Geoszűrési WAF-szabályzat beállítása az Azure Front Doorhoz
Ez az oktatóanyag bemutatja, hogyan használható Azure PowerShell egy minta geoszűrési szabályzat létrehozásához, és hogyan társíthatja a szabályzatot a meglévő Azure Front Door előtér-gazdagéphez. Ez a geoszűrési mintaszabályzat a Egyesült Államok kivételével minden más országból vagy régióból érkező kéréseket letilt.
Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy ingyenes fiókot.
Előfeltételek
Mielőtt elkezdene geoszűrő szabályzatot beállítani, állítsa be a PowerShell-környezetet, és hozzon létre egy Azure Front Door-profilt.
A PowerShell-környezet beállítása
Az Azure PowerShell olyan parancsmagok készletét kínálja, amelyek az Azure Resource Manager modellt használják az Azure-erőforrások kezeléséhez.
Az Azure PowerShellt telepítheti a helyi számítógépen és bármely PowerShell-munkamenetben használhatja. Az azure-beli hitelesítő adatokkal való bejelentkezéshez kövesse az oldalon található utasításokat. Ezután telepítse az Az PowerShell-modult.
Csatlakozás az Azure-hoz egy interaktív párbeszédpanel használatával a bejelentkezéshez
Install-Module -Name Az
Connect-AzAccount
Győződjön meg arról, hogy telepítve van a PowerShellGet aktuális verziója. Futtassa a következő parancsot, és nyissa meg újra a PowerShellt.
Install-Module PowerShellGet -Force -AllowClobber
Az Az.FrontDoor modul telepítése
Install-Module -Name Az.FrontDoor
Azure Front Door-profil létrehozása
Hozzon létre egy Azure Front Door-profilt a Gyorsútmutató: Azure Front Door-profil létrehozása című rövid útmutató utasításait követve.
Geoszűrési egyeztetési feltétel definiálása
Hozzon létre egy mintaegyeztetési feltételt, amely a New-AzFrontDoorWafMatchConditionObject paranccsal választja ki az "USA"-ból nem érkező kéréseket a paramétereken egyezési feltétel létrehozásakor.
A kétbetűs ország- vagy régiókódokat ország- vagy régióleképezésre a Mi a geoszűrés az Azure Front Door tartományán? című témakörben találja.
$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"
Geoszűrési egyeztetési feltétel hozzáadása egy művelettel és prioritással rendelkező szabályhoz
Hozzon létre egy objektumot nonUSBlockRule
az egyeztetési feltétel, egy művelet és egy prioritás alapján a New-AzFrontDoorWafCustomRuleObjectCustomRule
használatával. Az egyéni szabályok több egyezési feltételt is tartalmazhatnak. Ebben a példában Action
a értéke .Block
Priority
értékre 1
van állítva, amely a legmagasabb prioritás.
$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1
Szabályok hozzáadása szabályzathoz
Keresse meg az Azure Front Door-profilt tartalmazó erőforráscsoport nevét a használatával Get-AzResourceGroup
. Ezután hozzon létre egy geoPolicy
objektumot, amelyet a New-AzFrontDoorWafPolicy használatával tartalmaz nonUSBlockRule
az Azure Front Door-profilt tartalmazó megadott erőforráscsoportban. Meg kell adnia a geoszabályzat egyedi nevét.
Az alábbi példa az erőforráscsoport nevét myResourceGroupFD1
használja azzal a feltételezéssel, hogy létrehozta az Azure Front Door-profilt a Gyorsútmutató: Azure Front Door létrehozása című útmutató utasításaival. Az alábbi példában cserélje le a szabályzat nevét geoPolicyAllowUSOnly
egy egyedi szabályzatnévre.
$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule `
-Mode Prevention `
-EnabledState Enabled
WAF-szabályzat csatolása egy Azure Front Door előtér-gazdagéphez
Kapcsolja a WAF-szabályzatobjektumot a meglévő Azure Front Door előtér-gazdagéphez. Frissítse az Azure Front Door tulajdonságait.
Ehhez először kérje le az Azure Front Door-objektumot a Get-AzFrontDoor paranccsal.
$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id
Ezután állítsa az előtérbeli WebApplicationFirewallPolicyLink
tulajdonságot a geoházirend erőforrás-azonosítójára a Set-AzFrontDoor használatával.
Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]
Megjegyzés
Csak egyszer kell beállítania a WebApplicationFirewallPolicyLink
tulajdonságot, hogy egy WAF-szabályzatot egy Azure Front Door előtér-gazdagéphez csatoljon. A rendszer automatikusan alkalmazza az ezt követő szabályzatfrissítéseket az előtérbeli gazdagépre.
Következő lépések
- Az Azure Web Application Firewall ismertetése.
- Megtudhatja, hogyan hozhat létre egy Azure Front Door-példányt.