Ez a cikk bemutatja, hogyan konfigurálhat IP-korlátozási szabályokat egy webalkalmazási tűzfalban (WAF) az Azure Front Doorhoz az Azure Portal, az Azure CLI, az Azure PowerShell vagy egy Azure Resource Manager-sablon használatával.
Az IP-címalapú hozzáférés-vezérlési szabály egy egyéni WAF-szabály, amellyel szabályozhatja a webalkalmazásokhoz való hozzáférést. A szabály osztály nélküli tartományközi útválasztás (CIDR) formátumban adja meg az IP-címek vagy IP-címtartományok listáját.
Alapértelmezés szerint a webalkalmazás elérhető az internetről. Ha az ismert IP-címek vagy IP-címtartományok listájából szeretné korlátozni az ügyfelek hozzáférését, létrehozhat egy IP-címegyeztetési szabályt, amely az IP-címek listáját egyező értékként tartalmazza, és az operátort a következő értékre Not állítja (a negate igaz), a műveletet pedig a következőre Block. Az IP-korlátozási szabály alkalmazása után az engedélyezett listán kívüli címekről érkező kérések 403 Tiltott választ kapnak.
Az alábbi lépéseket követve konfigurálhat EGY WAF-szabályzatot az Azure Portal használatával.
Előfeltételek
Hozzon létre egy Azure Front Door-profilt a gyorsútmutatóban leírt utasítások követésével: Azure Front Door-példány létrehozása magas rendelkezésre állású globális webalkalmazáshoz.
WAF-szabályzat létrehozása
Az Azure Portalon válassza az Erőforrás létrehozása lehetőséget. Írja be a Webalkalmazás tűzfal kifejezést a Keresés szolgáltatások és piactér keresőmezőbe, majd nyomja meg az Entert. Ezután válassza a webalkalmazási tűzfal (WAF) lehetőséget.
Válassza a Létrehozás lehetőséget.
A WAF-szabályzat létrehozása lapon az alábbi értékekkel fejezze be az Alapismeretek lapot.
| Beállítás |
Érték |
| Szabályzat |
Globális WAF (Front Door). |
| Bejárati ajtó kategória |
Válassza a Prémium vagy a Standard lehetőséget az Azure Front Door-szintnek megfelelően. |
| Előfizetés |
Válassza ki előfizetését. |
| Erőforráscsoport |
Válassza ki azt az erőforráscsoportot, amelyben az Azure Front Door-példány található. |
| Politika neve |
Adja meg a szabályzat nevét. |
| Szabályzat állapota |
Kiválasztott |
| Házirend mód |
Megelőzés |
Válassza a Következő: Felügyelt szabályok lehetőséget.
Válassza a Következő: Házirend-beállítások lehetőséget.
A Házirend beállításai lapon írja be a Le vagy tiltva! szöveget a Blokk válasz törzse mezőbe, hogy láthassa, hogy az egyéni szabály érvényben van.
Válassza a Következő: Egyéni szabályok lehetőséget.
Válassza az Egyéni szabály hozzáadása lehetőséget.
Az Egyéni szabály hozzáadása lapon az alábbi tesztértékekkel hozhat létre egyéni szabályt.
| Beállítás |
Érték |
| Egyéni szabály neve |
FdWafCustRule |
| Állapot |
Engedélyezve |
| Szabály típusa |
Mérkőzés |
| Prioritás |
100 |
| Típus egyeztetése |
IP-cím |
| Változó egyeztetése |
SocketAddr |
| Művelet |
Nem tartalmaz |
| IP-cím vagy tartomány |
10.10.10.0/24 |
| Akkor |
Forgalom megtagadása |
Válassza a Hozzáadás lehetőséget.
Válassza a Tovább: Társítás lehetőséget.
Válassza a Front Door-profil társítása lehetőséget.
Előtérbeli profil esetén válassza ki az előtérprofilt.
Tartomány esetén válassza ki a tartományt.
Válassza a Hozzáadás lehetőséget.
Válassza az Áttekintés + létrehozás lehetőséget.
A szabályzat érvényesítése után válassza a Létrehozás opciót.
A WAF-szabályzat tesztelése
A WAF-szabályzat üzembe helyezése után navigáljon az Azure Front Door front-end gazdagép nevére.
Látnod kell az egyéni blokküzenetedet.
Feljegyzés
Az egyéni szabályban szándékosan használtak egy privát IP-címet, hogy garantálják a szabály aktiválódását. Egy tényleges üzembe helyezés során hozzon létre engedélyezési és megtagadási szabályokat az adott helyzethez tartozó IP-címek használatával.
Az alábbi lépéseket követve konfigurálhat egy WAF-szabályzatot az Azure CLI használatával.
Előfeltételek
Mielőtt elkezdene konfigurálni egy IP-korlátozási szabályzatot, állítsa be a CLI-környezetet, és hozzon létre egy Azure Front Door-profilt.
Az Azure CLI-környezet beállítása
- Telepítse az Azure CLI-t , vagy használja az Azure Cloud Shellt. Az Azure Cloud Shell olyan ingyenes Bash-felület, amelyet közvetlenül futtathat az Azure Portalon. A fiókjával való használat érdekében az Azure CLI már előre telepítve és konfigurálva van rajta. Válassza a Kipróbálás gombot az alábbi PARANCSSOR-parancsokban. Ezután jelentkezzen be az Azure-fiókjába a megnyíló Cloud Shell-munkamenetben. A munkamenet megkezdése után adja hozzá
az extension add --name front-door az Azure Front Door bővítményt.
- Ha helyileg használja a parancssori felületet a Bashben, jelentkezzen be az Azure-ba a használatával
az login.
Azure Front Door-profil létrehozása
Hozzon létre egy Azure Front Door-profilt a gyorsútmutatóban leírt utasítások követésével: Azure Front Door-példány létrehozása magas rendelkezésre állású globális webalkalmazáshoz.
WAF-szabályzat létrehozása
Az az network front-door waf-policy create paranccsal hozzon létre egy WAF-szabályzatot.
Az alábbi példában cserélje le az IPAllowPolicyExampleCLI házirendnevet egy egyedi szabályzatnévre.
az network front-door waf-policy create \
--resource-group <resource-group-name> \
--subscription <subscription ID> \
--name IPAllowPolicyExampleCLI
Egyéni IP-hozzáférés-vezérlési szabály hozzáadása
Az network front-door waf-policy custom-rule create paranccsal adjon hozzá egy saját IP-hozzáférés-vezérlési szabályt az ön által létrehozott WAF-szabályzathoz.
Az alábbi példákban:
- Cserélje le IPAllowPolicyExampleCLI-t a korábban létrehozott egyedi szabályzatra.
- Cserélje le az ip-address-range-1, ip-address-range-2 tartományt a saját tartományára.
Először hozzon létre egy IP-engedélyezési szabályt az előző lépésből létrehozott szabályzathoz.
Feljegyzés
--defer azért van szükség, mert egy szabálynak egyező feltétellel kell rendelkeznie, amelyet hozzá kell adni a következő lépésben.
az network front-door waf-policy rule create \
--name IPAllowListRule \
--priority 1 \
--rule-type MatchRule \
--action Block \
--resource-group <resource-group-name> \
--policy-name IPAllowPolicyExampleCLI --defer
Ezután adjon hozzá egyezés feltételt a szabályhoz:
az network front-door waf-policy rule match-condition add \
--match-variable SocketAddr \
--operator IPMatch \
--values "ip-address-range-1" "ip-address-range-2" \
--negate true \
--name IPAllowListRule \
--resource-group <resource-group-name> \
--policy-name IPAllowPolicyExampleCLI
WAF-szabályzat azonosítójának megkeresése
Keresse meg egy WAF-szabályzat azonosítóját a az network front-door waf-policy show parancs használatával. Cserélje le az IPAllowPolicyExampleCLI-t az alábbi példában a korábban létrehozott egyedi szabályzatra.
az network front-door waf-policy show \
--resource-group <resource-group-name> \
--name IPAllowPolicyExampleCLI
Egy WAF-szabályzat csatolása egy Azure Front Door előtér gazdagépéhez
Állítsa az Azure Front Door WebApplicationFirewallPolicyLink azonosítóját a szabályzatazonosítóra az az network front-door update paranccsal. Cserélje le az IPAllowPolicyExampleCLI-t a korábban létrehozott egyedi szabályzatra.
az network front-door update \
--set FrontendEndpoints[0].WebApplicationFirewallPolicyLink.id=/subscriptions/<subscription ID>/resourcegroups/resource-group-name/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/IPAllowPolicyExampleCLI \
--name <frontdoor-name> \
--resource-group <resource-group-name>
Ebben a példában a WAF-szabályzatot alkalmazza a FrontendEndpoints[0] rendszer. A WAF-szabályzatot bármelyik előtérhez csatolhatja.
Feljegyzés
A tulajdonságot csak egyszer kell beállítania, WebApplicationFirewallPolicyLink hogy egy WAF-szabályzatot egy Azure Front Door-előtérhez csatoljon. Az ezt követő szabályzatfrissítések automatikusan alkalmazásra kerülnek a felhasználói felületen.
Az alábbi lépéseket követve konfigurálhat WAF-szabályzatot az Azure PowerShell használatával.
Előfeltételek
Mielőtt elkezdene konfigurálni egy IP-korlátozási szabályzatot, állítsa be a PowerShell-környezetet, és hozzon létre egy Azure Front Door-profilt.
A PowerShell-környezet beállítása
Az Azure PowerShell olyan parancsmagokat biztosít, amelyek az Azure Resource Manager-modellt használják az Azure-erőforrások kezeléséhez.
Az Azure PowerShellt telepítheti a helyi számítógépen és bármely PowerShell-munkamenetben használhatja. Kövesse a lapon található utasításokat, hogy azure-beli hitelesítő adataival jelentkezzen be a PowerShellbe, majd telepítse az Az PowerShell modult.
Csatlakozzon az Azure-hoz az alábbi paranccsal, majd egy interaktív párbeszédpanel használatával jelentkezzen be.
Connect-AzAccount
Az Azure Front Door modul telepítése előtt győződjön meg arról, hogy telepítve van a PowerShellGet modul aktuális verziója. Futtassa a következő parancsot, majd nyissa meg újra a PowerShellt.
Install-Module PowerShellGet -Force -AllowClobber
Telepítse az Az.FrontDoor modult a következő paranccsal:
Install-Module -Name Az.FrontDoor
Azure Front Door-profil létrehozása
Hozzon létre egy Azure Front Door-profilt a gyorsútmutatóban leírt utasítások követésével: Front Door létrehozása magas rendelkezésre állású globális webalkalmazáshoz.
IP-egyezés feltételének meghatározása
Az IP-egyezés feltételének meghatározásához használja a New-AzFrontDoorWafMatchConditionObject parancsot.
Az alábbi példában cserélje le az ip-address-range-1, ip-address-range-2 elemet a saját tartományára.
$IPMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty IPMatch `
-MatchValue "ip-address-range-1", "ip-address-range-2"
-NegateCondition 1
Egyéni IP-engedélyezési szabály létrehozása
A New-AzFrontDoorWafCustomRuleObject paranccsal definiálhat egy műveletet, és beállíthat egy prioritást. Az alábbi példában a nem a listának megfelelő ügyfél IP-címekről érkező kérések le lesznek tiltva.
$IPAllowRule = New-AzFrontDoorWafCustomRuleObject `
-Name "IPAllowRule" `
-RuleType MatchRule `
-MatchCondition $IPMatchCondition `
-Action Block -Priority 1
Keresse meg annak az erőforráscsoportnak a nevét, amely az Azure Front Door-profilt tartalmazza a használatával Get-AzResourceGroup. Ezután konfiguráljon egy WAF-szabályzatot az IP-szabvánnyal a New-AzFrontDoorWafPolicy használatával.
$IPAllowPolicyExamplePS = New-AzFrontDoorWafPolicy `
-Name "IPRestrictionExamplePS" `
-resourceGroupName <resource-group-name> `
-Customrule $IPAllowRule`
-Mode Prevention `
-EnabledState Enabled
Tipp.
Meglévő WAF-szabályzat esetén az Update-AzFrontDoorWafPolicy használatával frissítheti a szabályzatot.
Egy WAF-szabályzat csatolása egy Azure Front Door előtér gazdagépéhez
WAF-szabályzatobjektum csatolása meglévő előtér-gazdagéphez, és az Azure Front Door tulajdonságainak frissítése. Először kérje le az Azure Front Door objektumot a Get-AzFrontDoor használatával. Ezután állítsa a WebApplicationFirewallPolicyLink tulajdonságot az előző lépésben létrehozott erőforrás-azonosítóra $IPAllowPolicyExamplePSa Set-AzFrontDoor paranccsal.
$FrontDoorObjectExample = Get-AzFrontDoor `
-ResourceGroupName <resource-group-name> `
-Name $frontDoorName
$FrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $IPBlockPolicy.Id
Set-AzFrontDoor -InputObject $FrontDoorObjectExample[0]
Feljegyzés
Ebben a példában a WAF-szabályzatot alkalmazza a FrontendEndpoints[0] rendszer. Egy WAF-szabályzatot bármelyik előtérhez csatolhatja. A tulajdonságot csak egyszer kell beállítania, WebApplicationFirewallPolicyLink hogy egy WAF-szabályzatot egy Azure Front Door-előtérhez csatoljon. Az ezt követő szabályzatfrissítések automatikusan alkalmazásra kerülnek a felhasználói felületen.
Az Azure Front Door-szabályzatot és az egyéni IP-korlátozási szabályokat tartalmazó WAF-szabályzatot létrehozó Resource Manager-sablon megtekintéséhez nyissa meg a GitHubot.