チュートリアル:Azure portal を使用して Azure Front Door で Web アプリケーション ファイアウォール ポリシーを作成する
このチュートリアルでは、基本的な Azure Web Application Firewall (WAF) ポリシーを作成し、Azure Front Door でフロントエンド ホストに適用する方法について説明します。
このチュートリアルでは、以下の内容を学習します。
- WAF ポリシーを作成する
- フロントエンド ホストに関連付ける
- WAF 規則を構成する
前提条件
フロント ドアか、Front Door Standard または Premium のプロファイルを作成します。
Web アプリケーション ファイアウォールのポリシーを作成します
最初に、ポータルを使用して管理された既定の規則セット (DRS) で基本的な WAF ポリシーを作成します。
画面の左上で [リソースの作成] を選択し > 「WAF」を検索して >[Web アプリケーション ファイアウォール (WAF)] を選択し >[作成] を選択します。
[WAF ポリシーを作成する] ページの [基本] タブで、次の情報を入力または選択し、それ以外の設定については既定値をそのまま使います。
設定 値 次に対するポリシー [グローバル WAF (フロント ドア)] を選択します。 フロント ドア SKU [クラシック]、[Standard]、[Premium] の SKU の中から選択します。 サブスクリプション Azure サブスクリプションを選択します。 Resource group Front Door のリソース グループの名前を選択します。 ポリシー名 WAF ポリシーの一意の名前を入力します。 [ポリシーの状態] [有効] に設定します。 [関連付け] タブを選択し、[+ フロント ドア プロファイルを関連付ける] を選択します。次に、次の設定を入力し、[追加] を選択します。
設定 値 Front Door プロファイル Front Door プロファイルの名前を選択します。 ドメイン WAF ポリシーを関連付けるドメインを選択し、 [追加] を選択します。 Note
ドメインが WAF ポリシーに関連付けられている場合は、淡色表示になります。まず関連付けられているポリシーからドメインを削除してから、新しい WAF ポリシーにドメインを再度関連付ける必要があります。
[Review + create](確認と作成) を選択し、次に [作成] を選択します。
Web アプリケーション ファイアウォール規則を構成する (省略可能)
モードを変更する
WAF ポリシーを作成すると、既定では、WAF ポリシーは検出モードになります。 検出モードでは、WAF はすべての要求をブロックせず、代わりに、WAF 規則に一致する要求は WAF ログに記録されます。 WAF の動作を確認するには、モードの設定を [検出] から [防止] に変更できます。 防止モードでは、定義されている規則に一致する要求がブロックされ、WAF ログに記録されます。
カスタム規則
[カスタム ルール] セクションの下の [Add custom rule](カスタム ルールの追加) を選択することで、カスタム ルールを作成できます。 これで、カスタム ルールの構成ページが起動されます。
次に示すのは、クエリ文字列に blockme が含まれているときに要求をブロックするというカスタム ルールの構成方法の例です。
既定の規則セット (DRS)
Azure で管理される既定のルール セット (DRS) は、Front Door の Premium とクラシック レベルで既定で有効になっています。 Premium Front Door の現在の既定のルール セットは Microsoft_DefaultRuleSet_2.0 です。 Microsoft_DefaultRuleSet_1.1 は、クラシック Front Door の現在の既定のルール セットです。 [管理されているルール] ページで、[割り当て] を選んで別の DRS を割り当てます。
各ルールを無効にするには、ルール番号の前にあるチェック ボックスをオンにし、ページ上部の [無効] を選択します。 ルール セット内にある個々のルールのアクションの種類を変更するには、ルール番号の前にあるチェック ボックスをオンにして、ページ上部の [アクションを変更する] を選択します。
Note
マネージド ルールは、Front Door Premium レベルと Front Door クラシック レベルのポリシーでのみサポートされています。
リソースをクリーンアップする
リソース グループおよび関連するすべてのリソースは、不要になったら削除します。