Oktatóanyag: Webalkalmazás gyors méretezése és védelme az Azure Front Door és az Azure Web Application Firewall (WAF) használatával
Fontos
Az Azure Front Door (klasszikus) 2027. március 31-én megszűnik. A szolgáltatáskimaradás elkerülése érdekében fontos, hogy az Azure Front Door (klasszikus) profiljait 2027 márciusára migrálja az Azure Front Door Standard vagy Prémium szintre. További információkért lásd az Azure Front Door (klasszikus) kivonását.
Számos webalkalmazás gyors forgalomnövekedést tapasztal az idő múlásával. Ezek a webalkalmazások a rosszindulatú forgalom megugrását is tapasztalják, beleértve a szolgáltatásmegtagadási támadásokat is. Hatékonyan skálázhatja fel az alkalmazást a forgalom megugrása és a támadások ellen: konfigurálhatja az Azure Front Doort az Azure WAF-et gyorsításként, gyorsítótárazásként és biztonsági rétegként a webalkalmazás előtt. Ez a cikk útmutatást nyújt az Azure Front Door azure WAF-hez való konfigurálásához az Azure-on belül vagy kívül futó webalkalmazásokhoz.
Ebben az oktatóanyagban az Azure CLI-t használjuk a WAF konfigurálásához. Ugyanezt megteheti az Azure Portal, az Azure PowerShell, az Azure Resource Manager vagy az Azure REST API-k használatával.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Hozzon létre egy bejárati ajtót.
- Hozzon létre egy Azure WAF-szabályzatot.
- Konfigurálja a WAF-szabályzatok szabálykészletét.
- WAF-szabályzat társítása a Front Doorhoz.
- Egyéni tartomány konfigurálása.
Ha nem rendelkezik Azure-előfizetéssel, első lépésként hozzon létre egy ingyenes Azure-fiókot.
Előfeltételek
Az oktatóanyag utasításai az Azure CLI-t használják. Tekintse meg ezt az útmutatót az Azure CLI használatának első lépéseihez.
Tipp.
Az Azure CLI használatának egyszerű és gyors módja a Bash használata az Azure Cloud Shellben.
Győződjön meg arról, hogy a
front-doorbővítmény hozzá van adva az Azure CLI-hez:az extension add --name front-door
Feljegyzés
Az oktatóanyagban használt parancsokról további információt a Front Door Azure CLI-referenciájában talál.
Azure Front Door-erőforrás létrehozása
az network front-door create --backend-address <> --accepted-protocols <> --name <> --resource-group <>
--backend-address: A védeni kívánt alkalmazás teljes tartományneve (FQDN). Például: myapplication.contoso.com.
--accepted-protocols: Megadja azokat a protokollokat, amelyeket az Azure Front Door támogatni szeretne a webalkalmazáshoz. Például: --accepted-protocols Http Https.
--name: Az Azure Front Door-erőforrás neve.
--resource-group: Az az erőforráscsoport, amelyben el szeretné helyezni ezt az Azure Front Door-erőforrást. Az erőforráscsoportokról további információt az Erőforráscsoportok kezelése az Azure-ban című témakörben talál.
A parancs futtatásakor megjelenő válaszban keresse meg a kulcsot hostName. Egy későbbi lépésben szüksége lesz erre az értékre. A hostName létrehozott Azure Front Door-erőforrás DNS-neve.
Azure WAF-profil létrehozása az Azure Front Door-erőforrásokhoz való használatra
az network front-door waf-policy create --name <> --resource-group <> --disabled false --mode Prevention
--name: Az új Azure WAF-szabályzat neve.
--resource-group: Az az erőforráscsoport, amelyben a WAF-erőforrást el szeretné helyezni.
Az előző CLI-kód létrehoz egy WAF-szabályzatot megelőzési módban.
Feljegyzés
Érdemes lehet észlelési módban létrehozni a WAF-szabályzatot, és megfigyelni, hogyan észleli és naplózza a kártékony kéréseket (blokkolás nélkül), mielőtt védelmi módot használna.
A parancs futtatásakor megjelenő válaszban keresse meg a kulcsot ID. Egy későbbi lépésben szüksége lesz erre az értékre.
A ID mezőnek a következő formátumban kell lennie:
/subscriptions/subscription id/resourcegroups/resource group name/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/WAF policy name
Felügyelt szabálykészletek hozzáadása a WAF-szabályzathoz
Felügyelt szabálykészleteket is hozzáadhat a WAF-szabályzathoz. A felügyelt szabálykészletek a Microsoft által létrehozott és felügyelt szabályok, amelyek segítenek védelmet nyújtani a fenyegetések egy csoportjával szemben. Ebben a példában két szabálykészletet adunk hozzá:
- Az alapértelmezett szabálykészlet, amely segít megvédeni Önt a gyakori webes fenyegetések ellen.
- A robotvédelmi szabálykészlet, amely segít megvédeni Önt a rosszindulatú robotok ellen.
Adja hozzá az alapértelmezett szabálykészletet:
az network front-door waf-policy managed-rules add --policy-name <> --resource-group <> --type DefaultRuleSet --version 1.0
Adja hozzá a robotvédelmi szabálykészletet:
az network front-door waf-policy managed-rules add --policy-name <> --resource-group <> --type Microsoft_BotManagerRuleSet --version 1.0
--policy-name: Az Azure WAF-erőforráshoz megadott név.
--resource-group: Az az erőforráscsoport, amelyben a WAF-erőforrást elhelyezte.
A WAF-szabályzat társítása az Azure Front Door-erőforrással
Ebben a lépésben a létrehozott WAF-szabályzatot társítjuk a webalkalmazás előtti Azure Front Door-erőforrással:
az network front-door update --name <> --resource-group <> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<>"}'
--name: Az Azure Front Door-erőforráshoz megadott név.
--resource-group: Az az erőforráscsoport, amelyben az Azure Front Door-erőforrást elhelyezte.
--set: Itt frissíti az WebApplicationFirewallPolicyLink Azure Front Door-erőforráshoz társított attribútumot frontendEndpoint az új WAF-szabályzattal. Az oktatóanyag korábbi szakaszában a WAF-profil létrehozásakor kapott válaszból származó WAF-szabályzat azonosítójával kell rendelkeznie.
Feljegyzés
Az előző példa akkor alkalmazható, ha nem egyéni tartományt használ. Ha nem használ egyéni tartományokat a webalkalmazások eléréséhez, kihagyhatja a következő szakaszt. Ebben az esetben az Azure Front Door-erőforrás létrehozásakor megkapja az hostName ügyfeleknek a kapott eredményt. Ezzel hostName a webalkalmazást fogják használni.
A webalkalmazás egyéni tartományának konfigurálása
A webalkalmazás egyéni tartományneve az, amelyet az ügyfelek az alkalmazásra való hivatkozáshoz használnak. Például www.contoso.com. Ez az egyéni tartománynév kezdetben arra a helyre mutat, ahová az Azure Front Door bevezetése előtt futott. Miután hozzáadta az Azure Front Doort és a WAF-et az alkalmazáshoz, az egyéni tartománynak megfelelő DNS-bejegyzésnek az Azure Front Door-erőforrásra kell mutatnia. Ezt a módosítást úgy végezheti el, hogy a DNS-kiszolgálón lévő bejegyzést az Azure Front Door-erőforrás létrehozásakor feljegyzett Azure Front Doorra hostName írja vissza.
A DNS-rekordok frissítésének konkrét lépései a DNS-szolgáltatótól függenek. Ha az Azure DNS-t használja a DNS-név üzemeltetéséhez, tekintse meg a DNS-rekord frissítésének lépéseit és az Azure Front Doorra hostNamemutató dokumentációt.
Van egy fontos dolog, amit érdemes megjegyezni, ha szüksége van az ügyfelek, hogy a webhelyre a zóna csúcsán (például contoso.com). Ebben az esetben az Azure DNS-t és annak aliasrekordtípusát kell használnia a DNS-név üzemeltetéséhez.
Az egyéni tartomány hozzáadásához frissítenie kell az Azure Front Door-konfigurációt is, hogy tisztában legyen ezzel a leképezési lehetőségével.
Végül, ha egyéni tartományt használ a webalkalmazás eléréséhez, és engedélyezni szeretné a HTTPS protokollt. Az egyéni tartomány tanúsítványait az Azure Front Doorban kell beállítania.
A webalkalmazás zárolása
Javasoljuk, hogy csak az Azure Front Door-élek kommunikáljanak a webalkalmazással. Ezzel biztosítja, hogy senki ne tudja megkerülni az Azure Front Door-védelmet, és közvetlenül hozzáférjen az alkalmazáshoz. A zárolás végrehajtásához tekintse meg Hogyan a háttérrendszerem hozzáférésének zárolását csak az Azure Front Doorra?.
Az erőforrások eltávolítása
Ha már nincs szüksége az oktatóanyagban használt erőforrásokra, az az group delete paranccsal távolítsa el az erőforráscsoportot, a Front Doort és a WAF-szabályzatot:
az group delete \
--name <>
--name: Az oktatóanyagban használt összes erőforrás erőforráscsoportjának neve.
Következő lépések
A Front Door hibaelhárításáról a hibaelhárítási útmutatókban talál további információt: