Documentazione di Oracle Cloud Infrastructure

Introduzione ai criteri perimetrali

Utilizzare Web Application Firewall per gestire i criteri perimetrali.

Prima di iniziare

Per concetti importanti sul servizio WAF, fare riferimento alla sezione Panoramica di Web Application Firewall.

Per iniziare a utilizzare il servizio WAF, è necessario disporre dei seguenti elementi disponibili:

  • Assicurarsi di disporre delle autorizzazioni Criteri di servizio IAM obbligatori.
  • Si consiglia di utilizzare un compartimento separato per il criterio WAF in modo da semplificare e proteggere la gestione.
  • Un dominio webapp principale.
  • Indirizzo IP dell'endpoint LBaaS o di altro tipo rivolto al pubblico dell'applicazione.
  • Possibilità di aggiornare i record DNS per il dominio.
  • Il servizio WAF supporta solo il traffico sulle porte 80/443. Tuttavia, dopo che le richieste raggiungono il protocollo WAF sulle porte 80/443, siamo in grado di inviare le richieste al server di origine su qualsiasi porta necessaria. Di seguito è riportato un esempio:

    Utente finale → Porta 80/443 → WAF → Porta 443/8000/555/*** → Server di origine

    Assicurarsi che l'applicazione non sia in esecuzione su altre porte.
    Nota

    Non è possibile utilizzare WAF per il traffico, ad esempio SSH, FTP o SMTP.

Inoltre, se si prevede di eseguire il sito su HTTPS/443, è necessario:

  • Certificato pubblico per il nome di dominio completamente qualificato (FQDN) dell'applicazione.
  • Chiave privata corrispondente per il sito.
  • Certificato in formato PEM.
  • Certificato catena completo (radice, intermedio, server di origine)
    Nota

    I certificati SSL possono essere applicati solo all'applicazione principale del criterio.

La propagazione delle modifiche ai criteri perimetrali richiede in genere da 10 a 30 minuti, a seconda della modifica. La propagazione richiede molto tempo perché abbiamo centinaia di nodi a cui vengono sottoposte le nuove configurazioni. Le modifiche alle funzioni riportate di seguito vengono in genere propagate entro 10-15 minuti.

  • Criteri bot
  • Richiesta di verifica interazione umana (HIC)
  • Richiesta di verifica impronta dispositivo
  • Sfida Javascript
  • Richiesta di verifica CAPTCHA
  • Lista di inclusione bot sicuri
  • Regole di accesso
  • Intelligence thread
  • Elenchi IP
  • Lista di inclusione IP

Quando si utilizzano i criteri perimetrali, tenere presenti le informazioni riportate di seguito.

  • IPv6 non è supportato al momento.

  • Il WAF ispeziona, ma non modifica il corpo della risposta.
  • Il limite di inserimento nella cache è di 1 GB per criterio.
  • Per le limitazioni relative al caricamento delle dimensioni dei file, il limite è di 1 GB. Per le limitazioni relative alle dimensioni dei file, considerare:
    • Il limite non dipende dal tipo di caricamento, ad esempio immagini, video, file binari e così via.
    • L'intestazione Content-Type non influisce sul limite. In base all'intestazione Content-Type vengono applicate solo regole di protezione diverse.
    • I caricamenti con chunk o i flussi non influiscono sul limite. In modalità buffering, il limite è di 1 GB per caricamenti e download. Tuttavia, alcune altre modalità, incluso lo streaming del corpo della risposta, ignorano il limite di 1 GB.
    • Le connessioni WAF vengono raramente annullate. L'annullamento può verificarsi a causa di caricamenti di grandi dimensioni o connessioni lente. Dopo il ricaricamento del nodo edge, una connessione può essere annullata quando viene eseguito un processo di "cleanup", se il ciclo di richiesta o risposta richiede troppo tempo.
  • Quando si utilizza WAF con i servizi di streaming di contenuti, i servizi di streaming di contenuti potrebbero essere interessati perché le nostre regole di protezione richiedono il buffering del contenuto HTML completo prima dell'analisi. L'intero contenuto deve essere inserito nel buffer all'interno del nostro motore di base delle regole di protezione, il che potrebbe portare a risposte lente o eventi che non visualizzano il contenuto in streaming.
  • Puoi creare o ripristinare i backup dei criteri WAF con l'interfaccia CLI OCI. Estrarre il file JSON completo dell'applicazione Web e quindi ricrearlo in parti. Si consiglia di ricreare prima le impostazioni principali, quindi le sfide e le funzionalità di sicurezza dell'applicazione Web.
  • È possibile abilitare WebSocket per un URL specifico tramite l'interfaccia CLI utilizzando il comando seguente:

    oci waas policy-config update --waas-policy-id ocid1.waaspolicy.oc1..[WAAS POLICY OCID] --websocket-path-prefixes '["/url/url/websocket"]'

    Nota

    Il supporto WebSocket impedisce l'elaborazione WAF nei percorsi specificati. Ciò significa che se una regola WAF è abilitata, non analizza le richieste relative all'URL escluso nella configurazione. Tuttavia, altre contromisure, come la richiesta di verifica interazione umana e la richiesta di verifica JavaScript, possono essere abilitate per fornire un ulteriore livello di sicurezza per l'URL WebSocket.
  • La "chiave" nel feed di Threat Intelligence generato è diversa per ogni criterio WAF.

  • È possibile apportare modifiche ai criteri perimetrali solo quando lo stato del criterio è ACTIVE.

Stima costi per l'utilizzo di WAF

Utilizzare queste informazioni per stimare i costi per l'utilizzo del servizio WAF.
È possibile stimare il costo come indicato di seguito.
  1. Andare a: https://www.oracle.com/cloud/cost-estimator.html.
  2. Fare clic su Cerca e cercare Networking - WAF.
  3. Fare clic su Aggiungi.
  4. In Aggiungi configurazione, fare clic sul menu accanto al nome del servizio, selezionare Aggiungi per SKU, quindi immettere la SKU.
  5. Fare clic su Aggiungi.

    Nella stima dei costi, "Istanza" rappresenta il criterio WAF.

Impostazione iniziale del criterio WAF

1. Creare un criterio perimetrale per instradare il traffico tramite il WAF

Per iniziare, creare un criterio perimetrale per instradare il traffico attraverso il WAF senza regole abilitate. La creazione di un criterio senza regole abilitate garantisce l'assenza di regressioni mediante un proxy inverso davanti all'applicazione.

Per creare un criterio perimetro

  1. Selezionare l'area e il compartimento in cui deve essere gestito il criterio (non esiste alcun vincolo intorno al WAF coesistente con il load balancer o altre risorse dell'applicazione in Oracle Cloud Infrastructure).

  2. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Web Application Firewall, selezionare Criteri.

  3. Fare clic su Crea criterio WAF.

  4. Vedere la parte inferiore della pagina Informazioni di base per:

    Utilizzare il workflow precedente qui se è necessario proteggere le applicazioni Web non OCI.

  5. Fare clic sul collegamento per visualizzare la finestra di dialogo Crea criterio perimetrale.
  6. Specificare quanto segue:
    • Nome: un nome univoco per il criterio.
    • Domini:
      • Dominio primario: il nome dominio completamente qualificato (FQDN) dell'applicazione in cui verrà applicato il criterio.
      • Domini aggiuntivi: (facoltativo) sottodomini ai quali verrà applicato il criterio.
        Nota

        I domini con caratteri jolly sono tuttavia accettati solo come domini aggiuntivi e solo tramite API e CLI.

    • Origine WAF: l'host o l'indirizzo IP dell'applicazione pubblica protetta con la rete Internet.
      • Nome origine: un nome univoco per l'origine.
      • URI: immettere l'endpoint rivolto al pubblico (IPv4 o FQDN) dell'applicazione.
      • HTTPS Port: la porta utilizzata per la connessione HTTPS sicura. Il valore predefinito è 443.
      • Porta HTTP: la porta HTTP di ascolto dell'origine. Il valore predefinito è 80.
      • Intestazioni: (facoltativo)
        • Nome intestazione: il nome visualizzato nell'intestazione della richiesta HTTP e il valore dell'intestazione che può essere aggiunto e passato al server di origine con tutte le richieste.
        • Valore intestazione: specifica i dati richiesti dall'intestazione.
    • Tag: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.
  7. Fare clic su Crea criterio WAF. Viene visualizzata la panoramica dei criteri WAF. Aspettatevi che la politica diventi attiva entro 15 minuti dalla creazione.

    Per ulteriori informazioni, vedere Gestione dei criteri perimetrali.

2. Aggiorna timeout mantenimento attività origine

Il criterio perimetrale richiede che i timeout di controllo attività dell'origine (load balancer o server Web) vengano mantenuti per almeno 301 secondi, poiché il valore di timeout a monte è di 300 secondi. Il secondo ulteriore è garantire che la connessione abbia tempo sufficiente per rinegoziare quando i nostri nodi creano connessioni ed evitare problemi di connettività. Ciò si applica alle chiamate API, poiché utilizziamo la nostra tecnologia OCI Network Multiplexing che aiuta a ridurre i colli di bottiglia della rete e a migliorare le prestazioni ottimizzando il protocollo TCP.

Per eseguire il test del timeout di controllo attività a monte

Controllo HTTP:

  1. Effettuare la richiesta sul server di origine o a monte. Eseguire il comando riportato di seguito:
    time telnet www-origin.example.com 80
    Output di esempio:
    Trying 12.34.56.78...
Connected to lb65-soc-191485947.us-east-1.elb.amazonaws.com.
Escape character is '^]'.
  2. Effettuare una richiesta GET immettendo le seguenti intestazioni HTTP:
    GET / HTTP/1.1
Host: www.example.com
Connection: keep-Alive
  3. Premere INVIO due volte e attendere la chiusura o la disconnessione della sessione.

Controllo HTTPS:

  1. Avviare la richiesta sul server di origine o a monte. Eseguire il comando riportato di seguito:
    time openssl s_client -connect www-origin.example.com:443
  2. Effettuare una richiesta GET immettendo le seguenti intestazioni HTTP:
    GET / HTTP/1.1
Host: www.example.com
Connection: keep-Alive
  3. Premere INVIO due volte e attendere la chiusura o la disconnessione della sessione.
Si riceverà il seguente output. In questo esempio, la sezione reale mostra il tempo effettivo di vita della sessione (5,1 minuti (301 secondi)):
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
... 

<!DOCTYPE html>
<html>
...
</html> 

Connection closed by foreign host.
real 5m1.962s
user 0m0.011s
sys 0m0.009s

Per ulteriori informazioni, vedere Gestione origine.

3. Caricamento del certificato e della chiave

Questo passaggio presuppone che il sito venga eseguito su HTTPS/443.

Per caricare il certificato e la chiave
  1. Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Web Application Firewall, fare clic su Criteri.

    In alternativa, aprire la pagina Web Application Firewall e fare clic su Criteri in Risorse.

    Viene visualizzata la pagina Criteri WAF.

  2. Selezionare il compartimento dalla lista.

    Tutti i criteri WAF in tale compartimento sono elencati in formato tabella.

  3. (Facoltativo) Applicare uno o più dei filtri seguenti per limitare i criteri WAF visualizzati:

    • Stato

    • Nome

    • Tipo di criterio: selezionare Criterio bordo.

  4. Selezionare il criterio perimetrale per il quale si desidera caricare il certificato e la chiave.

    Viene visualizzata la finestra di dialogo Dettagli criteri perimetrali.

  5. Fare clic su Impostazioni in Criterio WAF.
    Viene visualizzata l'elenco Impostazioni.
  6. Selezionare Impostazioni generali.
  7. Fare clic su Modifica.
    Viene visualizzata la finestra di dialogo Modifica impostazioni.
  8. Specificare quanto segue:
    • Abilita supporto HTTPS: fare clic su questa casella di controllo per abilitare la cifratura di tutte le comunicazioni tra il browser e l'applicazione Web.
      • Origine certificato: scegliere uno dei metodi riportati di seguito.
        • Scegli certificato: selezionare un certificato esistente dal menu a discesa. Fare clic su Modifica compartimento per selezionare un certificato da un altro compartimento.
        • Carica o incolla certificato e chiave privata

          • Drag and drop, select, or paste a valid SSL certificate in PEM. È necessario includere anche certificati intermedi (il certificato del sito Web deve essere il primo). Di seguito è riportato un esempio:

            -----BEGIN CERTIFICATE-----
<Base64_encoded_certificate>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
<Intermediate_Base64_encoded_certificate>
-----END CERTIFICATE-----

          • Chiave privata: trascinare, selezionare o incollare una chiave privata valida in formato PEM in questo campo. La chiave privata non può essere protetta mediante una passphrase. Di seguito è riportato un esempio:

            -----BEGIN PRIVATE KEY-----
<Base64_encoded_private_key>
-----END PRIVATE KEY-----
      • Certificato con firma automatica: abilitare questo campo quando si utilizza un certificato con firma automatica per mostrare un'avvertenza SSL nel browser.
      • Reindirizzamento da HTTP a HTTPS: quando l'opzione è abilitata, tutto il traffico HTTP viene reindirizzato in modo automatico al protocollo HTTPS.
      • Supporto dei protocolli TLS: selezionare un protocollo TLS dall'elenco a discesa.
        Attenzione

        Le versioni 1 e 1.1 di TLS non sono più valide e non possono essere utilizzate nelle configurazioni dei criteri. Se si utilizzano queste versioni, potrebbe verificarsi un errore di convalida. Utilizzare invece le versioni 1.2 o 1.3.
      • Enable SNI: SNI (Server Name Indication) è un'estensione del protocollo TLS, che consente a un singolo indirizzo IP di fornire più nomi host sicuri.
      • Opzioni avanzate
        • Abilita buffering risposte: consente di abilitare o disabilitare il buffering della risposta dall'origine.
        • Controllo cache rispettato: abilitare o disabilitare l'inserimento nella cache automatico del contenuto in base all'intestazione Cache-Control della risposta.
        • Dietro la rete CDN: abilitarla per consentire la raccolta degli indirizzi IP della richiesta del client se WAF è connesso a una rete CDN.
  9. Fare clic su Salva modifiche.
Per rendere effettive le modifiche, è necessario pubblicarle. Vedere Pubblicazione delle modifiche.

4. Test dell'applicazione (prima di distribuirla in produzione)

In questo passo, è necessario assicurarsi che le richieste vengano instradate a WAF e che l'applicazione continui a funzionare normalmente con un proxy inverso nella topologia.

Test dell'applicazione tramite un comando terminale
  1. Aprire un terminale.

    Eseguire il comando seguente per HTTP:

    curl -lvk http://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null

    Eseguire il comando riportato di seguito per HTTPS:

    curl -lvk https://<OCI_WAF_CNAME> -H "Host: <WEBAPP_DOMAIN>" -so /dev/null
  2. Puoi anche eseguire una query DNS su <OCI_WAF_CNAME> per il tuo criterio WAF e copiare uno degli indirizzi IP dall'output risultante.
    • Per eseguire una query DNS è possibile utilizzare uno dei seguenti comandi:
      dig <OCI_WAF_CNAME>
      nslookup <OCI_WAF_CNAME>
    • Copiare uno qualsiasi degli indirizzi IP dall'output.
  3. eseguire il comando seguente. Sostituire <WEBAPP_DOMAIN> con il dominio dei criteri WAF. Utilizzare le porte 80 o 443. Sostituire <OCI_NODE_IP> con l'indirizzo IP da OCI_WAF_CNAME.
    Query curl -vso/dev/null --resolve <WEBAPP_DOMAIN>:<PORT_80_OR_443>:<OCI_NODE_IP> https://<WEBAPP_DOMAIN>

    Viene restituito un codice di risposta HTTP 200, 301, 302 o qualsiasi altro codice di risposta HTTP previsto.

    Nota

    Se si riceve un errore HTTP 5XX, assicurarsi di aver aggiornato l'impostazione del firewall per consentire gli indirizzi IP. Se si verifica ancora un problema, aprire una richiesta di servizio con My Oracle Support. Nella richiesta di supporto, fornire l'OCID compartimento, l'OCID criterio, la spiegazione del problema che si sta riscontrando, un file HAR e un'ora di avvio del problema.
Test dell'applicazione tramite un browser Web

Per eseguire il test dell'applicazione utilizzando un file hosts, è necessario un indirizzo IP in cui puntare l'applicazione. Sotto il criterio, è necessario visualizzare il CNAME assegnato all'utente. Puoi ottenere l'indirizzo IP in cui puntare la tua applicazione.

  1. Aprire un terminale.
  2. Eseguire una query DNS utilizzando uno dei comandi seguenti:
    dig <OCI_WAF_CNAME>
    nslookup <OCI_WAF_CNAME>
  3. Copia uno dei tre indirizzi IP da una sezione di risposta di output del comando dig e incollala in un file hosts con il tuo nome di dominio.
  4. Dopo aver salvato il file hosts, aprire l'applicazione in un browser e verificare che funzioni come previsto.

    Viene restituito un codice di risposta HTTP 200, 301, 302 o qualsiasi altro codice di risposta HTTP previsto.

    Nota

    Se si riceve un errore HTTP 5XX, assicurarsi di aver aggiornato l'impostazione del firewall per consentire gli indirizzi IP. Se si verifica ancora un problema, aprire una richiesta di servizio con My Oracle Support. Nella richiesta di supporto, fornire l'OCID compartimento, l'OCID criterio, la spiegazione del problema che si sta riscontrando, un file HAR e un'ora di avvio del problema.
Test SSL
Per convalidare i certificati in una determinata applicazione Web è possibile utilizzare i seguenti strumenti utili della riga di comando:
echo | openssl s_client -showcerts -servername <Domain> -connect <Domain>:443 2>/dev/null | openssl x509 -inform pem -noout -text
Prestare particolare attenzione alle date di validità del certificato e alle date di scadenza che potrebbero causare problemi di connessione:
..
Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
        Validity
            Not Before: Jun  5 03:15:10 2020 GMT
            Not After : Sep  3 03:15:10 2020 GMT
        Subject: CN = www.example.com
        Subject Public Key Info:
...

È inoltre possibile controllare il certificato da siti Web di terze parti come SSL Shooper o laboratori SSL ed eseguire la convalida lì.

5. Aggiorna DNS per abilitare WAF

Dopo aver verificato che l'applicazione Web funziona in modo impeccabile tramite WAF, ora puoi procedere all'aggiornamento del DNS a livello globale.

In questo passo, si aggiorna il CNAME della propria zona per instradare le richieste dai client Internet al firewall WAF. Per apportare questa modifica DNS nella console, attenersi alle istruzioni riportate di seguito. Se la configurazione DNS risiede presso un altro provider, fare riferimento alla relativa documentazione per istruzioni.

Per aggiornare CNAME per la propria zona
  1. Nella scheda Informazioni criterio della panoramica dei criteri WAF, selezionare la destinazione CNAME.
  2. Copiare la destinazione CNAME negli Appunti.
  3. Aprire il menu di navigazione e selezionare Networking. In Gestione DNS, selezionare Zone.

  4. Fare clic sul nome zona del dominio principale in cui si desidera aggiornare il record. Vengono visualizzati i dettagli della zona e un elenco di record.

  5. Selezionare la casella di controllo per il record CNAME e selezionare Modifica dal menu a discesa Azioni.
  6. Nella finestra di dialogo Modifica record, aggiornare il campo Destinazione con la destinazione CNAME dagli Appunti.
  7. Fare clic su Sottometti.
  8. Fare clic su Pubblica modifiche.
  9. Nella finestra di dialogo di conferma, fare clic su Pubblica modifiche.

6. Protezione del WAF

Per proteggere il tuo WAF, devi configurare i server in modo che accettino il traffico proveniente dai server WAF. Configura le regole di entrata della tua origine in modo che accetti solo connessioni provenienti dagli intervalli CIDR seguenti.

Intervalli CIDR
  • 129.146.12.128/25
  • 129.146.13.128/25
  • 129.146.14.128/25
  • 129.148.156.0/22
  • 25/129.213.0.128
  • 25/129.213.2.128
  • 25/129.213.4.128
  • 130.35.0.0/20
  • 130.35.112.0/22
  • 130.35.116.0/25
  • 130.35.120.0/21
  • 130.35.128.0/20
  • 130.35.144.0/20
  • 130.35.16.0/20
  • 130.35.176.0/20
  • 130.35.192.0/19
  • 130.35.224.0/22
  • 130.35.232.0/21
  • 130.35.240.0/20
  • 130.35.48.0/20
  • 130.35.64.0/19
  • 130.35.96.0/20
  • 130.35.228.0/22
  • 132.145.0.128/25
  • 25/132.145.2.128
  • 132.145.4.128/25
  • 134.70.16.0/22
  • 21/134.70.24.0
  • 134.70.32.0/22
  • 134.70.56.0/21
  • 134.70.64.0/22
  • 134.70.72.0/22
  • 134.70.76.0/22
  • 21/134.70.8.0
  • 134.70.80.0/22
  • 134.70.84.0/22
  • 134.70.88.0/22
  • 134.70.92.0/22
  • 134.70.96.0/22
  • 138.1.0.0/20
  • 138.1.104.0/22
  • 138.1.128.0/19
  • 138.1.16.0/20
  • 138.1.160.0/19
  • 138.1.192.0/20
  • 138.1.208.0/20
  • 138.1.224.0/19
  • 138.1.32.0/21
  • 138.1.40.0/21
  • 138.1.48.0/21
  • 138.1.64.0/20
  • 138.1.80.0/20
  • 138.1.96.0/21
  • 138.1.112.0/20
  • 25/140.204.0.128
  • 140.204.12.128/25
  • 140.204.16.128/25
  • 25/140.204.20.128
  • 25/140.204.24.128
  • 25/140.204.4.128
  • 25/140.204.8.128
  • 23/140.91.10.0
  • 140.91.12.0/22
  • 23/140.91.22.0
  • 140.91.24.0/22
  • 23/28.0/140.91
  • 140.91.30.0/23
  • 140.91.32.0/23
  • 140.91.34.0/23
  • 140.91.36.0/23
  • 140.91.38.0/23
  • 140.91.4.0/22
  • 23/140.91.40.0
  • 23/140.91.8.0
  • 147.154.0.0/18
  • 147.154.128.0/18
  • 147.154.192.0/20
  • 147.154.208.0/21
  • 147.154.224.0/19
  • 147.154.64.0/20
  • 147.154.80.0/21
  • 147.154.96.0/19
  • 192.157.18.0/24
  • 192.157.19.0/24
  • 20/192.29.0.0
  • 29.192.128.0/21
  • 29.192.138.0/23
  • 29.192.144.0/21
  • 29.192.152.0/22
  • 20/16.0/192.29
  • 29.192.160.0/21
  • 29.192.168.0/22
  • 29.192.172.0/25
  • 29.192.178.0/25
  • 29.192.180.0/22
  • 21.29.192.32.0
  • 29.192.40.0/22
  • 25/192.29.44.0
  • 21.29.192.48.0
  • 21.29.192.56.0
  • 23/192.29.60.0
  • 29.192.64.0/20
  • 29.192.96.0/20
  • 29.192.140.0/22
  • 23/192.69.118.0
  • 198.181.48.0/21
  • 23/6.0/199.195
  • 21/205/147/88.0

Abilita WAF per rilevare in modo passivo le regole

Le regole di protezione WAF aggiungono cicli CPU aggiuntivi a ogni transazione. Pertanto, è consigliabile abilitare solo le regole progettate per la topologia dell'applicazione Web. WAF offre un set di regole consigliate che non danneggiano le prestazioni del sito e funzionano con la maggior parte dell'applicazione Web. La funzione di protezione dei bot WAF rende l'applicazione Web completamente protetta dalle minacce.

Se hai bisogno di assistenza per l'impostazione di WAF, puoi aprire una richiesta di servizio con My Oracle Support che richiede assistenza per il tuning di OCI WAF. Un esperto ti guiderà attraverso il processo.

Per visualizzare i suggerimenti delle regole di protezione
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Web Application Firewall, selezionare Criteri.
  2. Fare clic sul nome del criterio WAF per il quale si desidera visualizzare i suggerimenti delle regole di protezione. Viene visualizzata la panoramica dei criteri WAF.
  3. Fare clic su Regole di protezione.
  4. Fare clic sulla scheda Suggerimenti. Questa lista viene generata in base al traffico rilevato dal WAF che scorre attraverso il WAF. Se non viene visualizzato alcun elemento in questa lista, continuare a eseguire il test del nome FQDN dell'applicazione e riprovare più tardi.
  5. Selezionare le regole di protezione con un'azione consigliata Rileva, quindi fare clic su Accetta suggerimenti.
Suggerimento

È possibile utilizzare il filtro Azione consigliata per individuare un suggerimento in base a Rileva.
Per abilitare la modalità di rilevamento delle regole di protezione WAF
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Web Application Firewall, selezionare Criteri.
  2. Fare clic sul nome del criterio WAF per il quale si desidera configurare le impostazioni delle regole. Viene visualizzata la panoramica dei criteri WAF.
  3. Fare clic su Regole di protezione.
  4. Utilizzare la tabella Regole di protezione per individuare le regole che si desidera rilevare.
  5. Immettere gli ID regola individuati dalla tabella nel filtro ID regola. In questo esempio, immettere 941110 (Scripting tra siti) nel filtro ID regola.
  6. Selezionare Rileva dal menu a discesa Azioni per le regole di protezione filtrate.

Per ulteriori informazioni, vedere Regole di protezione WAF.

Per abilitare la modalità di rilevamento delle regole di accesso WAF
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Web Application Firewall, selezionare Criteri.
  2. Fare clic sul nome del criterio WAF per il quale si desidera configurare le regole di accesso. Viene visualizzata la panoramica dei criteri WAF.
  3. Fare clic su Controllo accesso.
  4. Fare clic su Aggiungi regola di accesso.
  5. Nella finestra di dialogo Aggiungi regola di accesso, immettere quanto riportato di seguito.
    1. Nome: DetectRequestsFromMySpecificBrowser
    2. Azione regola: selezionare Solo rilevamento.
    3. Condizioni: selezionare Indirizzo IP dal menu e immettere l'indirizzo IP copiato negli Appunti durante il test dell'applicazione nel campo Indirizzo IP.
    4. Fare clic su +Additional Condizione.
    5. Condizione: selezionare User Agent is dal menu e immettere il valore dell'agente copiato negli Appunti durante il test dell'applicazione nel campo User Agent Header.
    Nota

    Sia l'indirizzo IP che l'agente utente nell'esempio precedente devono corrispondere affinché la regola venga attivata. Se per eseguire il test dell'applicazione viene utilizzato un altro User Agent, la richiesta non verrà rilevata.

  6. Fare clic su Aggiungi regola di accesso.
  7. Fare clic su Modifiche non pubblicate.
  8. Fare clic su Pubblica tutto.

Per ulteriori informazioni, vedere Controllo dell'accesso per i criteri perimetrali.

Per abilitare le regole BOT WAF per rilevare la modalità (richiesta di verifica JavaScript)
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Web Application Firewall, selezionare Criteri.
  2. Fare clic sul nome del criterio WAF per il quale si desidera configurare le impostazioni della richiesta di verifica JavaScript. Viene visualizzata la panoramica dei criteri WAF.
  3. Fare clic su Gestione bot.
  4. Fare clic su Modifica richiesta di verifica JavaScript.
  5. Nella finestra di dialogo JavaScript Richiesta di verifica, selezionare la casella di controllo Abilita richiesta di verifica JavaScript.

  6. Nella sezione JavaScript Azione richiesta di verifica selezionare Solo rilevamento.

  7. Immettere le informazioni riportate di seguito.

    • Abilita condizioni: quando l'opzione è abilitata, le condizioni devono corrispondere per poter eseguire un'azione impostata. Per ulteriori informazioni su condizioni e regole, vedere Controllo dell'accesso per i criteri perimetrali.
    • Soglia azione (numero di richieste): specificare il numero di richieste non riuscite prima di eseguire un'azione. A causa della richiesta asincrona dal browser durante il caricamento delle pagine, si consiglia di impostare una soglia di 10 per le applicazioni Web con uso di base delle funzionalità Ajax e di 100 per le applicazioni con uso più intenso delle funzionalità Ajax.
    • Tempo di scadenza azione (secondi): immettere il numero di secondi tra le richieste di verifica e lo stesso indirizzo IP. A causa delle modifiche degli indirizzi IP del client, si consiglia di impostare il tempo di scadenza su 120 secondi per le applicazioni con utenti Mobile e su 3.600 secondi per le applicazioni solo con utenti desktop.
    • Segui reindirizzamenti: se abilitato, anche le risposte di reindirizzamento provenienti dall'origine verranno sottoposte alla richiesta di verifica.
    • Abilita supporto NAT: se abilitato, l'utente viene identificato non solo dall'indirizzo IP ma anche da un hash aggiuntivo univoco, che impedisce il blocco dei visitatori con indirizzi IP condivisi. Si consiglia di disabilitare questo supporto NAT per le applicazioni ad alto carico (200+RPS).
  8. Fare clic su Salva modifiche.

La richiesta di verifica JavaScript viene aggiunta all'elenco delle modifiche da pubblicare.

Per ulteriori informazioni, vedere Gestione bot.

Per abilitare le regole BOT WAF alla modalità di rilevamento (richiesta di verifica interazione umana)
  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Web Application Firewall, selezionare Criteri.
  2. Fare clic sul nome del criterio WAF per il quale si desidera configurare le impostazioni della richiesta di verifica JavaScript. Viene visualizzata la panoramica dei criteri WAF.
  3. Fare clic su Gestione bot.
  4. Fare clic sulla scheda Richiesta di verifica interazione umana.
  5. Fare clic su Modifica richiesta di verifica interazione umana.
  6. Nella finestra di dialogo Modifica richiesta di verifica interazione umana, selezionare la casella di controllo Abilita richiesta di verifica interazione umana.
  7. Nella sezione Azione interazione umana, selezionare Solo rilevamento.
  8. Immettere le informazioni riportate di seguito.
    • Soglia azione (numero di richieste): specificare il numero di richieste non riuscite prima di eseguire un'azione. A causa della richiesta asincrona dal browser durante il caricamento delle pagine, si consiglia di impostare una soglia di 10 per le applicazioni Web con uso di base delle funzionalità Ajax e di 100 per le applicazioni con uso più intenso delle funzionalità Ajax.
    • Periodo di scadenza della soglia (secondi): il numero di secondi prima della scadenza della soglia.
    • Tempo di scadenza azione (secondi): immettere il numero di secondi tra le richieste di verifica e lo stesso indirizzo IP. A causa delle modifiche degli indirizzi IP del client, si consiglia di impostare il tempo di scadenza su 120 secondi per le applicazioni con utenti Mobile e su 3.600 secondi per le applicazioni solo con utenti desktop.
    • Soglia interazione (numero di interazioni): numero di interazioni prima della scadenza della soglia.
    • Periodo di registrazione (secondi): il periodo di tempo per registrare gli eventi dell'utente.
    • Supporto NAT: se abilitato, l'utente viene identificato non solo dall'indirizzo IP ma anche da un hash aggiuntivo univoco, che impedisce il blocco dei visitatori con indirizzi IP condivisi. Si consiglia di disabilitare il supporto per le applicazioni ad alto carico (200+ RPS).
  9. Fare clic su Salva modifiche.

La richiesta di verifica interazione umana viene aggiunta all'elenco delle modifiche da pubblicare.

Per ulteriori informazioni, vedere Gestione bot.

Per informazioni sull'ordine di elaborazione di WAF, vedere Gestione dei criteri perimetrali.

Test delle regole

Quando il criterio è attivo, è possibile verificare che le regole vengano rilevate da WAF.

Per avviare le richieste
  1. Utilizzare lo stesso browser utilizzato durante il test dell'applicazione per effettuare le operazioni riportate di seguito.
    • Richiedere il nome FQDN dell'applicazione con il seguente parametro di query aggiunto: 
      ?id=<script>alert("TEST");</script>
  2. Utilizzare un browser diverso sullo stesso computer e ripetere le richieste precedenti. Tutte le richieste devono passare attraverso l'applicazione.
Per verificare che WAF rilevi le richieste

Per verificare che WAF rilevi le richieste identificate come rischio:

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Web Application Firewall, selezionare Criteri.
  2. Fare clic sul nome del criterio WAF per il quale si desidera visualizzare i log. Viene visualizzata la panoramica dei criteri WAF.
  3. Fare clic su Log. Vengono visualizzati i log per il criterio WAF.
  4. Selezionare la casella di controllo Rileva dal filtro Azioni.
  5. Verificare che siano presenti due voci per la regola di protezione attivata dalla richiesta di script tra siti e una per il rilevamento dell'agente utente e dell'indirizzo IP.