Guida introduttiva ai criteri di Web Application Firewall

Inizia a creare e gestire un criterio Web Application Firewall.

Prima di iniziare

Per informazioni importanti sul firewall dell'applicazione Web, vedere Criteri di servizio IAM obbligatori.

Per iniziare a utilizzare il servizio WAF, è necessario disporre dei seguenti elementi disponibili:

  • Assicurarsi di disporre delle autorizzazioni Criteri di servizio IAM obbligatori.

  • Si consiglia di utilizzare un compartimento separato per il criterio Web Application Firewall in modo da semplificare e proteggere la gestione. Per ulteriori informazioni, vedere Gestione dei compartimenti.

  • Un load balancer con un listener HTTP.

È possibile modificare il criterio Web Application Firewall solo quando lo stato del criterio è ACTIVE.

Modalità di accesso al servizio Web Application Firewall

Puoi accedere a Oracle Cloud Infrastructure (OCI) utilizzando la console (un'interfaccia basata sul browser), l'API REST o l'interfaccia CLI OCI. Le istruzioni per l'uso della console, dell'API e dell'interfaccia CLI sono incluse negli argomenti di questa documentazione. Per esaminare un elenco di SDK disponibili, consulta Software Development Kits and Command Line Interface.

To access the Console, you must use a supported browser. Per andare alla pagina di connessione della console, aprire il menu di navigazione nella parte superiore di questa pagina e selezionare Console infrastruttura. Viene richiesto di immettere il tenant cloud, il nome utente e la password.

Funzionalità e limiti del servizio Web Application Firewall

Il servizio WAF (Web Application Firewall) dispone delle funzionalità e dei limiti riportati di seguito.

  • Criteri Web Application Firewall: 100 per tenant.

  • Liste di indirizzi di rete: 100 per tenant.

    Per un elenco dei limiti applicabili e delle istruzioni per richiedere un aumento del limite, consulta la sezione relativa ai limiti dei servizi. Per impostare limiti specifici del compartimento per una risorsa o una famiglia di risorse, gli amministratori possono utilizzare le quote dei compartimenti.
    Nota

    Il servizio WAF consente un tempo di esecuzione totale di 10 minuti per i processi di caricamento e download tramite il firewall dell'applicazione Web.
  • Il criterio WAF non supporta il load balancer di rete. Il criterio WAF supporta solo il load balancer.
  • Il listener TCP non è compatibile con il criterio WAF. Il criterio WAF supporta solo i lister HTTP.
  • Il criterio WAF supporta IPv6. Il criterio WAF è collegato direttamente al load balancer, dove è possibile selezionare IPv6 Support.

    Dopo aver creato un load balancer e aver scelto il tipo, selezionare Abilita assegnazione indirizzo IPv6.

    Quando crei un load balancer, puoi scegliere di utilizzare una configurazione a doppio stack IPv4/IPv6. Quando si sceglie l'opzione IPv6, il servizio Load Balancer assegna al load balancer sia un indirizzo IPv4 che un indirizzo IPv6. Il load balancer riceve il traffico client inviato all'indirizzo IPv6 assegnato. Il load balancer utilizza solo indirizzi IPv4 per comunicare con i server backend. Non esiste alcuna comunicazione IPv6 tra il load balancer e i server backend.
    Nota

    IPv6 l'assegnazione degli indirizzi si verifica solo durante la creazione del load balancer. Non è possibile assegnare un indirizzo IPv6 a un load balancer esistente.
  • I criteri WAF sono solo regionali. Un criterio WAF non può essere utilizzato contemporaneamente in più aree.
  • Un singolo criterio può essere utilizzato con più load balancer. Puoi utilizzare un criterio con più load balancer purché tutti i load balancer si trovino nella stessa area del criterio.
  • Le regole dei criteri WAF vengono eseguite nel seguente ordine:
    1. WAF requestAccessControl
    2. WAF requestRateLimiting
    3. WAF requestProtection
      1. requestProtection regola 1
        1. modalità CHECK ispezione intestazione protectionCapabilities
        2. ispezione intestazione modalità BLOCK protectionCapabilities
        3. ispezione corpo CHECK modo protectionCapabilities
        4. ispezione corpo Modalità BLOCK protectionCapabilities
      2. requestProtection regola 2
      3. requestProtection regola N
    4. <richiesta inoltrata al backend e risposta ricevuta>
    5. WAF responseAccessControl
    6. WAF responseProtection
      1. responseProtection regola 1
        1. modalità CHECK ispezione intestazione protectionCapabilities
        2. ispezione intestazione modalità BLOCK protectionCapabilities
        3. ispezione corpo CHECK modo protectionCapabilities
        4. ispezione corpo Modalità BLOCK protectionCapabilities
      2. responseProtection regola 2
      3. responseProtection regola N

Critico di servizio IAM necessario

Per utilizzare Oracle Cloud Infrastructure, è necessario disporre dell'accesso in un criterio per waas-policy. Se si tenta di eseguire un'azione e si riceve un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, confermare con l'amministratore il tipo di accesso concesso e il compartimento in cui si dovrebbe lavorare.

Lista delle autorizzazioni obbligatorie:

Allow group-id to manage waas-family in compartment_ocid

Allow group-id to manage web-app-firewall in compartment_ocid

Allow group-id to manage waf-policy in compartment_ocid

Allow group-id to use waf-network-address-list in compartment_ocid

Esempi di criteri:

  • Per consentire a un gruppo di utenti specifico di gestire i firewall delle applicazioni Web nella tenancy:
    Allow group-id to manage web-app-firewall in tenancy
  • Per consentire a un gruppo di utenti specifico di ispezionare i criteri di Web Application Firewall in un compartimento specifico, effettuare le operazioni riportate di seguito.
    Allow group-id to inspect waf-policy in compartment_ocid
  • Per consentire a un gruppo di utenti specifico di utilizzare gli elenchi di indirizzi di rete di Web Application Firewall nella tenancy:
    Allow group-id to use waf-network-address-list in tenancy

Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni. Per ulteriori dettagli sui criteri per WAF, vedere Dettagli per il servizio WAF.

Applicazione di tag

Applica tag alle risorse per organizzarle in base alle esigenze aziendali. È possibile applicare le tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere le tag. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.