Configurare la protezione dei bot per Web application firewall

  • Articolo

Azure Web application firewall (WAF) per Frontdoor fornisce regole bot per identificare bot validi e proteggersi da bot non validi. Per altre informazioni sul set di regole di protezione bot, vedere Set di regole di protezione bot.

Questo articolo illustra come abilitare le regole di protezione dei bot nel livello Azure Frontdoor Premium.

Prerequisiti

Creare un criterio WAF di base per Frontdoor seguendo le istruzioni descritte in Creare un criterio WAF per Frontdoor di Azure usando il portale di Azure.

Abilitare il set di regole di protezione bot

  1. Nella portale di Azure passare al criterio WAF.

  2. Selezionare Regole gestite e quindi Assegna.

    Screenshot del portale di Azure che mostra la configurazione delle regole gestite del criterio WAF e il pulsante Assegna evidenziato.

  3. Nell'elenco a discesa Set di regole aggiuntivo selezionare la versione del set di regole di protezione bot che si vuole usare. In genere è consigliabile usare la versione più recente del set di regole.

    Screenshot della portale di Azure che mostra la pagina di assegnazione delle regole gestite, con il campo a discesa

  4. Selezionare Salva.

Ottenere la configurazione corrente del criterio WAF

Usare il cmdlet Get-AzFrontDoorWafPolicy per recuperare la configurazione corrente dei criteri WAF. Assicurarsi di usare il nome corretto del gruppo di risorse e il nome del criterio WAF per il proprio ambiente.

$frontDoorWafPolicy = Get-AzFrontDoorWafPolicy `
  -ResourceGroupName 'FrontDoorWafPolicy' `
  -Name 'WafPolicy'

Aggiungere il set di regole di protezione bot

Usare il cmdlet New-AzFrontDoorWafManagedRuleObject per selezionare il set di regole di protezione bot, inclusa la versione del set di regole. Aggiungere quindi il set di regole alla configurazione di WAF.

L'esempio seguente aggiunge la versione 1.0 della regola di protezione del bot impostata sulla configurazione di WAF.

$botProtectionRuleSet = New-AzFrontDoorWafManagedRuleObject `
  -Type 'Microsoft_BotManagerRuleSet' `
  -Version '1.0'

$frontDoorWafPolicy.ManagedRules.Add($botProtectionRuleSet)

Applicare la configurazione

Usare il cmdlet Update-AzFrontDoorWafPolicy per aggiornare i criteri WAF in modo da includere la configurazione creata in precedenza.

$frontDoorWafPolicy | Update-AzFrontDoorWafPolicy

Abilitare il set di regole di protezione bot

Usare il comando az network front-door waf-policy managed-rules add per aggiornare i criteri WAF per aggiungere il set di regole di protezione bot.

L'esempio seguente aggiunge la versione 1.0 della regola di protezione del bot impostata su WAF. Assicurarsi di usare il nome corretto del gruppo di risorse e il nome del criterio WAF per il proprio ambiente.

az network front-door waf-policy managed-rules add \
  --resource-group FrontDoorWafPolicy \
  --policy-name WafPolicy \
  --type Microsoft_BotManagerRuleSet \
  --version 1.0

Il file Bicep di esempio seguente illustra come eseguire la procedura seguente:

  • Creare un criterio WAF di Frontdoor.
  • Abilitare la versione 1.0 del set di regole di protezione bot.
param wafPolicyName string = 'WafPolicy'

@description('The mode that the WAF should be deployed using. In "Prevention" mode, the WAF will block requests it detects as malicious. In "Detection" mode, the WAF will not block requests and will simply log the request.')
@allowed([
  'Detection'
  'Prevention'
])
param wafMode string = 'Prevention'

resource wafPolicy 'Microsoft.Network/frontDoorWebApplicationFirewallPolicies@2022-05-01' = {
  name: wafPolicyName
  location: 'Global'
  sku: {
    name: 'Premium_AzureFrontDoor'
  }
  properties: {
    policySettings: {
      enabledState: 'Enabled'
      mode: wafMode
    }
    managedRules: {
      managedRuleSets: [
        {
          ruleSetType: 'Microsoft_BotManagerRuleSet'
          ruleSetVersion: '1.0'
        }
      ]
    }
  }
}

Passaggi successivi