Che cos'è il firewall applicazione web di Azure per l'ingresso principale di Azure?What is Azure web application firewall for Azure Front Door?

Azure web application firewall (WAF) fornisce una protezione centralizzata per le applicazioni Web che vengono recapitate a livello globale usando Frontdoor di Azure.Azure web application firewall (WAF) provides centralized protection for your web applications that are globally delivered using Azure Front Door. È progettato e gestito per difendere i servizi Web da vulnerabilità comuni e per mantenere una disponibilità elevata del servizio per gli utenti, oltre che per aiutare a soddisfare i requisiti di conformità.It is designed and operated to defend your web services against common exploits and vulnerabilities, and keep your service highly available for your users in addition to helping you meet compliance requirements.

Le applicazioni Web sono sempre più destinazioni di attacchi dannosi, ad esempio un attacco denial of attacchi flood di servizio, attacchi SQL injection e attacchi di scripting intersito.Web applications are increasingly the targets of malicious attacks such as denial of service floods, SQL injection attacks, and cross-site scripting attacks. Questi attacchi dannosi potrebbe causare la perdita di un'interruzione e i dati del servizio, rappresentano una minaccia notevole per i proprietari delle applicazioni web.These malicious attacks may cause service outage and data loss, pose a significant threat to web application owners.

Impedire questo tipo di attacchi nel codice dell'applicazione può risultare un'operazione complessa e potrebbe richiedere una manutenzione rigorosa, l'applicazione di patch e il monitoraggio a più livelli della topologia dell'applicazione.Preventing such attacks in application code can be challenging and may require rigorous maintenance, patching and monitoring at multiple layers of the application topology. Un Web application firewall centralizzato semplifica notevolmente la gestione della sicurezza e offre agli amministratori delle applicazioni migliori garanzie contro le minacce o le intrusioni.A centralized web application firewall helps make security management much simpler and gives better assurance to application administrators against threats or intrusions. Inoltre, una soluzione WAF può reagire a una minaccia alla sicurezza più veloce tramite l'applicazione delle patch di una vulnerabilità nota in una posizione centrale, anziché proteggere ogni singola applicazione web.In addition, a WAF solution can react to a security threat faster by patching a known vulnerability at a central location, instead of securing each of individual web applications.

Web Application firewall per porta d'ingresso è una soluzione globale e centralizzata.WAF for Front Door is a global and centralized solution. Viene distribuita in posizioni periferiche di rete di Azure in tutto il mondo e ogni richiesta in ingresso per un'applicazione web WAF abilitato recapitata da porta principale viene controllato al perimetro della rete.It is deployed on Azure network edge locations around the globe and every incoming request for a WAF enabled web application delivered by Front Door is inspected at the network edge. Ciò consente di Web Application firewall impedire gli attacchi dannosi vicino le origini di attacco, prima che possa accedere alla rete virtuale e offre protezione globale su larga scala senza sacrificare le prestazioni.This allows WAF to prevent malicious attacks close to the attack sources, before they enter your virtual network and offers global protection at scale without sacrificing performance. Un criterio di Web Application firewall può essere collegato facilmente a qualsiasi profilo di porta d'ingresso nella sottoscrizione e nuove regole possono essere distribuite in pochi minuti, consentendo di rispondere rapidamente alle mutevoli modelli delle minacce.A WAF policy can be easily linked to any Front Door profile in your subscription and new rules can be deployed within minutes, allowing you to respond quickly to changing threat patterns.

Firewall applicazione web di Azure

Web Application firewall di Azure può anche essere attivato con il Gateway applicazione.Azure WAF can also be enabled with Application Gateway. Per altre informazioni, vedere firewall applicazione Web.For more information, see Web application firewall.

Regole e criteri di Web Application firewallWAF policy and rules

È possibile configurare un criterio di Web Application firewall e associare i criteri a uno o più porta d'ingresso front-end per la protezione.You can configure a WAF policy and associate that policy to one or more Front Door front-ends for protection. Un criterio di Web Application firewall è costituito da due tipi di regole di sicurezza:A WAF policy consists of two types of security rules:

  • regole personalizzate che vengono create dal cliente.custom rules that are authored by the customer.

  • set di regole gestite che sono una raccolta di Azure-managed i set di regole preconfigurato.managed rule sets that are a collection of Azure-managed pre-configured set of rules.

Quando sono presenti entrambi, regole personalizzate vengono elaborate prima di elaborare le regole in un set di regole gestite.When both are present, custom rules are processed before processing the rules in a managed rule set. Una regola è costituita da una condizione di corrispondenza, una priorità e un'azione.A rule is made of a match condition, a priority, and an action. Tipi di azione supportati sono: Consenti BLOCCHI, LOG e reindirizzamento.Action types supported are: ALLOW, BLOCK, LOG, and REDIRECT. È possibile creare criteri completamente personalizzato che soddisfino i requisiti di protezione dell'applicazione specifico combinando le regole personalizzate e non gestito.You can create a fully customized policy that meets your specific application protection requirements by combining managed and custom rules.

In un ordine di priorità vengono elaborate regole all'interno di un criterio in cui priorità è un integer univoco che definisce l'ordine delle regole in fase di elaborazione.Rules within a policy are processed in a prioritized order where priority is a unique integer that defines the order of rules being processed. Valore integer più piccolo indica una priorità più alta e quelli vengono valutati prima delle regole con un valore integer più elevato.Smaller integer value denotes a higher priority and those are evaluated before rules with a higher integer value. Dopo aver assegnato una regola, l'azione corrispondente che è stata definita nella regola viene applicata alla richiesta.Once a rule is matched, the corresponding action that was defined in the rule is applied to the request. Dopo l'elaborazione di una corrispondenza, è possibile che le regole con priorità inferiore non vengono elaborate ulteriormente.Once such a match is processed, rules with lower priorities are not processed further.

Un'applicazione web fornita da porta principale può avere un solo criterio WAF associato alla volta.A web application delivered by Front Door can have only one WAF policy associated with it at a time. Tuttavia, è possibile avere una configurazione di ingresso principale senza alcun criterio di Web Application firewall è associato.However, you can have a Front Door configuration without any WAF policies associated with it. Se è presente un criterio di WAF, replicato in tutti i percorsi di edge per garantire la coerenza nei criteri di sicurezza in tutto il mondo.If a WAF policy is present, it is replicated to all of our edge locations to ensure consistency in security policies across the world.

Modalità del WAFWAF modes

Criteri di Web Application firewall possono essere configurati per l'esecuzione in due modalità seguenti:WAF policy can be configured to run in the following two modes:

  • Modalità di rilevamento: Quando eseguito in modalità di rilevamento, Web Application firewall non accetta tutte le altre azioni diverse da monitoraggi e registra la richiesta e la regola WAF corrispondente per i log WAF.Detection mode: When run in detection mode, WAF does not take any other actions other than monitors and logs the request and its matched WAF rule to WAF logs. È possibile attivare la registrazione diagnostica per la porta di ingresso (quando si usa portale, questo scopo, passare al diagnostica sezione nel portale di Azure).You can turn on logging diagnostics for Front Door (when using portal, this can be achieved by going to the Diagnostics section in the Azure portal).

  • Modalità di prevenzione: Quando è configurato per l'esecuzione in modalità di prevenzione, WAF accetta l'azione specificata se una richiesta corrisponde a una regola e se viene trovata una corrispondenza, non altre regole con priorità inferiore vengono valutate.Prevention mode: When configured to run in prevention mode, WAF takes the specified action if a request matches a rule and if a match is found, no further rules with lower priority are evaluated. Tutte le richieste corrispondenti vengono inoltre registrate nei registri del WAF.Any matched requests are also logged in the WAF logs.

Azioni di Web Application firewallWAF actions

I clienti di Web Application firewall è possono scegliere di eseguire una delle azioni quando una richiesta corrisponde alle condizioni della regola:WAF customers can choose to run from one of the actions when a request matches a rule’s conditions:

  • Consenti: Richiesta passa attraverso il firewall WAF e viene inoltrata al back-end.Allow: Request passes through the WAF and is forwarded to back-end. Senza ulteriori regole con priorità inferiore possono bloccare questa richiesta.No further lower priority rules can block this request.
  • Blocco: La richiesta è bloccata e WAF invia una risposta al client senza inoltrare le richieste al back-end.Block: The request is blocked and WAF sends a response to the client without forwarding the request to the back-end.
  • Log: Richiesta viene registrata nei log di Web Application firewall e WAF continua la valutazione delle regole con priorità inferiore.Log: Request is logged in the WAF logs and WAF continues evaluating lower priority rules.
  • Il reindirizzamento: Web Application firewall reindirizza la richiesta all'URI specificato.Redirect: WAF redirects the request to the specified URI. L'URI specificato è un'impostazione a livello di criteri.The URI specified is a policy level setting. Una volta configurato, tutte le richieste che soddisfano le reindirizzare azione verrà inviata all'URI.Once configured, all requests that match the Redirect action will be sent to that URI.

Regole del WAFWAF rules

Un criterio di Web Application firewall può essere costituito da due tipi di regole di sicurezza - regole personalizzate, creati dai clienti e i set di regole gestiti, set di regole gestite di Azure preconfigurata.A WAF policy can consist of two types of security rules - custom rules, authored by the customer and managed rulesets, Azure-managed pre-configured set of rules.

Regole personalizzate createCustom authored rules

È possibile configurare regole personalizzate WAF nel modo seguente:You can configure custom rules WAF as follows:

  • Indirizzi IP consentiti elenchi e blocco: È possibile configurare regole personalizzate per controllare l'accesso alle applicazioni web in base a un elenco di indirizzi IP client o intervalli di indirizzi IP.IP allow list and block list: You can configure custom rules to control access to your web applications based on a list of client IP addresses or IP address ranges. Sono supportati i tipi di indirizzi IPv4 e IPv6.Both IPv4 and IPv6 address types are supported. Questo elenco può essere configurato per bloccare o consentire le richieste in cui l'indirizzo IP di origine corrisponde a un indirizzo IP nell'elenco.This list can be configured to either block or allow those requests where the source IP matches an IP in the list.

  • Controllo degli accessi in base geografiche: È possibile configurare regole personalizzate per controllare l'accesso alle applicazioni web in base al codice di paese associato a un indirizzo IP del client.Geographic based access control: You can configure custom rules to control access to your web applications based on the country code associated with a client’s IP address.

  • Controllo degli accessi basato su parametri HTTP: È possibile configurare regole personalizzate basate su stringa corrispondente ai parametri di richiesta HTTP/HTTPS, ad esempio le stringhe di query, args POST, richiesta URI, intestazione della richiesta e il corpo della richiesta.HTTP parameters-based access control: You can configure custom rules based on string matching HTTP/HTTPS request parameters such as query strings, POST args, Request URI, Request Header, and Request Body.

  • Richiedi il controllo di accesso basato su metodo: È possibile configurare regole personalizzate basate su metodo di richiesta HTTP della richiesta, ad esempio GET, PUT o HEAD.Request method-based access control: You may configure custom rules based on the HTTP request method of the request such as GET, PUT, or HEAD.

  • Vincolo delle dimensioni: È possibile configurare regole personalizzate basate sulle lunghezze delle parti specifiche di una richiesta, ad esempio la stringa di query, Uri, o corpo della richiesta.Size constraint: You can configure custom rules based on the lengths of specific parts of a request such as query string, Uri, or request body.

  • Le regole di limitazione della frequenza: Una regola di controllo della frequenza prevede la limitazione di traffico elevato anomalo da qualsiasi indirizzo IP client.Rate limiting rules: A rate control rule is to limit abnormal high traffic from any client IP. È possibile configurare una soglia per il numero di richieste web consentite da un indirizzo IP del client durante una durata di un minuto.You may configure a threshold on the number of web requests allowed from a client IP during a one-minute duration. Ciò è diverso da una regola di personalizzato basato su elenchi consentire o bloccare IP che uno consente tutti i blocchi o tutte le richieste da un indirizzo IP del client.This is distinct from an IP list-based allow/block custom rule that either allows all or blocks all request from a client IP. La limitazione della frequenza può essere combinata con le condizioni di corrispondenza aggiuntive, ad esempio parametri HTTP (S) corrispondente per il controllo della frequenza granulare.Rate limiting can be combined with additional match conditions such as HTTP(S) parameters matching for granular rate control.

Set di regole gestite di AzureAzure-managed rule sets

Set di regole gestite di Azure forniscono un modo semplice per distribuire la protezione rispetto a un set comune di minacce alla sicurezza.Azure-managed rule sets provide an easy way to deploy protection against a common set of security threats. Poiché tale set di regole sono gestite da Azure, le regole vengono aggiornate in base alle esigenze per proteggersi da nuove firme di attacchi.Since such rulesets are managed by Azure, the rules are updated as needed to protect against new attack signatures. In fase di anteprima pubblica, gestita da Azure regola Set predefiniti include le regole a fronte di categorie di minacce seguenti:At public preview, the Azure-managed Default Rule Set includes rules against the following threat categories:

  • Scripting intersitoCross-site scripting
  • Attacchi di JavaJava attacks
  • Inclusione di file localeLocal file inclusion
  • Attacchi PHP injectionPHP injection attacks
  • Esecuzione comandi in remotoRemote command execution
  • Inclusione di file remotaRemote file inclusion
  • Ovvero Session fixationSession fixation
  • Protezione dagli attacchi SQL injectionSQL injection protection
  • Utenti malintenzionati di protocolloProtocol attackers

Il numero di versione del Set regola predefinita verrà incrementato quando vengono aggiunte nuove firme di attacchi al set di regole.The version number of the Default Rule Set will increment when new attack signatures are added to the rule set. Set di regole predefinito è abilitato per impostazione predefinita in modalità di rilevamento nei criteri del WAF.Default Rule Set is enabled by default in Detection mode in your WAF policies. È possibile disabilitare o abilitare regole singole all'interno di Default Set di regole per soddisfare i requisiti dell'applicazione.You can disable or enable individual rules within the Default Rule Set to meet your application requirements. È anche possibile impostare azioni specifiche (Consenti/blocco/reindirizzamento/LOG) per ogni regola.You can also set specific actions (ALLOW/BLOCK/REDIRECT/LOG) per rule. Azione predefinita consiste nel blocco.Default action is to BLOCK. Inoltre, regole personalizzate possono essere configurate nello stesso criterio WAF se si vuole ignorare qualsiasi delle regole preconfigurate in cui la regola predefinita impostata.In addition, custom rules can be configured in the same WAF policy if you wish to bypass any of the pre-configured rules in the Default Rule Set. Regole personalizzate vengono sempre applicate prima la regola predefinita impostata le regole vengono valutate.Custom rules are always applied before rules in the Default Rule Set are evaluated. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione di regola corrispondente e la richiesta viene bloccata o passata al back-end, senza la chiamata di qualsiasi regola personalizzata ulteriormente oppure le regole in un Set regola predefinita.If a request matches a custom rule, corresponding rule action is applied, and the request is either blocked or passed through to back-end, without invocation of any further custom rules or the rules in the Default Rule Set. Inoltre, è possibile rimuovere il Set di regole predefiniti dai criteri di Web Application firewall.Furthermore, you have the option to remove Default Rule Set from your WAF policies.

Regola di protezione del bot (anteprima)Bot protection rule (preview)

Un set di regole di protezione Bot gestito può essere abilitato per il firewall WAF intraprendere azioni personalizzate nelle richieste da indirizzi IP dannosi noti.A managed Bot protection rule set can be enabled for your WAF to take custom actions on requests from known malicious IP addresses. Gli indirizzi IP sono originati da Microsoft Threat Intelligence feed.The IP addresses are sourced from the Microsoft Threat Intelligence feed. Intelligent Security Graph alla base di intelligence sulle minacce di Microsoft ed è usato da più servizi, tra cui Centro sicurezza di Azure.Intelligent Security Graph powers Microsoft threat intelligence and is used by multiple services including Azure Security Center.

Set di regole di protezione di BOT

Importante

Set di regole di protezione Bot è attualmente in anteprima pubblica e viene fornito con un contratto di servizio di anteprima.Bot protection rule set is currently in public preview and is provided with a preview service level agreement. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.Certain features may not be supported or may have constrained capabilities. Vedere Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.See the Supplemental Terms of Use for Microsoft Azure Previews for details.

Se è abilitata la protezione di Bot, le richieste in ingresso che corrispondono a client dannosi Bot gli indirizzi IP vengono registrate al momento dell'accesso FrontdoorWebApplicationFirewallLog.If Bot Protection is enabled, incoming requests that match Malicious Bots client IPs are logged at FrontdoorWebApplicationFirewallLog log. I log WAF accessibili dall'account di archiviazione, analitica hub o un log eventi.You may access WAF logs from storage account, event hub or log analytics.

ConfigurazioneConfiguration

Configurazione e distribuzione di tutti i tipi di regole WAF è completamente supportato tramite il portale di Azure, le API REST, modelli di Azure Resource Manager e Azure PowerShell.Configuring and deploying all WAF rule types is fully supported using Azure portal, REST APIs, Azure Resource Manager templates, and Azure PowerShell.

MonitoraggioMonitoring

Monitoraggio per WAF ingresso principale è integrato con monitoraggio di Azure per tenere traccia degli avvisi e monitorare facilmente le tendenze del traffico.Monitoring for WAF at Front Door is integrated with Azure Monitor to track alerts and easily monitor traffic trends.

Passaggi successiviNext steps