Konfigurieren einer benutzerdefinierten Antwort für Azure Web Application Firewall

  • Artikel

In diesem Artikel wird beschrieben, wie Sie eine benutzerdefinierte Antwortseite für den Fall konfigurieren, dass eine Anforderung durch Azure Web Application Firewall blockiert wird.

Wenn Azure Web Application Firewall eine Anforderung aufgrund einer übereinstimmenden Regel blockiert, wird standardmäßig der Statuscode 403 mit der Meldung „Die Anforderung wird blockiert“ zurückgegeben. Die Standardmeldung enthält auch die Zeichenfolge des Nachverfolgungsverweises, die zum Verknüpfen zu Protokolleinträgen für die Anforderung verwendet wird. Sie können einen benutzerdefinierten Antwortstatuscode und eine benutzerdefinierte Meldung mit einer Verweiszeichenfolge für Ihren Anwendungsfall konfigurieren.

Konfigurieren eines benutzerdefinierten Antwortstatuscode und einer Meldung über das Portal

Sie können einen benutzerdefinierten Antwortstatuscode und Text unter Richtlinieneinstellungen im Azure Web Application Firewall-Portal konfigurieren.

Screenshot: Richtlinieneinstellungen der Azure Web Application Firewall

Im vorherigen Beispiel haben wir den Antwortcode 403 beibehalten und eine kurze Meldung mit dem Inhalt „Bitte kontaktieren Sie uns“ konfiguriert, wie in der nachfolgenden Abbildung dargestellt:

Screenshot: Beispiel einer benutzerdefinierten Antwort

„{{azure-ref}}“ fügt die eindeutige Verweiszeichenfolge in den Antworttext ein. Der Wert stimmt mit dem Feld TrackingReference in den Protokollen FrontDoorAccessLog und FrontDoorWebApplicationFirewallLog überein.

„{{azure-ref}}“ fügt die eindeutige Verweiszeichenfolge in den Antworttext ein. Der Wert stimmt mit dem Feld TrackingReference in den Protokollen FrontdoorAccessLog und FrontdoorWebApplicationFirewallLog überein.

Konfigurieren eines benutzerdefinierten Antwortstatuscode und einer Meldung über PowerShell

Führen Sie die folgenden Schritte aus, um einen benutzerdefinierten Antwortstatuscode und eine Meldung über PowerShell zu konfigurieren.

Einrichten Ihrer PowerShell-Umgebung

Azure PowerShell bietet eine Reihe von Cmdlets, die das Azure Resource Manager-Modell für die Verwaltung von Azure-Ressourcen verwenden.

Sie können Azure PowerShell auf Ihrem lokalen Computer installieren und in einer beliebigen PowerShell-Sitzung nutzen. Befolgen Sie die Anweisungen auf der Seite, um sich mit Ihren Azure-Anmeldeinformationen anzumelden. Installieren Sie dann das Az-Modul von PowerShell.

Herstellen einer Verbindung mit Azure über einen interaktiven Anmeldedialog

Connect-AzAccount
Install-Module -Name Az

Vergewissern Sie sich, dass die aktuelle Version von PowerShellGet installiert ist. Führen Sie den folgenden Befehl aus, und öffnen Sie PowerShell erneut.

Install-Module PowerShellGet -Force -AllowClobber

Installieren des Moduls „Az.FrontDoor“

Install-Module -Name Az.FrontDoor

Erstellen einer Ressourcengruppe

In Azure ordnen Sie verwandte Ressourcen einer Ressourcengruppe zu. Hier erstellen wir eine Ressourcengruppe mithilfe von New-AzResourceGroup.

New-AzResourceGroup -Name myResourceGroupWAF

Erstellen einer neuen WAF-Richtlinie mit einer benutzerdefinierter Antwort

Das folgende Beispiel zeigt, wie Sie mithilfe von New-AzFrontDoorWafPolicy eine neue WAF-Richtlinie (Web Application Firewall) mit einem benutzerdefinierten Antwortstatuscode, der auf 405 festgelegt ist, und der Meldung „Sie sind gesperrt“ erstellen.

# WAF policy setting
New-AzFrontDoorWafPolicy `
-Name myWAFPolicy `
-ResourceGroupName myResourceGroupWAF `
-EnabledState enabled `
-Mode Detection `
-CustomBlockResponseStatusCode 405 `
-CustomBlockResponseBody "<html><head><title>You are blocked.</title></head><body></body></html>"

Mithilfe von Update-AzFrontDoorFireWallPolicy können Sie den benutzerdefinierten Antwortcode oder die Einstellungen des Antworttexts einer vorhandenen WAF-Richtlinie ändern.

# modify WAF response code
Update-AzFrontDoorFireWallPolicy `
-Name myWAFPolicy `
-ResourceGroupName myResourceGroupWAF `
-EnabledState enabled `
-Mode Detection `
-CustomBlockResponseStatusCode 403

# modify WAF response body
Update-AzFrontDoorFireWallPolicy `
-Name myWAFPolicy `
-ResourceGroupName myResourceGroupWAF `
-CustomBlockResponseBody "<html><head><title>Forbidden</title></head><body>{{azure-ref}}</body></html>"

Nächste Schritte

Erfahren Sie mehr über Azure Web Application Firewall für Azure Front Door.