Geoszűrési WAF-szabályzat beállítása az Azure Front Doorhoz

Ez az oktatóanyag bemutatja, hogyan használható Azure PowerShell egy minta geoszűrési szabályzat létrehozásához, és hogyan társíthatja a szabályzatot a meglévő Azure Front Door előtér-gazdagéphez. Ez a geoszűrési mintaszabályzat a Egyesült Államok kivételével minden más országból vagy régióból érkező kéréseket letilt.

Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy ingyenes fiókot.

Előfeltételek

Mielőtt elkezdene geoszűrő szabályzatot beállítani, állítsa be a PowerShell-környezetet, és hozzon létre egy Azure Front Door-profilt.

A PowerShell-környezet beállítása

Az Azure PowerShell olyan parancsmagok készletét kínálja, amelyek az Azure Resource Manager modellt használják az Azure-erőforrások kezeléséhez.

Az Azure PowerShellt telepítheti a helyi számítógépen és bármely PowerShell-munkamenetben használhatja. Az azure-beli hitelesítő adatokkal való bejelentkezéshez kövesse az oldalon található utasításokat. Ezután telepítse az Az PowerShell-modult.

Csatlakozás az Azure-hoz egy interaktív párbeszédpanel használatával a bejelentkezéshez

Install-Module -Name Az
Connect-AzAccount

Győződjön meg arról, hogy telepítve van a PowerShellGet aktuális verziója. Futtassa a következő parancsot, és nyissa meg újra a PowerShellt.

Install-Module PowerShellGet -Force -AllowClobber

Az Az.FrontDoor modul telepítése

Install-Module -Name Az.FrontDoor

Azure Front Door-profil létrehozása

Hozzon létre egy Azure Front Door-profilt a Gyorsútmutató: Azure Front Door-profil létrehozása című rövid útmutató utasításait követve.

Geoszűrési egyeztetési feltétel definiálása

Hozzon létre egy mintaegyeztetési feltételt, amely a New-AzFrontDoorWafMatchConditionObject paranccsal választja ki az "USA"-ból nem érkező kéréseket a paramétereken egyezési feltétel létrehozásakor.

A kétbetűs ország- vagy régiókódokat ország- vagy régióleképezésre a Mi a geoszűrés az Azure Front Door tartományán? című témakörben találja.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Geoszűrési egyeztetési feltétel hozzáadása egy művelettel és prioritással rendelkező szabályhoz

Hozzon létre egy objektumot nonUSBlockRule az egyeztetési feltétel, egy művelet és egy prioritás alapján a New-AzFrontDoorWafCustomRuleObjectCustomRule használatával. Az egyéni szabályok több egyezési feltételt is tartalmazhatnak. Ebben a példában Action a értéke .Block Priority értékre 1van állítva, amely a legmagasabb prioritás.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Szabályok hozzáadása szabályzathoz

Keresse meg az Azure Front Door-profilt tartalmazó erőforráscsoport nevét a használatával Get-AzResourceGroup. Ezután hozzon létre egy geoPolicy objektumot, amelyet a New-AzFrontDoorWafPolicy használatával tartalmaz nonUSBlockRule az Azure Front Door-profilt tartalmazó megadott erőforráscsoportban. Meg kell adnia a geoszabályzat egyedi nevét.

Az alábbi példa az erőforráscsoport nevét myResourceGroupFD1 használja azzal a feltételezéssel, hogy létrehozta az Azure Front Door-profilt a Gyorsútmutató: Azure Front Door létrehozása című útmutató utasításaival. Az alábbi példában cserélje le a szabályzat nevét geoPolicyAllowUSOnly egy egyedi szabályzatnévre.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

WAF-szabályzat csatolása egy Azure Front Door előtér-gazdagéphez

Kapcsolja a WAF-szabályzatobjektumot a meglévő Azure Front Door előtér-gazdagéphez. Frissítse az Azure Front Door tulajdonságait.

Ehhez először kérje le az Azure Front Door-objektumot a Get-AzFrontDoor paranccsal.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Ezután állítsa az előtérbeli WebApplicationFirewallPolicyLink tulajdonságot a geoházirend erőforrás-azonosítójára a Set-AzFrontDoor használatával.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Megjegyzés

Csak egyszer kell beállítania a WebApplicationFirewallPolicyLink tulajdonságot, hogy egy WAF-szabályzatot egy Azure Front Door előtér-gazdagéphez csatoljon. A rendszer automatikusan alkalmazza az ezt követő szabályzatfrissítéseket az előtérbeli gazdagépre.

Következő lépések

• Az Azure Web Application Firewall ismertetése.
• Megtudhatja, hogyan hozhat létre egy Azure Front Door-példányt.