Tutorial: Erstellen einer WAF-Richtlinie für Azure Front Door über das Azure-Portal

  • Artikel

Dieses Tutorial zeigt Ihnen, wie Sie eine einfache Web Application Firewall-Richtlinie (WAF) erstellen und auf einen Front-End-Host in Azure Front Door anwenden.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen einer WAF-Richtlinie
  • Zuordnen der Richtlinie zu einem Front-End-Host
  • Konfigurieren von WAF-Regeln

Voraussetzungen

Erstellen Sie eine Azure Front Door-Instanz oder ein Profil für Azure Front Door Standard oder Premium.

Erstellen einer WAF-Richtlinie

Erstellen Sie zuerst im Azure-Portal mithilfe des verwalteten Standardregelsatzes (Default Rule Set, DRS) eine einfache WAF-Richtlinie.

  1. Wählen Sie oben links auf dem Bildschirm die Option Ressource erstellen aus. Suchen Sie nach WAF, wählen Sie Web Application Firewall (WAF) aus, und wählen Sie dann Erstellen aus.

  2. Geben Sie auf der Seite WAF-Richtlinie erstellen der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus, und übernehmen Sie die Standardwerte für die übrigen Einstellungen.

    Einstellung Wert
    Richtlinie für Wählen Sie Globale WAF (Front Door) aus.
    Front Door-Tarif Wählen Sie zwischen den Dienstebenen Classic, Standard und Premium.
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Resource group Wählen Sie den Namen Ihrer Azure Front Door-Ressourcengruppe aus.
    Richtlinienname Geben Sie einen eindeutigen Namen für Ihre WAF-Richtlinie ein.
    Richtlinienstatus Legen Sie Aktiviert fest.

    Screenshot: Seite „WAF-Richtlinie erstellen“ mit der Schaltfläche „Überprüfen + erstellen“ und Listenfeldern für Abonnement, Ressourcengruppe und Richtlinienname

  3. Wählen Sie auf der Registerkarte Zuordnung die Option Ein Front Door-Profil zuordnen aus, geben Sie die folgenden Einstellungen ein, und wählen Sie dann Hinzufügen aus.

    Einstellung Wert
    Front Door-Profil Wählen Sie Ihren Azure Front Door-Profilnamen aus.
    Domänen Wählen Sie die Domänen aus, denen Sie die WAF-Richtlinie zuordnen möchten, und wählen Sie dann Hinzufügen aus.

    Screenshot: Seite zum Zuordnen eines Front Door-Profils

    Hinweis

    Wenn die Domäne einer WAF-Richtlinie zugeordnet ist, wird sie abgeblendet angezeigt. Sie müssen zuerst die Domäne aus der zugehörigen Richtlinie entfernen und sie dann wieder einer neuen WAF-Richtlinie zuordnen.

  4. Wählen Sie Bewerten + erstellen>Erstellen aus.

Konfigurieren von WAF-Regeln (optional)

Führen Sie folgende Schritte aus, um WAF-Regeln zu konfigurieren.

Ändern des Modus

Wenn Sie eine WAF-Richtlinie erstellen, befindet sie sich standardmäßig im Modus Erkennung. Im Modus Erkennung blockiert die WAF keine Anforderungen. Stattdessen werden die mit WAF-Regeln übereinstimmenden Anforderungen in WAF-Protokollen aufgezeichnet. Um die WAF in Aktion zu sehen, können Sie die Moduseinstellung von Erkennung in Prävention ändern. Im Modus Prävention werden Anforderungen, die mit definierten Regeln übereinstimmen, blockiert und in WAF-Protokollen aufgezeichnet.

Screenshot: Seite „Übersicht“ der WAF-Richtlinie für Azure Front Door, auf der das Umstellen in den Präventionsmodus gezeigt wird

Benutzerdefinierte Regeln

Um eine benutzerdefinierte Regel zu erstellen, wählen Sie im Abschnitt Benutzerdefinierte Regeln die Option Benutzerdefinierte Regel hinzufügen aus, um die Seite für die Konfiguration einer benutzerdefinierten Regel zu öffnen.

Screenshot: Seite „Benutzerdefinierte Regeln“

Das folgende Beispiel zeigt, wie Sie eine benutzerdefinierte Regel zum Blockieren einer Anforderung für den Fall konfigurieren, dass die Abfragezeichenfolge blockme enthält.

Screenshot: Seite für die Konfiguration einer benutzerdefinierten Regel mit Einstellungen für eine Regel zum Überprüfen, ob die Variable „QueryString“ den Wert „blockme“ enthält

Standardregelsatz

Der von Azure verwaltete Standardregelsatz ist für die Azure Front Door-Ebenen „Premium“ und „Classic“ standardmäßig aktiviert. Der aktuelle DRS für die Premium-Ebene von Azure Front Door ist „Microsoft_DefaultRuleSet_2.0“. „Microsoft_DefaultRuleSet_1.1“ ist der aktuelle DRS für die Classic-Ebene von Azure Front Door. Wählen Sie auf der Seite Verwaltete Regeln zur Zuordnung zu einem anderen DRS die Option Zuordnen aus.

Um eine einzelne Regel zu deaktivieren, aktivieren Sie das Kontrollkästchen vor der Regelnummer, und wählen Sie oben auf der Seite Deaktivieren aus. Um Aktionstypen für einzelne Regeln innerhalb des Regelsatzes zu ändern, aktivieren Sie das Kontrollkästchen vor der Regelnummer, und wählen Sie oben auf der Seite Aktion ändern aus.

Screenshot: Seite „Verwaltete Regeln“ mit einem Regelsatz, Regelgruppen, Regeln und Schaltflächen für das Aktivieren, Deaktivieren und Ändern von Aktionen

Hinweis

Verwaltete Regeln werden nur in Richtlinien der Dienstebenen „Premium“ und „Classic“ von Azure Front Door unterstützt.

Bereinigen von Ressourcen

Löschen Sie die Ressourcengruppe und alle dazugehörigen Ressourcen, wenn Sie sie nicht mehr benötigen.

Nächste Schritte