Creare un gateway applicazione con un web application firewall tramite il portale di AzureCreate an application gateway with a web application firewall using the Azure portal

È possibile usare il portale di Azure per creare un gateway applicazione con un web application firewall (WAF).You can use the Azure portal to create an application gateway with a web application firewall (WAF). Il WAF usa regole di OWASP per proteggere l'applicazione.The WAF uses OWASP rules to protect your application. Queste regole includono la protezione contro attacchi di tipo SQL injection, attacchi tramite script da altri siti (XSS) e hijack delle sessioni.These rules include protection against attacks such as SQL injection, cross-site scripting attacks, and session hijacks.

In questo articolo viene spiegato come:In this article, you learn how to:

  • Creare un gateway applicazione con WAF abilitatoCreate an application gateway with WAF enabled
  • Creare le macchine virtuali usate come server back-endCreate the virtual machines used as backend servers
  • Creare un account di archiviazione e configurare la diagnosticaCreate a storage account and configure diagnostics

Esempio di web application firewall

Accedere ad AzureLog in to Azure

Accedere al portale di Azure all'indirizzo http://portal.azure.comLog in to the Azure portal at http://portal.azure.com

Creare un gateway applicazioneCreate an application gateway

Per le comunicazioni tra le risorse create è necessaria una rete virtuale.A virtual network is needed for communication between the resources that you create. In questo esempio vengono create due subnet: una per il gateway applicazione e l'altra per i server back-end.Two subnets are created in this example: one for the application gateway, and the other for the backend servers. È possibile creare una rete virtuale durante la creazione del gateway applicazione.You can create a virtual network at the same time that you create the application gateway.

  1. Fare clic su Nuovo nell'angolo in alto a sinistra nel portale di Azure.Click New found on the upper left-hand corner of the Azure portal.
  2. Selezionare Rete e quindi Gateway applicazione nell'elenco In primo piano.Select Networking and then select Application Gateway in the Featured list.
  3. Immettere i valori seguenti per il gateway applicazione:Enter these values for the application gateway:

    • myAppGateway come nome del gateway applicazione.myAppGateway - for the name of the application gateway.
    • myResourceGroupAG come nuovo gruppo di risorse.myResourceGroupAG - for the new resource group.
    • Selezionare WAF come livello del gateway applicazione.Select WAF for the tier of the application gateway.

      Creare il nuovo gateway applicazione

  4. Accettare i valori predefiniti per le altre impostazioni e quindi fare clic su OK.Accept the default values for the other settings and then click OK.

  5. Fare clic su Scegliere una rete virtuale, Crea nuova e quindi immettere i valori seguenti per la rete virtuale:Click Choose a virtual network, click Create new, and then enter these values for the virtual network:

    • myVNet come nome della rete virtuale.myVNet - for the name of the virtual network.
    • 10.0.0.0/16 come spazio indirizzi della rete virtuale.10.0.0.0/16 - for the virtual network address space.
    • myAGSubnet come nome della subnet.myAGSubnet - for the subnet name.
    • 10.0.0.0/24 come spazio indirizzi della subnet.10.0.0.0/24 - for the subnet address space.

      Creare una rete virtuale

  6. Fare clic su OK per creare la rete virtuale e la subnet.Click OK to create the virtual network and subnet.

  7. Fare clic su Scegliere un indirizzo IP pubblico, Crea nuovo e quindi immettere il nome dell'indirizzo IP pubblico.Click Choose a public IP address, click Create new, and then enter the name of the public IP address. In questo esempio il nome dell'indirizzo IP pubblico è myAGPublicIPAddress.In this example, the public IP address is named myAGPublicIPAddress. Accettare i valori predefiniti per le altre impostazioni e quindi fare clic su OK.Accept the default values for the other settings and then click OK.
  8. Accettare i valori predefiniti per la configurazione del listener, lasciare disabilitato il web application firewall e quindi fare clic su OK.Accept the default values for the Listener configuration, leave the Web application firewall disabled, and then click OK.
  9. Rivedere le impostazioni nella pagina di riepilogo e quindi fare clic su OK per creare le risorse di rete e il gateway applicazione.Review the settings on the summary page, and then click OK to create network resources and the application gateway. La creazione del gateway applicazione potrebbe richiedere alcuni minuti. Attendere il completamento della distribuzione prima di passare alla sezione successiva.It may take several minutes for the application gateway to be created, wait until the deployment finishes successfully before moving on to the next section.

Aggiungere una subnetAdd a subnet

  1. Fare clic su Tutte le risorse nel menu a sinistra e quindi su myVNet nell'elenco delle risorse.Click All resources in the left-hand menu, and then click myVNet from the resources list.
  2. Fare clic su Subnet e quindi su Subnet.Click Subnets, and then click Subnet.

    Creare una subnet

  3. Immettere myBackendSubnet come nome della subnet e quindi fare clic su OK.Enter myBackendSubnet for the name of the subnet and then click OK.

Creare i server back-endCreate backend servers

In questo esempio, vengono create due macchine virtuali da usare come server back-end per il gateway applicazione.In this example, you create two virtual machines to be used as backend servers for the application gateway. È anche possibile installare IIS nelle macchine virtuali per verificare l'avvenuta creazione del gateway applicazione.You also install IIS on the virtual machines to verify that the application gateway was successfully created.

Creare una macchina virtualeCreate a virtual machine

  1. Fare clic su Nuovo.Click New.
  2. Fare clic su Calcolo e quindi selezionare Windows Server 2016 Datacenter nell'elenco In primo piano.Click Compute and then select Windows Server 2016 Datacenter in the Featured list.
  3. Immettere i valori seguenti per la macchina virtuale:Enter these values for the virtual machine:

    • myVM come nome della macchina virtuale.myVM - for the name of the virtual machine.
    • azureuser come nome utente dell'amministratore.azureuser - for the administrator user name.
    • Azure123456!Azure123456! come password.for the password.
    • Selezionare Usa esistente e quindi myResourceGroupAG.Select Use existing, and then select myResourceGroupAG.
  4. Fare clic su OK.Click OK.

  5. Selezionare DS1_V2 come dimensioni per la macchina virtuale e fare clic su Seleziona.Select DS1_V2 for the size of the virtual machine, and click Select.
  6. Assicurarsi che myVNet sia selezionato per la rete virtuale e che la subnet sia myBackendSubnet.Make sure that myVNet is selected for the virtual network and the subnet is myBackendSubnet.
  7. Fare clic su Disabilitato per disabilitare la diagnostica di avvio.Click Disabled to disable boot diagnostics.
  8. Fare clic su OK, verificare le impostazioni nella pagina di riepilogo e quindi fare clic su Crea.Click OK, review the settings on the summary page, and then click Create.

Installare IISInstall IIS

  1. Aprire la shell interattiva e assicurarsi che sia impostata su PowerShell.Open the interactive shell and make sure that it is set to PowerShell.

    Installare l'estensione personalizzata

  2. Eseguire questo comando per installare IIS nella macchina virtuale:Run the following command to install IIS on the virtual machine:

    Set-AzureRmVMExtension `
      -ResourceGroupName myResourceGroupAG `
      -ExtensionName IIS `
      -VMName myVM `
      -Publisher Microsoft.Compute `
      -ExtensionType CustomScriptExtension `
      -TypeHandlerVersion 1.4 `
      -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
      -Location EastUS
    
  3. Creare una seconda macchina virtuale e installare IIS seguendo la procedura appena completata.Create a second virtual machine and install IIS using the steps that you just finished. Immettere myVM2 per il nome e per VMName in Set-AzureRmVMExtension.Enter myVM2 for its name and for VMName in Set-AzureRmVMExtension.

Aggiungere i server back-endAdd backend servers

  1. Fare clic su Tutte le risorse e quindi su myAppGateway.Click All resources, and then click myAppGateway.
  2. Fare clic su Pool back-end.Click Backend pools. È stato creato automaticamente un pool predefinito con il gateway applicazione.A default pool was automatically created with the application gateway. Fare clic su appGatewayBackendPool.Click appGateayBackendPool.
  3. Fare clic su Aggiungi destinazione per aggiungere ogni macchina virtuale creata al pool back-end.Click Add target to add each virtual machine that you created to the backend pool.

    Aggiungere i server back-end

  4. Fare clic su Save.Click Save.

Creare un account di archiviazione e configurare la diagnosticaCreate a storage account and configure diagnostics

Creare un account di archiviazioneCreate a storage account

In questa esercitazione il gateway applicazione usa un account di archiviazione per archiviare i dati con finalità di rilevamento e prevenzione.In this tutorial, the application gateway uses a storage account to store data for detection and prevention purposes. Per registrare i dati, è anche possibile usare Log Analytics o Hub eventi.You could also use Log Analytics or Event Hub to record data.

  1. Fare clic su Nuovo nell'angolo in alto a sinistra nel portale di Azure.Click New found on the upper left-hand corner of the Azure portal.
  2. Selezionare Archiviazione e quindi Account di archiviazione: BLOB, File, Tabelle, Code.Select Storage, and then select Storage account - blob, file, table, queue.
  3. Immettere il nome dell'account di archiviazione, selezionare Usa esistente come gruppo di risorse e quindi selezionare myResourceGroupAG.Enter the name of the storage account, select Use existing for the resource group, and then select myResourceGroupAG. In questo esempio il nome dell'account di archiviazione è myagstore1.In this example, the storage account name is myagstore1. Accettare i valori predefiniti per le altre impostazioni e quindi fare clic su Crea.Accept the default values for the other settings and then click Create.

Configurare la diagnosticaConfigure diagnostics

Configurare la diagnostica per registrare i dati nei log ApplicationGatewayAccessLog, ApplicationGatewayPerformanceLog e ApplicationGatewayFirewallLog.Configure diagnostics to record data into the ApplicationGatewayAccessLog, ApplicationGatewayPerformanceLog, and ApplicationGatewayFirewallLog logs.

  1. Nel menu di sinistra fare clic su Tutte le risorse e quindi selezionare myAppGateway.In the left-hand menu, click All resources, and then select myAppGateway.
  2. In Monitoraggio fare clic su Log di diagnostica.Under Monitoring, click Diagnostics logs.
  3. Fare clic su Aggiungi impostazioni di diagnostica.Click Add diagnostics setting.
  4. Immettere myDiagnosticsSettings come nome per le impostazioni di diagnostica.Enter myDiagnosticsSettings as the name for the diagnostics settings.
  5. Selezionare Archivia in un account di archiviazione e quindi fare clic su Configura per selezionare l'account di archiviazione myagstore1 creato in precedenza.Select Archive to a storage account, and then click Configure to select the myagstore1 storage account that you previously created.
  6. Selezionare i log del gateway applicazione da raccogliere e mantenere.Select the application gateway logs to collect and retain.
  7. Fare clic su Save.Click Save.

    Configurare la diagnostica

Testare il gateway applicazioneTest the application gateway

  1. Individuare l'indirizzo IP pubblico del gateway applicazione nella schermata Panoramica.Find the public IP address for the application gateway on the Overview screen. Fare clic su Tutte le risorse e quindi su myAGPublicIPAddress.Click All resources and then click myAGPublicIPAddress.

    Registrare l'indirizzo IP pubblico del gateway applicazione

  2. Copiare l'indirizzo IP pubblico e quindi incollarlo nella barra degli indirizzi del browser.Copy the public IP address, and then paste it into the address bar of your browser.

    Testare il gateway applicazione

Passaggi successiviNext steps

In questo articolo si è appreso come:In this article, you learned how to:

  • Creare un gateway applicazione con WAF abilitatoCreate an application gateway with WAF enabled
  • Creare le macchine virtuali usate come server back-endCreate the virtual machines used as backend servers
  • Creare un account di archiviazione e configurare la diagnosticaCreate a storage account and configure diagnostics

Per altre informazioni sui gateway applicazione e sulle risorse associate, continuare con le procedure dettagliate.To learn more about application gateways and their associated resources, continue to the how-to articles.