チュートリアル:Azure portal を使用して Azure Front Door で Web アプリケーション ファイアウォール ポリシーを作成する

このチュートリアルでは、基本的な Azure Web Application Firewall (WAF) ポリシーを作成し、Azure Front Door でフロントエンド ホストに適用する方法について説明します。

このチュートリアルでは、以下の内容を学習します。

  • WAF ポリシーを作成する
  • フロントエンド ホストに関連付ける
  • WAF 規則を構成する

前提条件

フロント ドアか、Front Door Standard または Premium のプロファイルを作成します。

Web アプリケーション ファイアウォールのポリシーを作成します

最初に、ポータルを使用して管理された既定の規則セット (DRS) で基本的な WAF ポリシーを作成します。

  1. 画面の左上で [リソースの作成] を選択し > 「WAF」を検索して >[Web アプリケーション ファイアウォール (WAF)] を選択し >[作成] を選択します。

  2. [WAF ポリシーを作成する] ページの [基本] タブで、次の情報を入力または選択し、それ以外の設定については既定値をそのまま使います。

    設定
    次に対するポリシー [グローバル WAF (フロント ドア)] を選択します。
    フロント ドア SKU [クラシック][Standard][Premium] の SKU の中から選択します。
    サブスクリプション Azure サブスクリプションを選択します。
    Resource group Front Door のリソース グループの名前を選択します。
    ポリシー名 WAF ポリシーの一意の名前を入力します。
    [ポリシーの状態] [有効] に設定します。

    [Create a W A F policy]\(W A F ポリシーの作成\) ページのスクリーンショット。[確認と作成] ボタンのほか、サブスクリプション、リソース グループ、ポリシー名の各リスト ボックスが表示されています。

  3. [関連付け] タブを選択し、[+ フロント ドア プロファイルを関連付ける] を選択します。次に、次の設定を入力し、[追加] を選択します。

    設定
    Front Door プロファイル Front Door プロファイルの名前を選択します。
    ドメイン WAF ポリシーを関連付けるドメインを選択し、 [追加] を選択します。

    [フロント ドア プロファイルを関連付ける] ページのスクリーンショット。

    Note

    ドメインが WAF ポリシーに関連付けられている場合は、淡色表示になります。まず関連付けられているポリシーからドメインを削除してから、新しい WAF ポリシーにドメインを再度関連付ける必要があります。

  4. [Review + create](確認と作成) を選択し、次に [作成] を選択します。

Web アプリケーション ファイアウォール規則を構成する (省略可能)

モードを変更する

WAF ポリシーを作成すると、既定では、WAF ポリシーは検出モードになります。 検出モードでは、WAF はすべての要求をブロックせず、代わりに、WAF 規則に一致する要求は WAF ログに記録されます。 WAF の動作を確認するには、モードの設定を [検出] から [防止] に変更できます。 防止モードでは、定義されている規則に一致する要求がブロックされ、WAF ログに記録されます。

防止モードに切り替える方法を示す Front Door WAF ポリシーの [概要] ページのスクリーンショット。

カスタム規則

[カスタム ルール] セクションの下の [Add custom rule](カスタム ルールの追加) を選択することで、カスタム ルールを作成できます。 これで、カスタム ルールの構成ページが起動されます。

[カスタム ルール] ページのスクリーンショット。

次に示すのは、クエリ文字列に blockme が含まれているときに要求をブロックするというカスタム ルールの構成方法の例です。

カスタム ルールの構成ページのスクリーンショット。QueryString 変数に blockme という値が含まれているかどうかを調べるルールの設定が表示されています。

既定の規則セット (DRS)

Azure で管理される既定のルール セット (DRS) は、Front Door の Premium とクラシック レベルで既定で有効になっています。 Premium Front Door の現在の既定のルール セットは Microsoft_DefaultRuleSet_2.0 です。 Microsoft_DefaultRuleSet_1.1 は、クラシック Front Door の現在の既定のルール セットです。 [管理されているルール] ページで、[割り当て] を選んで別の DRS を割り当てます。

各ルールを無効にするには、ルール番号の前にあるチェック ボックスをオンにし、ページ上部の [無効] を選択します。 ルール セット内にある個々のルールのアクションの種類を変更するには、ルール番号の前にあるチェック ボックスをオンにして、ページ上部の [アクションを変更する] を選択します。

[管理されているルール] ページのスクリーンショット。ルール セット、ルール グループ、ルールのほか、[有効]、[無効]、[アクションを変更する] の各ボタンが表示されています。

Note

マネージド ルールは、Front Door Premium レベルと Front Door クラシック レベルのポリシーでのみサポートされています。

リソースをクリーンアップする

リソース グループおよび関連するすべてのリソースは、不要になったら削除します。

次のステップ