Mengonfigurasi kebijakan WAF dengan menggunakan Azure PowerShell
Kebijakan firewall aplikasi web (WAF) menentukan inspeksi yang diperlukan saat permintaan tiba di Azure Front Door.
Artikel ini memperlihatkan cara mengonfigurasi kebijakan WAF yang terdiri dari beberapa aturan kustom dan mengaktifkan Seperangkat Aturan Default yang dikelola Azure.
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
Prasyarat
Sebelum Anda mulai menyiapkan kebijakan batas tarif, siapkan lingkungan PowerShell Anda dan buat profil Azure Front Door.
Menyiapkan lingkungan PowerShell Anda
Azure PowerShell menyediakan satu set cmdlet dengan menggunakan model Azure Resource Manager untuk mengelola sumber daya Azure Anda.
Anda dapat menginstal Azure PowerShell di komputer lokal Anda dan menggunakannya di sesi PowerShell apa pun. Ikuti instruksi di halaman untuk masuk dengan kredensial Azure Anda. Kemudian instal modul Az PowerShell.
Masuk ke Azure
Connect-AzAccount
Sebelum Anda menginstal modul Azure Front Door, pastikan Anda memiliki versi PowerShellGet saat ini yang terinstal. Jalankan perintah berikut dan buka kembali PowerShell.
Install-Module PowerShellGet -Force -AllowClobber
Menginstal modul Az.FrontDoor
Install-Module -Name Az.FrontDoor
Membuat profil Azure Front Door
Buat profil Azure Front Door dengan mengikuti instruksi yang dijelaskan di Mulai Cepat: Membuat profil Azure Front Door.
Aturan kustom berdasarkan parameter HTTP
Contoh berikut menunjukkan cara mengonfigurasi aturan kustom dengan dua kondisi kecocokan dengan menggunakan New-AzFrontDoorWafMatchConditionObject. Permintaan berasal dari situs tertentu seperti yang ditentukan oleh perujuk, dan string kueri tidak berisi password
.
$referer = New-AzFrontDoorWafMatchConditionObject -MatchVariable RequestHeader -OperatorProperty Equal -Selector "Referer" -MatchValue "www.mytrustedsites.com/referpage.html"
$password = New-AzFrontDoorWafMatchConditionObject -MatchVariable QueryString -OperatorProperty Contains -MatchValue "password"
$AllowFromTrustedSites = New-AzFrontDoorWafCustomRuleObject -Name "AllowFromTrustedSites" -RuleType MatchRule -MatchCondition $referer,$password -Action Allow -Priority 1
Aturan kustom berdasarkan metode permintaan HTTP
Buat aturan yang memblokir metode PUT dengan menggunakan New-AzFrontDoorWafCustomRuleObject.
$put = New-AzFrontDoorWafMatchConditionObject -MatchVariable RequestMethod -OperatorProperty Equal -MatchValue PUT
$BlockPUT = New-AzFrontDoorWafCustomRuleObject -Name "BlockPUT" -RuleType MatchRule -MatchCondition $put -Action Block -Priority 2
Membuat aturan kustom berdasarkan batasan ukuran
Contoh berikut membuat permintaan pemblokiran aturan dengan URL yang lebih panjang dari 100 karakter dengan menggunakan Azure PowerShell.
$url = New-AzFrontDoorWafMatchConditionObject -MatchVariable RequestUri -OperatorProperty GreaterThanOrEqual -MatchValue 100
$URLOver100 = New-AzFrontDoorWafCustomRuleObject -Name "URLOver100" -RuleType MatchRule -MatchCondition $url -Action Block -Priority 3
Menambahkan Seperangkat Aturan Default terkelola
Contoh berikut membuat Seperangkat Aturan Default terkelola dengan menggunakan Azure PowerShell.
$managedRules = New-AzFrontDoorWafManagedRuleObject -Type DefaultRuleSet -Version 1.0
Mengonfigurasi kebijakan keamanan
Temukan nama grup sumber daya yang berisi profil Azure Front Door dengan menggunakan Get-AzResourceGroup
. Selanjutnya, konfigurasikan kebijakan keamanan dengan aturan yang dibuat di langkah-langkah sebelumnya dengan menggunakan New-AzFrontDoorWafPolicy di grup sumber daya yang ditentukan yang berisi profil Azure Front Door.
$myWAFPolicy=New-AzFrontDoorWafPolicy -Name $policyName -ResourceGroupName $resourceGroupName -Customrule $AllowFromTrustedSites,$BlockPUT,$URLOver100 -ManagedRule $managedRules -EnabledState Enabled -Mode Prevention
Menautkan kebijakan ke host front-end Azure Front Door
Tautkan objek kebijakan keamanan ke host front-end Azure Front Door yang ada dan perbarui properti Azure Front Door. Pertama, ambil objek Azure Front Door dengan menggunakan Get-AzFrontDoor.
Selanjutnya, atur properti front-end WebApplicationFirewallPolicyLink
ke resourceId
yang $myWAFPolicy$
dibuat di langkah sebelumnya dengan menggunakan Set-AzFrontDoor.
Catatan
Untuk Azure Front Door Standard dan Premium, Anda harus menggunakan Get-AzFrontDoorCdnProfile.
Contoh berikut menggunakan nama myResourceGroupFD1
grup sumber daya dengan asumsi bahwa Anda telah membuat profil Azure Front Door dengan menggunakan instruksi yang disediakan di Mulai Cepat: Membuat Azure Front Door. Selain itu, dalam contoh berikut, ganti $frontDoorName
dengan nama profil Azure Front Door Anda.
$FrontDoorObjectExample = Get-AzFrontDoor `
-ResourceGroupName myResourceGroupFD1 `
-Name $frontDoorName
$FrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $myWAFPolicy.Id
Set-AzFrontDoor -InputObject $FrontDoorObjectExample[0]
Catatan
Anda hanya perlu mengatur WebApplicationFirewallPolicyLink
properti sekali untuk menautkan kebijakan keamanan ke front end Azure Front Door. Pembaruan kebijakan berikutnya secara otomatis diterapkan ke ujung depan.
Langkah berikutnya
- Pelajari selengkapnya tentang Azure Front Door.
- Pelajari selengkapnya tentang Azure Web Application Firewall di Azure Front Door.