommon Web Attacks Protection such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack
  • Protezione dalle violazioni del protocollo HTTPProtection against HTTP protocol violations
  • Protezione contro eventuali anomalie del protocollo HTTP, ad esempio user agent host mancante e accept headerProtection against HTTP protocol anomalies such as missing host user-agent and accept headers
  • Prevenzione contro robot, crawler e scannerPrevention against bots, crawlers, and scanners
  • Rilevamento di errori di configurazione comuni dell'applicazione (ad esempio, Apache, IIS e così via)Detection of common application misconfigurations (i.e. Apache, IIS, etc.)

Per un elenco dettagliato delle regole e delle relative funzionalità di protezione, vedere i set di regole principali seguenti.For a more detailed list of rules and their protections see the following Core rule sets.

Set di regole principaliCore rule sets

Il gateway applicazione supporta due set di regole, ovvero CRS 3.0 e CRS 2.2.9.Application Gateway supports two rule sets, CRS 3.0, and CRS 2.2.9. Questi set di regole principali sono raccolte di regole che proteggono le applicazioni Web da attività dannose.These core rules sets are collections of rules that protect your web applications for malicious activity.

OWASP_3.0OWASP_3.0

Il set di regole principali 3.0 fornito offre 13 gruppi di regole come illustrato nella tabella seguente.The 3.0 core rule set provided has 13 rule groups as shown in the following table. Ognuno di questi gruppi di regole contiene più regole che possono essere disabilitate.Each of these rule groups contains multiple rules, which can be disabled.

RuleGroupRuleGroup DescrizioneDescription
REQUEST-910-IP-REPUTATIONREQUEST-910-IP-REPUTATION Contiene le regole per la protezione da spammer noti o attività dannose.Contains rules to protect against known spammers or malicious activity.
REQUEST-911-METHOD-ENFORCEMENTREQUEST-911-METHOD-ENFORCEMENT Contiene le regole per bloccare i metodi (PUT, PATCH< e così via)Contains rules to lock down methods (PUT, PATCH< ..)
REQUEST-912-DOS-PROTECTIONREQUEST-912-DOS-PROTECTION Contiene le regole per la protezione da attacchi di tipo Denial of Service (DoS).Contains rules to protect against Denial of Service (DoS) attacks.
REQUEST-913-SCANNER-DETECTIONREQUEST-913-SCANNER-DETECTION Contiene le regole per la protezione da scanner di ambienti e porte.Contains rules to protect against port and environment scanners.
REQUEST-920-PROTOCOL-ENFORCEMENTREQUEST-920-PROTOCOL-ENFORCEMENT Contiene le regole per la protezione da problemi di protocollo e codifica.Contains rules to protect against protocol and encoding issues.
REQUEST-921-PROTOCOL-ATTACKREQUEST-921-PROTOCOL-ATTACK Contiene le regole per la protezione da header injection, request smuggling e response splittingContains rules to protect against header injection, request smuggling, and response splitting
REQUEST-930-APPLICATION-ATTACK-LFIREQUEST-930-APPLICATION-ATTACK-LFI Contiene le regole per la protezione da attacchi in file e percorsi.Contains rules to protect against file and path attacks.
REQUEST-931-APPLICATION-ATTACK-RFIREQUEST-931-APPLICATION-ATTACK-RFI Contiene le regole per la protezione da Remote File Inclusion (RFI)Contains rules to protect against Remote File Inclusion (RFI)
REQUEST-932-APPLICATION-ATTACK-RCEREQUEST-932-APPLICATION-ATTACK-RCE Contiene le regole per la protezione da Remote Code Execution.Contains rules to protect again Remote Code Execution.
REQUEST-933-APPLICATION-ATTACK-PHPREQUEST-933-APPLICATION-ATTACK-PHP Contiene le regole per la protezione da attacchi PHP injection.Contains rules to protect against PHP injection attacks.
REQUEST-941-APPLICATION-ATTACK-XSSREQUEST-941-APPLICATION-ATTACK-XSS Contiene le regole per la protezione da cross site scripting.Contains rules for protecting against cross site scripting.
REQUEST-942-APPLICATION-ATTACK-SQLIREQUEST-942-APPLICATION-ATTACK-SQLI Contiene le regole per la protezione da attacchi SQL injection.Contains rules for protecting against SQL injection attacks.
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATIONREQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Contiene le regole per la protezione da attacchi Session Fixation.Contains rules to protect against Session Fixation Attacks.

OWASP_2.2.9OWASP_2.2.9

Il set di regole principali 2.2.9 fornito offre 10 gruppi di regole come illustrato nella tabella seguente.The 2.2.9 core rule set provided has 10 rule groups as shown in the following table. Ognuno di questi gruppi di regole contiene più regole che possono essere disabilitate.Each of these rule groups contains multiple rules, which can be disabled.

RuleGroupRuleGroup DescrizioneDescription
crs_20_protocol_violationscrs_20_protocol_violations Contiene le regole per la protezione da violazioni del protocollo, ovvero caratteri non validi, GET con un corpo di richiesta e così via.Contains rules to protect against protocol violations (invalid characters, GET with a request body, etc.)
crs_21_protocol_anomaliescrs_21_protocol_anomalies Contiene le regole per la protezione da informazioni di intestazione errate.Contains rules to protect against incorrect header information.
crs_23_request_limitscrs_23_request_limits Contiene le regole per la protezione da argomenti o file che superano i limiti.Contains rules to protect against arguments or files that exceed limitations.
crs_30_http_policycrs_30_http_policy Contiene le regole per la protezione da metodi, intestazioni e tipi di file con restrizioni.Contains rules to protect against restricted methods, headers, and file types.
crs_35_bad_robotscrs_35_bad_robots Contiene le regole per la protezione da agenti di ricerca Web e scanner.Contains rules to protect against web crawlers and scanners.
crs_40_generic_attackscrs_40_generic_attacks Contiene le regole per la protezione da attacchi generici, ovvero Session Fixation, Remote File Inclusion, PHP injection e così via.Contains rules to protect against generic attacks (session fixation, remote file inclusion, PHP injection, etc.)
crs_41_sql_injection_attackscrs_41_sql_injection_attacks Contiene le regole per la protezione da attacchi SQL injectionContains rules to protect against SQL injection attacks
crs_41_xss_attackscrs_41_xss_attacks Contiene le regole per la protezione da cross site scripting.Contains rules to protect against cross site scripting.
crs_42_tight_securitycrs_42_tight_security Contiene una regola per la protezione da attacchi Path TraversalContains a rule to protect against path traversal attacks
crs_45_trojanscrs_45_trojans Contiene regole per la protezione da backdoor trojan.Contains rules to protect against backdoor Trojans.

Modalità del WAFWAF Modes

Il WAF del gateway applicazione può essere configurato per l'esecuzione nelle due modalità seguenti:Application Gateway WAF can be configured to run in the following two modes:

  • Modalità di rilevamento: quando configurato per l'esecuzione in modalità di rilevamento, il WAF del gateway applicazione monitora e registra tutti gli avvisi sulle minacce in un file di log.Detection mode – When configured to run in detection mode, Application Gateway WAF monitors and logs all threat alerts in to a log file. È necessario abilitare la registrazione diagnostica per il gateway applicazione usando la sezione Diagnostica.Logging diagnostics for Application Gateway should be turned on using the Diagnostics section. Verificare anche che il log del WAF sia selezionato e attivato.You also need to ensure that the WAF log is selected and turned on. Quando viene eseguito in modalità di rilevamento, Web application firewall non blocca le richieste in ingresso.When running in detection mode web application firewall does not block incoming requests.
  • Modalità di prevenzione : quando configurato per l'esecuzione in modalità di prevenzione, il gateway applicazione blocca attivamente le intrusioni e gli attacchi rilevati tramite le regole.Prevention mode – When configured to run in prevention mode, Application Gateway actively blocks intrusions and attacks detected by its rules. L'autore dell'attacco riceve un'eccezione di accesso non autorizzato 403 e la connessione viene terminata.The attacker receives a 403 unauthorized access exception and the connection is terminated. La modalità di prevenzione continua a registrare gli attacchi nei registri del WAF.Prevention mode continues to log such attacks in the WAF logs.

Monitoraggio WAFWAF Monitoring

Il monitoraggio dello stato del gateway applicazione è un'attività importante.Monitoring the health of your application gateway is important. Il monitoraggio dell'integrità di Web application firewall e delle applicazioni protette è reso possibile dalla registrazione e dall'integrazione con Monitoraggio di Azure, il Centro sicurezza di Azure (presto disponibile) e Log Analytics.Monitoring the health of your web application firewall and the applications that it protects are provided through logging and integration with Azure Monitor, Azure Security Center (coming soon), and Log Analytics.

diagnostica

Monitoraggio di AzureAzure Monitor

Ogni log del gateway applicazione è integrato con Monitoraggio di Azure.Each application gateway log is integrated with Azure Monitor. Ciò consente di tenere traccia delle informazioni diagnostiche, inclusi i registri e gli avvisi del Web application firewall.This allows you to track diagnostic information including WAF alerts and logs. Questa funzionalità viene fornita all'interno della risorsa del gateway applicazione nella scheda Diagnostica del portale o direttamente tramite il servizio Monitoraggio di Azure.This capability is provided within the Application Gateway resource in the portal under the Diagnostics tab or through the Azure Monitor service directly. Per altre informazioni sull'abilitazione dei log di diagnostica per il gateway applicazione, vedere la diagnostica per il gateway applicazioneTo learn more about enabling diagnostic logs for application gateway visit Application Gateway diagnostics

Centro sicurezza di AzureAzure Security Center

Il Centro sicurezza di Azure consente di prevenire, rilevare e rispondere alle minacce con un livello di visibilità e controllo più elevato della sicurezza delle risorse di Azure.Azure Security Center helps you prevent, detect, and respond to threats with increased visibility into and control over the security of your Azure resources. Il gateway applicazione è ora integrato nel Centro sicurezza di Azure.Application gateway now integrates into Azure Security Center. Il Centro sicurezza di Azure analizza l'ambiente per rilevare eventuali applicazioni Web non protetteAzure Security Center scans your environment to detect unprotected web applications. ed è ora in grado di consigliare il WAF del gateway applicazione per proteggere le risorse vulnerabili.It can now recommend application gateway WAF to protect these vulnerable resources. È possibile creare il WAF del gateway applicazione direttamente dal Centro sicurezza di Azure.You can directly create application gateway WAF from the Azure Security Center. Queste istanze WAF sono integrate nel Centro sicurezza di Azure, a cui inviano avvisi e informazioni sull'integrità per consentire la creazione di report.These WAF instances are integrated with Azure Security Center and will send alerts and health information back to Azure Security Center for reporting.

Figura 1

RegistrazioneLogging

Il WAF del gateway applicazione fornisce rapporti dettagliati su ogni minaccia rilevata.Application Gateway WAF provides detailed reporting on each threat it detects. La registrazione è integrata con i log di diagnostica di Azure e gli avvisi vengono registrati in formato JSON.Logging is integrated with Azure Diagnostics logs and alerts are recorded in a json format. Questi log possono essere integrati con Log Analytics.These logs can be integrated with Log Analytics.

imageURLroute

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    "instanceId": "ApplicationGatewayRole_IN_0",
    "clientIp": "104.210.252.3",
    "clientPort": "4835",
    "requestUri": "/?a=%3Cscript%3Ealert(%22Hello%22);%3C/script%3E",
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "ruleId": "941320",
    "message": "Possible XSS Attack Detected - HTML Tag Handler",
    "action": "Blocked",
    "site": "Global",
    "details": {
      "message": "Warning. Pattern match \"<(a|abbr|acronym|address|applet|area|audioscope|b|base|basefront|bdo|bgsound|big|blackface|blink|blockquote|body|bq|br|button|caption|center|cite|code|col|colgroup|comment|dd|del|dfn|dir|div|dl|dt|em|embed|fieldset|fn|font|form|frame|frameset|h1|head|h ...\" at ARGS:a.",
      "data": "Matched Data: <script> found within ARGS:a: <script>alert(\\x22hello\\x22);</script>",
      "file": "rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf",
      "line": "865"
    }
  }
} 

Prezzi dello SKU WAF del gateway applicazioneApplication Gateway WAF SKU pricing

Web application firewall è disponibile in un nuovo SKU del WAF.Web application firewall is available under a new a WAF SKU. Questo SKU è disponibile solo nel modello di provisioning di Azure Resource Manager e non nel modello di distribuzione classica.This SKU is available only in Azure Resource Manager provisioning model and not under the classic deployment model. Lo SKU del WAF è disponibile solo in istanze del gateway applicazione di medie e grandi dimensioni.Additionally WAF SKU comes only in medium and large application gateway instance sizes. Tutti i limiti relativi al gateway applicazione si applicano anche allo SKU de WAF.All the limits for application gateway also apply to the WAF SKU. I prezzi sono basati su una tariffa oraria per istanza del gateway e una tariffa di elaborazione dei dati.Pricing is based on per hour gateway instance charge and data processing charge. I prezzi orari del gateway per lo SKU del WAF sono diversi dalle tariffe dello SKU standard e sono indicati nella pagina relativa ai dettagli sui prezzi del gateway applicazione.Per hour gateway pricing for WAF SKU is different from Standard SKU charges and can be found at Application Gateway pricing details. Le tariffe di elaborazione dei dati rimangono invariate.Data processing charges remain the same. Non sono presenti tariffe per regola o gruppo di regole.There is no per rule or rule group charges. È possibile proteggere più applicazioni Web dietro lo stesso Web application firewall e non vengono applicati costi aggiuntivi per il supporto di più applicazioni.You can protect multiple web applications behind the same web application firewall and there are no additional charges for supporting multiple applications.

La fatturazione per WAF entrerà in vigore il 5/5/2017, fino ad allora verranno applicate le tariffe standard per lo SKU del WAF.Billing for WAF starts effectively 5/5/2017, until then the WAF SKU gateways continues to be charged at standard rates.

Passaggi successiviNext steps

Dopo aver appreso altre informazioni sulle funzionalità di WAF, vedere Come configurare Web application firewall nel gateway applicazione.After learning more about the capabilities of WAF, visit How to configure web application firewall on Application Gateway.