Configurazione dei WAF per un servizio virtuale nel VMware Cloud Director Service Provider Admin Portal

A partire da VMware Cloud Director 10.5.1, è possibile utilizzare la funzionalità del firewall delle applicazioni Web di NSX Advanced Load Balancer nell'ambiente VMware Cloud Director per proteggere i servizi virtuali dagli attacchi e prevenire proattivamente le minacce.

Quando si abilita il WAF per un servizio virtuale in VMware Cloud Director, viene creato un criterio WAF, un profilo WAF e firme WAF da collegare al servizio virtuale.

Prerequisiti

Consultare la Guida WAF di NSX Advanced Load Balancer. Vedere la Documentazione di VMware NSX Advanced Load Balancer.
Verificare di aver assegnato un gruppo di motori di servizio con una funzionalità Premium impostata sul gateway edge di NSX.
Verificare di aver effettuato l'accesso come amministratore dell'organizzazione.

Procedura

Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare Risorse cloud.
Nel riquadro secondario a sinistra, selezionare Gateway edge.
Fare clic sul gateway edge di NSX in cui è configurato il servizio virtuale.
Fare clic sul servizio virtuale, quindi su WAF.
In Generale, fare clic su Modifica.
Attivare l'opzione Stato WAF.

Selezionare una modalità WAF.

Opzione	Descrizione
Rilevamento	Il criterio WAF valuta ed elabora la richiesta in entrata, ma non esegue un'azione di blocco. Quando la richiesta viene contrassegnata, viene creata una voce di registro.
Imposizione	Il criterio WAF valuta la richiesta e la blocca in base alle regole specificate. La voce di registro corrispondente viene contrassegnata come `RIFIUTATA`.

Fare clic su Salva.

Operazioni successive

Se necessario, è possibile modificare la modalità WAF per un servizio virtuale in un secondo momento o disattivare il firewall dell'applicazione Web.

Dopo aver abilitato WAF per il servizio virtuale, è possibile creare regole della lista consentita o modificare le firme WAF in base alle esigenze.

Configurazione delle regole della lista consentita per un servizio virtuale

È possibile utilizzare la funzionalità lista consentita per definire le condizioni di corrispondenza e le azioni associate che il WAF deve eseguire durante l'elaborazione di una richiesta.

Quando si creano regole lista consentita WAF, si indica al WAF di non applicare il criterio WAF in casi specifici, ad esempio se la richiesta proviene da un indirizzo IP o da un intervallo di IP specifici o se la richiesta corrisponde al modello di URL specificato utilizzando il tipo di corrispondenza del metodo HTTP. La configurazione delle regole della lista consentita può impedire il flooding dei registri con false violazioni del WAF positive e riduce la latenza generata dalle ispezioni della firma WAF.

Procedura

Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare Risorse cloud.
Nel riquadro secondario a sinistra, selezionare Gateway edge.
Fare clic sul gateway edge di NSX in cui è configurato il servizio virtuale.
Fare clic sul servizio virtuale, quindi su WAF.
In Regole lista consentita, fare clic su Nuova.
Immettere un nome per la regola.
Per attivare la regola al momento della creazione, attivare l'interruttore Attiva.

Selezionare i criteri di corrispondenza.

Opzione	Descrizione
Indirizzo IP client	Scegliere È o Non è per indicare se eseguire un'azione se l'IP del client corrisponde o meno al valore immesso. Immettere un indirizzo IPv4, un indirizzo IPv6, un intervallo di indirizzi o una notazione CIDR. (Facoltativo) Per aggiungere altri indirizzi IP, fare clic su Aggiungi IP.
Metodo HTTP	Selezionare È o Non è per indicare se eseguire un'azione se il metodo HTTP corrisponde o meno al valore immesso. Dal menu a discesa, selezionare uno o più metodi HTTP.
Percorso	Selezionare un criterio per il percorso. Immettere una stringa del percorso. Nota: Non è necessario che il percorso inizi con una barra (/). (Facoltativo) Per aggiungere altri percorsi, fare clic su Aggiungi percorso.
Intestazione host	Selezionare un criterio per l'intestazione host. Immettere un valore per l'intestazione.

È possibile aggiungere un criterio di ciascun tipo.

Selezionare un'azione da applicare in caso di corrispondenza.

Opzione	Descrizione
Ignora	Il WAF non esegue altre regole e la richiesta è consentita.
Continua	Interrompe l'esecuzione della lista consentita e procede con la valutazione della firma WAF.
Modalità di rilevamento	Il WAF valuta ed elabora la richiesta in entrata, ma non esegue un'azione di blocco. Quando la richiesta viene contrassegnata, viene creata una voce di registro.

Fare clic su Aggiungi.

Modifica delle firme WAF per un servizio virtuale

È possibile modificare le firme WAF per un servizio virtuale: è possibile modificare una modalità di firma da Rilevazione a Imposizione o viceversa oppure, se necessario, disattivare una firma o un gruppo di firme.

Procedura

Nel riquadro di navigazione principale a sinistra, selezionare Risorse e nella barra di navigazione superiore della pagina, selezionare Risorse cloud.
Nel riquadro secondario a sinistra, selezionare Gateway edge.
Fare clic sul gateway edge di NSX in cui è configurato il servizio virtuale.
Fare clic sul servizio virtuale, quindi su WAF.
Nella sezione Gruppi di firme è possibile visualizzare i gruppi di firme inclusi nel criterio WAF. È possibile verificare se sono attivamente in uso o meno. È inoltre possibile visualizzare il numero o le regole in ogni gruppo che sono attive e il numero di regole che sono state sovrascritte manualmente.
In Gruppi di firme, fare clic sul pulsante di espansione a sinistra del gruppo di firme che si desidera modificare.
Per modificare le firme di un gruppo, fare clic su Modifica firme.
Fare clic sul pulsante Espandi presente a sinistra del nome della firma e selezionare un'azione.
Fare clic su Salva.
Per disabilitare un gruppo di firme, fare clic sul pulsante Espandi a sinistra del gruppo di firme e fare clic su Disattiva.