Creazione di un criterio Web Application Firewall

1. Immettere un nome per il criterio WAF o utilizzare il nome predefinito.
2. Selezionare il compartimento in cui contenere il criterio WAF.
3. Selezionare la freccia Azioni per visualizzare le azioni da aggiungere al criterio WAF. Per impostazione predefinita, al criterio WAF sono associate le azioni preconfigurate riportate di seguito.
   • Azione di controllo preconfigurata: l'azione non arresta l'esecuzione delle regole. L'azione genera invece un messaggio di log che documenta il risultato dell'esecuzione delle regole.
   • Azione consentita preconfigurata: l'azione salta tutte le regole rimanenti nel modulo corrente non appena viene trovata la corrispondenza con la regola.
   • Azione codice di risposta 401 preconfigurata: restituisce una risposta HTTP definita. La configurazione del codice di risposta (intestazione e corpo della pagina di risposta) determina la risposta HTTP restituita quando viene eseguita questa azione.
4. Per aggiungere un'altra azione al criterio, selezionare Aggiungi azione, quindi completare le seguenti opzioni nel pannello Aggiungi azioni. Per ulteriori informazioni, vedere Azioni per i firewall delle applicazioni Web.

   • Nome: immettere il nome dell'azione.

   • Tipo: specificare il tipo di azione:

     • Controllo: non arresta l'esecuzione delle regole. Genera invece un messaggio di log che documenta il risultato della regola.

       Consenti: ignora tutte le regole rimanenti nel modulo corrente.

       Restituisci risposta HTTP: restituisce una risposta HTTP definita.

       Se si seleziona questo tipo, fornire i seguenti valori.

   • Codice risposta: selezionare la risposta HTTP.

   • Intestazioni: immettere le informazioni facoltative sull'intestazione.

     • Nome intestazione: immettere il nome dell'intestazione.

     • Valore intestazione: immettere il valore associato dell'intestazione.

     • Selezionare + Altra intestazione per visualizzare un'altra riga di intestazione in cui è possibile immettere una coppia nome intestazione-valore. Selezionare X per eliminare la riga di intestazione associata.

   • Corpo pagina risposta: fornisce i dettagli relativi a un errore, comprese la causa e ulteriori istruzioni, se necessario.

     Immettere il corpo della risposta HTTP, ad esempio una risposta di errore JSON:

     {"code":"403","message":"Forbidden"}

     È possibile abilitare il supporto del testo dinamico per aggiungere variabili nel corpo della pagina. È supportata la variabile seguente:

     RequestID

     L'ID richiesta consente di tenere traccia e gestire una richiesta fornendo un identificativo univoco esposto nelle intestazioni delle richieste e delle risposte HTTP.

     Quando l'ID richiesta è abilitato, il nome intestazione predefinito X-Request-ID viene incluso nell'intestazione della richiesta HTTP dal load balancer alle risposte dell'intestazione backend e HTTP.

     Nell'esempio seguente viene fornito un corpo risposta HTTP con il supporto del testo dinamico abilitato:

     {"code":"403","message":"Forbidden","RequestId":"${http.request.id}"}

5. Selezionare Aggiungi azione.

6. Mostra applicazione tag: (facoltativo) aggiungere una o più tag al criterio WAF.

   Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare le tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.

7. Per utilizzare le opzioni dei criteri perimetrali precedenti, selezionare il collegamento del flusso di lavoro precedente nella parte inferiore della pagina. Per ulteriori informazioni, vedere Criteri perimetrali.

Selezionare Successivo.

(Facoltativo) Utilizzare le opzioni Controllo accesso per definire azioni esplicite per le richieste e le risposte che soddisfano varie condizioni. Quando si abilita il controllo dell'accesso, viene visualizzato un elenco di regole di accesso associate al controllo della richiesta. È possibile aggiungere, modificare, modificare o eliminare regole. Per ulteriori informazioni, vedere Request Controls for a Web Application Firewall Policy.

1. Selezionare Abilita controllo accesso.
2. In Controllo richiesta selezionare Aggiungi regola di accesso e fornire le informazioni riportate di seguito per definire la regola.
   • Nome: immettere un nome per la regola di accesso.
   • Condizioni: specificare le condizioni dei prerequisiti che devono essere soddisfatte affinché l'azione della regola venga eseguita. Vedere Introduzione alle condizioni.
   • Azione regola: selezionare una regola esistente da seguire quando vengono soddisfatte le condizioni precedenti oppure selezionare Crea nuova azione per aggiungerne una. Per una descrizione delle regole preconfigurate e le istruzioni per l'aggiunta di regole, vedere la sezione precedente "Impostazione delle informazioni di base".
3. Selezionare Aggiungi regola di accesso.
4. In Azione predefinita, nella lista Nome azione selezionare l'azione da seguire quando le richieste non corrispondono a nessun gruppo di regole definito per il criterio.
5. Selezionare Mostra opzioni controllo risposta per visualizzare la sezione Controllo risposta e la lista Regole di accesso. L'elenco contiene le regole di accesso associate al controllo risposta. Aggiungere e gestire le regole di accesso e le azioni per i controlli delle risposte allo stesso modo dei controlli delle richieste. Per ulteriori informazioni, vedere Controllo delle risposte per un criterio Web Application Firewall.

Selezionare Successivo.

1. Selezionare Abilita per configurare le regole di limitazione di frequenza.
2. In Regole di limitazione di frequenza selezionare Aggiungi regola di limitazione di frequenza, quindi completare le opzioni come indicato di seguito.

   • Nome: immettere un nome per la regola del limite di frequenza.

   • Condizioni: specificare le condizioni dei prerequisiti che devono essere soddisfatte affinché l'azione della regola venga eseguita. Vedere Introduzione alle condizioni.

   • Configurazione della limitazione dei tassi: consente di configurare il numero massimo di richieste che possono essere effettuate da un indirizzo IP univoco e la durata della richiesta. Sono disponibili le seguenti opzioni:
     • Limite richieste: immettere il numero massimo di richieste che un indirizzo IP univoco può effettuare durante il valore temporale allocato nella casella Periodo in secondi.
     • Periodo in secondi: immettere il numero di secondi in cui è possibile effettuare il numero massimo di richieste da ogni indirizzo IP univoco, come specificato nella casella Limite richieste.
     • Durata dell'azione in secondi: immettere la durata, in secondi, dell'applicazione dell'azione quando viene raggiunto il limite di richiesta.
   • Azione regola: selezionare una regola esistente da seguire quando vengono soddisfatte le condizioni precedenti oppure selezionare Crea nuova azione per aggiungerne una. Per una descrizione delle regole preconfigurate e le istruzioni per l'aggiunta di regole, vedere la sezione precedente sulle informazioni di base.

     Per ulteriori informazioni, vedere Azioni per i firewall delle applicazioni Web.

Selezionare Successivo.

(Facoltativo) Utilizzare queste opzioni per applicare le funzionalità di protezione delle richieste gestite da Oracle per catturare traffico dannoso. Applicare le regole di protezione in base alle esigenze. Per ulteriori informazioni, vedere Protezioni per Web Application Firewall.

1. Selezionare Abilita per configurare le regole di protezione.
2. In Regole di protezione delle richieste, selezionare Aggiungi regola di protezione delle richieste, quindi completare le opzioni come indicato di seguito.

   • Nome: immettere un nome per la regola di protezione.

   • Condizioni: specificare le condizioni dei prerequisiti che devono essere soddisfatte affinché l'azione della regola venga eseguita. Vedere Introduzione alle condizioni.
   • Azione regola: selezionare una regola esistente da seguire quando vengono soddisfatte le condizioni precedenti oppure selezionare Crea nuova azione per aggiungerne una. Per una descrizione delle regole preconfigurate e le istruzioni per l'aggiunta di regole, vedere la sezione precedente "Impostazione delle informazioni di base".

   • Ispezione del corpo: selezionare Abilita ispezione del corpo per consentire al corpo della richiesta HTTP di sottoporsi ad ispezione per assicurarsi che il contenuto del corpo della richiesta sia conforme a tutte le capacità di protezione specificate nella regola di protezione. Per ulteriori informazioni, vedere Ispezione corpo richiesta HTTP.

   • Funzioni di protezione: elenca le capacità di protezione assegnate alla regola di protezione. Selezionare Scegli funzionalità di protezione per aprire la finestra di dialogo Scegli funzionalità di protezione. Sfogliare le funzionalità di protezione disponibili e assegnarne una o più alla regola di protezione.

     È possibile filtrare le funzionalità e selezionare la freccia "giù" all'estremità destra di ciascuna funzionalità per visualizzarne la cronologia delle versioni. Selezionare le funzionalità di protezione che si desidera aggiungere alla regola di protezione, quindi selezionare Scegli capacità di protezione.

     Per ulteriori informazioni, vedere Protezioni per Web Application Firewall.

   • Azioni: è possibile applicare più azioni a una o più funzionalità di protezione selezionate. Selezionare le funzionalità di protezione che si desidera applicare, quindi selezionare uno dei comandi riportati di seguito dal menu Azioni.
     • Visualizzare e modificare le impostazioni delle capacità di protezione: apre la finestra di dialogo Visualizza e modifica le impostazioni delle capacità di protezione, in cui è possibile modificare le impostazioni delle capacità di protezione.
       Nota
       
       Questa impostazione è globale. Le impostazioni configurate in questa finestra di dialogo si applicano a tutte le funzionalità di protezione associate alla regola di protezione, indipendentemente dal fatto che siano selezionate nell'elenco delle funzionalità di protezione.
     • Azione di modifica: apre la finestra di dialogo Modifica azione in cui è possibile aggiornare l'azione intrapresa dalle funzionalità di protezione quando viene attivata.
     • Elimina: rimuove le funzionalità di protezione dalla regola di protezione.
3. Selezionare Aggiungi regola di protezione delle richieste.
4. Selezionare Mostra regole di protezione delle risposte per visualizzare una lista di regole di protezione delle risposte.
   • Per rimuovere una regola, selezionarla, quindi selezionare Elimina.
   • Per aggiungere una regola, selezionare Aggiungi regola di protezione della risposta.
   • Aggiungere e gestire le regole e le azioni di accesso per le protezioni delle risposte come per le protezioni delle richieste descritte in precedenza in questa sezione.
5. Selezionare una o più regole di protezione delle richieste, quindi selezionare il menu Azioni per applicare un'azione a tutte le regole selezionate. È possibile selezionare una delle seguenti opzioni:
   • Visualizza e modifica impostazioni delle regole: apre la finestra di dialogo Visualizza e modifica impostazioni delle regole. È possibile applicare le impostazioni riportate di seguito a qualsiasi regola di protezione delle richieste per la quale è abilitata l'ispezione del corpo HTTP.
     • Numero massimo di byte consentiti: specificare il numero di byte in ogni corpo del messaggio HTTP sottoposto a ispezione. Il valore è compreso tra 0 e 8192.
     • Azione eseguita se il limite è stato superato: selezionare un'azione dalla lista che si verifica se la dimensione del corpo del messaggio supera il numero massimo di byte consentito specificato.

   • Abilita ispezione corpo: consente l'ispezione del corpo del messaggio HTTP.

   • Disabilita ispezione corpo: disabilita l'ispezione del corpo del messaggio HTTP.

   • Elimina: rimuove le regole di protezione delle richieste selezionate dal criterio.

Selezionare Successivo.

Utilizzare queste opzioni per applicare la sicurezza di Web Application Firewall nel load balancer. Per ulteriori informazioni, vedere Firewall per criteri Web Application Firewall.

In Aggiungi firewall, selezionare un load balancer contenuto nel compartimento corrente. Selezionare Modifica compartimento per selezionare i load balancer da un compartimento diverso.

Al load balancer selezionato viene applicata la sicurezza firewall.

Selezionare Successivo.

Rivedere le impostazioni dei criteri WAF prima di completare il processo di creazione. Ogni sezione corrisponde alle opzioni impostate per il criterio.

1. Esaminare ogni sezione per verificarne l'accuratezza e il completamento. Selezionare Modifica in qualsiasi sezione che si desidera modificare.

2. Selezionare Crea criterio WAF.