Tutoriel : Créer une stratégie de pare-feu d’applications web dans Azure Front Door à l’aide du portail Azure

Ce tutoriel explique comment créer une stratégie Azure Web Application Firewall (WAF) simple et comment l’appliquer sur un hôte front-end dans Azure Front Door.

Dans ce tutoriel, vous allez apprendre à :

  • Créer une stratégie de pare-feu d’applications web (WAF)
  • Associer la stratégie à un hôte front-end
  • Configurer des règles WAF

Prérequis

Créez un profil Front Door ou Front Door Standard/Premium.

Créer une stratégie de pare-feu d’applications web

Commencez par créer une stratégie WAF de base avec un ensemble de règles managées par défaut à partir du portail.

  1. En haut à gauche de l’écran, sélectionnez Créer une ressource>, recherchez WAF> sélectionnez Pare-feu d’applications web (WAF)> sélectionnez Créer.

  2. Accédez à la page Créer une stratégie WAF, sélectionnez l’onglet De base. Entrez les informations suivantes et acceptez les valeurs pour les paramètres restants.

    Paramètre Valeur
    Stratégie pour Sélectionnez WAF global (Front Door) .
    Référence SKU Front Door Choisissez entre une référence SKU Classique, Standard et Premium.
    Abonnement Sélectionnez votre abonnement Azure.
    Resource group Sélectionnez le nom de votre groupe de ressources Front Door.
    Nom de stratégie Entrez un nom unique pour votre stratégie WAF.
    État de la stratégie Défini sur Activé.

    Capture d’écran de la page Créer une stratégie WAF, avec le bouton Vérifier + créer et des zones de liste pour l’abonnement, le groupe de ressources et le nom de la stratégie.

  3. Sélectionnez l’onglet Association, puis sélectionnez + Associer un profil Front Door, entrez les paramètres suivants, puis sélectionnez Ajouter :

    Paramètre Valeur
    Profil Front Door Sélectionnez le nom de votre profil Front Door.
    Domaines Sélectionnez les domaines auxquels vous voulez associer la stratégie WAF, puis sélectionnez Ajouter.

    Capture d’écran de la page Profil Front Door associée.

    Notes

    Si le domaine est associé à une stratégie WAF, il apparaît en grisé. Vous devez d’abord supprimer le domaine de la stratégie associée, puis le réassocier à une nouvelle stratégie WAF.

  4. Sélectionnez Vérifier + créer, puis sélectionnez Créer.

Configurer des règles de pare-feu d’applications web (facultatif)

Changer de mode

Quand vous créez une stratégie WAF, celle-ci est par défaut en mode Détection. En mode Détection, la stratégie WAF ne bloque aucune demande, mais elle journalise les demandes correspondant aux règles WAF dans les journaux WAF. Pour voir le fonctionnement de WAF, passez du mode Détection au mode Prévention. En mode Prévention, les demandes qui correspondent à des règles définies sont bloquées et enregistrées dans les journaux WAF.

Capture d’écran de la page Vue d’ensemble de la stratégie WAF Front Door qui montre comment basculer vers le mode de prévention.

Règles personnalisées

Vous pouvez créer une règle personnalisée en sélectionnant Ajouter une règle personnalisée sous la section Règles personnalisées. Cette action ouvre la page de configuration d’une règle personnalisée.

Capture d’écran de la page des règles personnalisées.

Voici un exemple de configuration d’une règle personnalisée qui bloque une requête si la chaîne de requête contient blockme.

Capture d’écran de la page de configuration des règles personnalisées montrant les paramètres d’une règle qui vérifie si la variable QueryString contient la valeur blockme.

Ensemble de règles par défaut

L’ensemble de règles par défaut géré par Azure est activé par défaut pour les niveaux Premium et Classique de Front Door. L’ensemble de règles par défaut actuel pour Front Door Premium est Microsoft_DefaultRuleSet_2.0. Microsoft_DefaultRuleSet_1.1 est l’ensemble de règles par défaut actuel pour Front Door Classique. Dans la page Règles managées, sélectionnez Affecter pour attribuer une autre récupération d’urgence.

Pour désactiver une règle spécifique, cochez la case située devant le numéro de la règle, puis sélectionnez Désactiver en haut de la page. Pour changer les types d’action associés à des règles spécifiques dans l’ensemble de règles, cochez la case située devant le numéro de la règle, puis sélectionnez Changer l’action en haut de la page.

Capture d’écran de la page Règles managées montrant un ensemble de règles, des groupes de règles, des règles, ainsi que les boutons Activer, Désactiver et Changer l’action.

Notes

Les règles managées sont uniquement prises en charge dans les stratégies Front Door de niveau Premium et Classique.

Nettoyer les ressources

Quand vous n’en avez plus besoin, supprimez le groupe de ressources et toutes les ressources associées.

Étapes suivantes