{"id":51184,"date":"2025-06-20T12:37:01","date_gmt":"2025-06-20T12:37:01","guid":{"rendered":"https:\/\/www.edgenexus.io\/non-categorizzato\/questo-non-e-un-semplice-firewall-ma-un-firewall-per-applicazioni-web\/"},"modified":"2025-06-20T12:37:01","modified_gmt":"2025-06-20T12:37:01","slug":"questo-non-e-un-semplice-firewall-ma-un-firewall-per-applicazioni-web","status":"publish","type":"post","link":"https:\/\/www.edgenexus.io\/it\/blog-it\/questo-non-e-un-semplice-firewall-ma-un-firewall-per-applicazioni-web\/","title":{"rendered":"Questo non \u00e8 un semplice firewall, ma… un firewall per applicazioni web"},"content":{"rendered":"

 <\/p>\n

I firewall sono, in termini tecnologici, vecchi come il cucco. Ci sono stati pi\u00f9 firewall di nuova generazione che generi musicali negli ultimi 40 anni. Di base, permettono o negano i pacchetti che entrano o escono da una rete e, per quanto utile, poco altro. Ogni generazione aggiunge qualcosa di nuovo al mix di politiche che decidono cosa “passare attraverso la porta”, ma un buttafuori meglio informato resta sempre e solo un buttafuori. L ‘identificazione<\/a> dell’utente, il rilevamento delle intrusioni, l’ora del giorno, le calzature, l’utilizzo della larghezza di banda, l’acconciatura o lo stato della sessione TCP non determinano ancora se qualcosa \u00e8 sicuro o affidabile. <\/p>\n

Ecco che entra in gioco il nostro \u201crisolutore\u201d che sa (o almeno pu\u00f2 imparare) molto di pi\u00f9 sui nostri utenti e su ci\u00f2 che potrebbero fare: il Web Application Firewall<\/a>, o WAF. A prescindere da chi pu\u00f2 entrare, un WAF specifica quali comportamenti sono accettabili e quali no una volta entrati nel perimetro. Con un WAF sono le funzioni dell \u201capplicazione, l\u201d input e l \u201coutput a essere consentiti o negati, non l\u201d accesso. <\/p>\n

Si tratta chiaramente di un approccio pi\u00f9 sofisticato e approfondito rispetto alla scelta binaria tra consentire o negare. Consente un controllo a grana fine e l’implementazione dei criteri di sicurezza<\/a> in modo pi\u00f9 significativo e, oseremmo dire, naturale. Se un sito web fornisce solo informazioni da leggere o scaricare, un WAF ti permette di garantire che nessun file venga caricato sui server che lo forniscono. I tuoi server potrebbero utilizzare un backend SQL, ma questo non significa che i clienti debbano includere query SQL nelle richieste. In poche parole, un WAF ti protegger\u00e0 da un utente malintenzionato, che il tuo firewall<\/a> “di rete” ha gi\u00e0 lasciato passare, perch\u00e9 non ha modo di distinguerlo da un utente innocuo. <\/p>\n

Il modulo WAF, disponibile con la release del nostro bilanciatore di carico avanzato ALB-X, \u00e8 il primo che abbiamo rilasciato come contenitore Docker. Si tratta di una direzione nuova ed entusiasmante e in linea con la nostra filosofia, la pi\u00f9 semplice possibile. Non \u00e8 necessario che tu conosca le complessit\u00e0 di Docker o dei container per poterlo utilizzare. Trattandosi di un container, il WAF pu\u00f2 essere installato e aggiornato indipendentemente dal software ALB-X, senza bisogno di riavviarlo. Puoi anche eseguire pi\u00f9 container WAF per applicare politiche diverse a servizi diversi e migliorare l \u201cisolamento<\/a>. In breve, questo approccio offre un\u201d ampia flessibilit\u00e0 da sfruttare. <\/p>\n

A questo proposito, sono disponibili diverse opzioni di implementazione a seconda che tu voglia proteggere il traffico non criptato o criptato (HTTPS) (che deve essere decriptato per consentire l \u201cispezione). Con l\u201d HTTPS puoi scegliere di criptare nuovamente il traffico prima di inviarlo a un server reale. <\/p>\n

Il modulo WAF offre una protezione contro le applicazioni web mal codificate e le loro vulnerabilit\u00e0, ma in realt\u00e0 non dovrebbe essere considerato come una soluzione unica per il codice mal scritto e con falle evidenti; tratta la causa, non i sintomi. Non dimenticare che un approccio unito e approfondito \u00e8 la migliore difesa. Cookie formulati in modo corretto, regole di gestione del traffico flightPATH, intestazioni e restrizioni HTTP appropriate e altri strumenti in combinazione tra loro sono di gran lunga superiori a un singolo muro apparentemente impenetrabile. Proteggi tutto ci\u00f2 che puoi e la vera sicurezza<\/a> potrebbe seguirti. <\/p>\n

Prendi in considerazione pacchetti e traffico (indirizzi IP e porte), protocolli, applicazioni, servizi e transazioni. Se ti affidi troppo alle protezioni di un singolo elemento, probabilmente sei nei guai. Con la stessa cautela, tieni presente quanto segue; <\/p>\n