Creare un gateway applicazione con un web application firewall tramite il portaleCreate an application gateway with a web application firewall by using the portal

Informazioni su come creare un gateway applicazione con web application firewall (WAF) abilitato.Learn how to create a web application firewall (WAF)-enabled application gateway.

Il WAF nel gateway applicazione di Azure protegge le applicazioni Web dai comuni attacchi basati sul Web, come ad esempio gli attacchi SQL injection, gli attacchi di scripting intersito e il controllo delle sessioni.The WAF in Azure Application Gateway protects web applications from common web-based attacks like SQL injection, cross-site scripting attacks, and session hijacks. Un WAF protegge da molte delle 10 vulnerabilità Web OWASP più diffuse.A WAF protects against many of the OWASP top 10 common web vulnerabilities.

ScenariScenarios

Questo articolo contiene due scenari.This article presents two scenarios. Nel primo scenario si apprenderà come creare un gateway applicazione con un WAF.In the first scenario, you learn how to create an application gateway with a WAF. Nel secondo scenario si apprenderà come aggiungere un WAF a un gateway applicazione esistente.In the second scenario, you learn how to add a WAF to an existing application gateway.

Esempio dello scenario

Nota

È possibile aggiungere indirizzi di pool back-end, probe di integrità personalizzati e regole aggiuntive al gateway applicazione.You can add custom health probes, back-end pool addresses, and additional rules to the application gateway. Queste applicazioni vengono configurate dopo la configurazione del gateway applicazione e non durante la distribuzione iniziale.These applications are configured after the application gateway is configured and not during initial deployment.

Prima di iniziareBefore you begin

Un gateway applicazione richiede una propria subnet.An application gateway requires its own subnet. Quando si crea una rete virtuale, assicurarsi di lasciare uno spazio indirizzi sufficiente per più subnet.When you create a virtual network, ensure that you leave enough address space to have multiple subnets. Dopo che un gateway applicazione è stato distribuito in una subnet, alla subnet possono essere aggiunti solo altri gateway applicazione.After you deploy an application gateway to a subnet, only additional application gateways can be added to the subnet.

Aggiungere un web application firewall a un gateway applicazione esistenteAdd a web application firewall to an existing application gateway

Questo esempio aggiorna un gateway applicazione esistente per supportare un WAF in modalità Prevenzione.This example updates an existing application gateway to support a WAF in Prevention mode.

  1. Nel riquadro Preferiti del portale di Azure selezionare Tutte le risorse.In the Azure portal Favorites pane, select All resources. Selezionare il gateway applicazione esistente nel pannello Tutte le risorse.On the All resources blade, select the existing application gateway. Se nella sottoscrizione selezionata sono già presenti delle risorse, è possibile immettere il nome nella casella Filtra per nome per accedere facilmente alla zona DNS.If the subscription you selected already has several resources in it, enter the name in the Filter by name box to easily access the DNS zone.

    Selezione del gateway applicazione esistente

  2. Selezionare Web application firewall e aggiornare le impostazioni del gateway applicazione.Select Web application firewall, and update the application gateway settings. Al termine dell'aggiornamento selezionare Salva.When the update finishes, select Save.

  3. Usare le impostazioni seguenti per aggiornare un gateway applicazione esistente per supportare un WAF:Use the following settings to update an existing application gateway to support a WAF:

    ImpostazioneSetting ValoreValue DettagliDetails
    Eseguire l'aggiornamento al livello WAFUpgrade to WAF tier SelezionatoChecked Questa opzione imposta il livello del gateway applicazione al livello WAF.This option sets the tier of the application gateway to the WAF tier.
    Stato del firewallFirewall status EnabledEnabled Questa impostazione abilita il firewall su WAF.This setting enables the firewall on the WAF.
    Modalità firewallFirewall mode PrevenzionePrevention Questa impostazione riguarda la modalità di gestione del traffico dannoso da parte del WAF.This setting is how a WAF deals with malicious traffic. La modalità Rilevamento consente solo di registrare gli eventi.Detection mode only logs the events. La modalità Prevenzione registra gli eventi e blocca il traffico dannoso.Prevention mode logs the events and stops the malicious traffic.
    Set di regoleRule set 3.03.0 Questa impostazione determina il set di regole di base usato per proteggere i membri del pool back-end.This setting determines the core rule set that's used to protect the back-end pool members.
    Configurare regole disabilitateConfigure disabled rules VariabileVaries Per impedire possibili falsi positivi, è possibile usare questa impostazione per disabilitare alcune regole e gruppi di regole.To prevent possible false positives, you can use this setting to disable certain rules and rule groups.

    Nota

    Quando si aggiorna un gateway applicazione esistente per lo SKU WAF, le dimensioni dello SKU cambiano in Medium.When you upgrade an existing application gateway to the WAF SKU, the SKU size changes to medium. Al termine della configurazione è possibile riconfigurare questa impostazione.After configuration finishes, you can reconfigure this setting.

    Impostazioni di base

    Nota

    Per visualizzare i log WAF, abilitare la diagnostica e selezionare ApplicationGatewayFirewallLog.To view WAF logs, enable diagnostics and select ApplicationGatewayFirewallLog. Solo a scopo di test scegliere 1 come numero di istanze.Choose an instance count of 1 for testing purposes only. Non è consigliabile un numero di istanze inferiore a 2 perché questo valore non è coperto dal contratto di servizio.We do not recommend an instance count under 2 because it's not covered by the SLA. I gateway di piccole dimensioni non sono disponibili quando si usa un WAF.Small gateways aren't available when you use a WAF.

Creare un gateway applicazione con un web application firewallCreate an application gateway with a web application firewall

Questo scenario illustrerà come:This scenario will:

  • Creare un gateway applicazione WAF con dimensione Medium con due istanze.Create a medium WAF application gateway with two instances.
  • Creare una rete virtuale denominata AdatumAppGatewayVNET con un blocco CIDR riservato 10.0.0.0/16.Create a virtual network named AdatumAppGatewayVNET with a reserved CIDR block of 10.0.0.0/16.
  • Creare una subnet denominata Appgatewaysubnet che usa 10.0.0.0/28 come blocco CIDR.Create a subnet called Appgatewaysubnet that uses 10.0.0.0/28 as its CIDR block.
  • Configurare un certificato per l'offload SSL.Configure a certificate for SSL offload.
  1. Accedere al portale di Azure.Sign in to the Azure portal. Se non si dispone già di un account, è possibile iscriversi per ottenere una versione di valutazione gratuita della durata di un mese.If you don't already have an account, you can sign up for a free one-month trial.

  2. Nel riquadro Preferiti del portale selezionare Nuovo.In the Favorites pane on the portal, select New.

  3. Nel pannello Nuovo selezionare Rete.On the New blade, select Networking. Nel pannello Rete selezionare Gateway applicazione, come mostrato nell'immagine seguente:On the Networking blade, select Application Gateway, as shown in the following image:

    Creazione del gateway applicazione

  4. Nel pannello Informazioni di base visualizzato immettere i valori seguenti e quindi selezionare OK:On the Basics blade that appears, enter the following values, and then select OK:

    ImpostazioneSetting ValoreValue DettagliDetails
    NomeName AdatumAppGatewayAdatumAppGateway Il nome del gateway applicazione.The name of the application gateway.
    LivelloTier WAFWAF I valori disponibili sono Standard e WAF.Available values are Standard and WAF. Per altre informazioni su un WAF, vedere Web Application Firewall.To learn more about a WAF, see Web application firewall.
    Dimensioni SKUSKU Size MediaMedium Le opzioni di livello standard sono Small, Medium e Large.Standard tier options are Small, Medium, and Large. Le opzioni del livello WAF sono solo Medium and Large.WAF tier options are Medium and Large only.
    Numero di istanzeInstance count 22 Il numero di istanze del gateway applicazione per la disponibilità elevata.The number of instances of the application gateway for high availability. Solo a scopo di test usare 1 come numero di istanze.Use instance counts of 1 for testing purposes only.
    SottoscrizioneSubscription [Sottoscrizione][Your subscription] Selezionare una sottoscrizione da usare per creare il gateway applicazione.Select a subscription to use to create the application gateway.
    Gruppo di risorseResource group Crea nuovo: AdatumAppGatewayRGCreate new: AdatumAppGatewayRG Creare un gruppo di risorse.Create a resource group. Il nome del gruppo di risorse deve essere univoco all'interno della sottoscrizione selezionata.The resource group name must be unique within the subscription you selected. Per altre informazioni sui gruppi di risorse, vedere l'articolo Panoramica di Resource Manager.To learn more about resource groups, read the Resource Manager overview article.
    PosizioneLocation Stati Uniti occidentaliWest US

    Configurazione delle impostazioni di base

  5. Nel pannello Impostazioni che viene visualizzato in Rete virtuale selezionare Scegliere una rete virtuale.On the Settings blade that appears under Virtual network, select Choose a virtual network. Nel pannello Scegli rete virtuale selezionare Crea nuovo.On the Choose virtual network blade, select Create new.

    Scelta della rete virtuale

  6. Nel pannello Crea rete virtuale immettere i valori seguenti e quindi selezionare OK.On the Create virtual network blade, enter the following values, and then select OK. Il campo Subnet nel pannello Impostazioni viene popolato con la subnet selezionata.The Subnet field on the Settings blade is populated with the subnet you chose.

    ImpostazioneSetting ValoreValue DettagliDetails
    NomeName AdatumAppGatewayVNETAdatumAppGatewayVNET Il nome del gateway applicazione.The name of the application gateway.
    Spazio degli indirizziAddress space 10.0.0.0/1610.0.0.0/16 Questo valore è lo spazio degli indirizzi per la rete virtuale.This value is the address space for the virtual network.
    Nome della subnetSubnet name AppGatewaySubnetAppGatewaySubnet Il nome della subnet per il gateway applicazione.The name of the subnet for the application gateway.
    Intervallo di indirizzi subnetSubnet address range 10.0.0.0/2810.0.0.0/28 Questa subnet consente subnet aggiuntive nella rete virtuale per i membri del pool back-end.This subnet allows more additional subnets in the virtual network for back-end pool members.
  7. Nel pannello Impostazioni in Configurazione IP front-end selezionare Pubblico in Tipo di indirizzo IP.On the Settings blade under Frontend IP configuration, select Public as the IP address type.

  8. Nel pannello Impostazioni in Indirizzo IP pubblico selezionare Scegliere un indirizzo IP pubblico.On the Settings blade under Public IP address, select Choose a public IP address. Nel pannello Scegli indirizzo IP pubblico selezionare Crea nuovo.On the Choose public IP address blade, select Create new.

    Scelta dell'indirizzo IP pubblico

  9. Nel pannello Crea indirizzo IP pubblico accettare il valore predefinito e selezionare OK.On the Create public IP address blade, accept the default value, and select OK. Il campo Indirizzo IP pubblico viene popolato con l'indirizzo IP pubblico scelto.The Public IP address field is populated with the public IP address you chose.

  10. Nel pannello Impostazioni in Configurazione listener selezionare HTTP in Protocollo.On the Settings blade under Listener configuration, select HTTP under Protocol. Per usare HTTPS è necessario un certificato.A certificate is required to use HTTPS. È necessaria la chiave privata del certificato.The private key for the certificate is needed. Fornire un'esportazione in formato pfx del certificato e immettere la password per il file.Provide a .pfx export of the certificate, and enter the password for the file.

  11. Configurare le impostazioni specifiche del WAF.Configure specific settings for the WAF.

    ImpostazioneSetting ValoreValue DettagliDetails
    Stato del firewallFirewall status EnabledEnabled Questa impostazione attiva o disattiva il WAF.This setting turns the WAF on or off.
    Modalità firewallFirewall mode PrevenzionePrevention Questa impostazione determina le azioni che il WAF adotta contro il traffico dannoso.This setting determines the actions the WAF takes on malicious traffic. La modalità Rilevamento consente solo di registrare il traffico.Detection mode only logs traffic. La modalità Prevenzione registra e arresta il traffico con una risposta di mancata autorizzazione 403.Prevention mode logs and stops traffic with a 403 Unauthorized response.
  12. Esaminare la pagina di riepilogo e selezionare OK.Review the Summary page, and select OK. Il gateway applicazione verrà inserito in coda e creato.Now the application gateway is queued up and created.

  13. Dopo la creazione del gateway applicazione, passare al gateway nel portale per proseguire la configurazione dell'applicazione.After the application gateway is created, go to it in the portal to continue configuration of the application gateway.

    Visualizzazione della risorsa del gateway applicazione

Questi passaggi creano un gateway applicazione di base con le impostazioni predefinite per il listener, il pool back-end, le impostazioni HTTP back-end e le regole.These steps create a basic application gateway with default settings for the listener, back-end pool, back-end HTTP settings, and rules. Queste impostazioni possono essere modificate in base alla propria distribuzione dopo che è stato completato il provisioning.After the provisioning finishes successfully, you can modify these settings to suit your deployment.

Nota

I gateway applicazione creati con la configurazione di base del WAF sono configurati con CRS 3.0 per la protezione.Application gateways created with the basic WAF configuration are configured with CRS 3.0 for protections.

Passaggi successiviNext steps

Per configurare un alias di dominio personalizzato per l'indirizzo IP pubblico, è possibile usare DNS di Azure o un altro provider DNS.To configure a custom domain alias for the public IP address, you can use Azure DNS or another DNS provider.

Per configurare la registrazione diagnostica, per registrare gli eventi che vengono rilevati o bloccati con il web application firewall, visitare Integrità back-end, log di diagnostica e metriche per il gateway applicazione.To configure diagnostic logging to log the events that are detected or prevented with WAF, see Application Gateway diagnostics.

Per creare probe di integrità personalizzati, vedere Creare un probe personalizzato per un gateway applicazione con il portale.To create custom health probes, see Create a custom health probe.

Per configurare l'offload SSL ed evitare costose attività di sottoscrizione SSL nei server Web, vedere Configurare un gateway applicazione per l'offload SSL con Azure Resource Manager.To configure SSL offloading and take the costly SSL subscription off your web servers, see Configure SSL offload.