Waf-beleid voor geo-filtering instellen voor Azure Front Door
In deze zelfstudie ziet u hoe u Azure PowerShell gebruikt om een voorbeeldbeleid voor geofiltering te maken en het beleid te koppelen aan uw bestaande Azure Front Door-front-endhost. Met dit voorbeeldbeleid voor geofiltering worden aanvragen van alle andere landen of regio's geblokkeerd, met uitzondering van de Verenigde Staten.
Als u nog geen abonnement op Azure hebt, maak dan nu een gratis account.
Vereisten
Voordat u een geofilterbeleid gaat instellen, moet u uw PowerShell-omgeving instellen en een Azure Front Door-profiel maken.
Uw PowerShell-omgeving instellen
Azure PowerShell voorziet in een set van cmdlets die gebruikmaken van het Azure Resource Manager-model om uw Azure-resources te beheren.
U kunt Azure PowerShell op uw lokale computer installeren en in elke PowerShell-sessie gebruiken. Volg de instructies op de pagina om u aan te melden met uw Azure-referenties. Installeer vervolgens de Az PowerShell-module.
Verbinding maken met Azure met een interactief dialoogvenster voor aanmelden
Install-Module -Name Az
Connect-AzAccount
Zorg ervoor dat bij u de huidige versie van PowerShellGet is geïnstalleerd. Voer de volgende opdracht uit en open PowerShell opnieuw.
Install-Module PowerShellGet -Force -AllowClobber
De Az.FrontDoor-module installeren
Install-Module -Name Az.FrontDoor
Een Azure Front Door-profiel maken
Maak een Azure Front Door-profiel door de instructies te volgen die worden beschreven in Quickstart: Een Azure Front Door-profiel maken.
Een overeenkomstvoorwaarde voor geofiltering definiëren
Maak een voorbeeld van een overeenkomstvoorwaarde die aanvragen selecteert die niet afkomstig zijn van 'VS' met behulp van New-AzFrontDoorWafMatchConditionObject op parameters wanneer u een overeenkomstvoorwaarde maakt.
Tweeletterige land- of regiocodes aan land- of regiotoewijzing vindt u in Wat is geofiltering op een domein voor Azure Front Door?.
$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"
Een overeenkomstvoorwaarde voor geofiltering toevoegen aan een regel met een actie en een prioriteit
Maak een CustomRule
object nonUSBlockRule
op basis van de overeenkomstvoorwaarde, een actie en een prioriteit met behulp van New-AzFrontDoorWafCustomRuleObject. Een aangepaste regel kan meerdere overeenkomstvoorwaarden hebben. In dit voorbeeld Action
is ingesteld op Block
.
Priority
is ingesteld op 1
, wat de hoogste prioriteit heeft.
$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1
Regels toevoegen aan een beleid
Zoek de naam van de resourcegroep die het Azure Front Door-profiel bevat met behulp van Get-AzResourceGroup
. Maak vervolgens een geoPolicy
object dat nonUSBlockRule
bevat met behulp van New-AzFrontDoorWafPolicy in de opgegeven resourcegroep die het Azure Front Door-profiel bevat. U moet een unieke naam opgeven voor het geo-beleid.
In het volgende voorbeeld wordt de naam myResourceGroupFD1
van de resourcegroep gebruikt met de veronderstelling dat u het Azure Front Door-profiel hebt gemaakt met behulp van de instructies in Quickstart: Een Azure Front Door maken. Vervang in het volgende voorbeeld de beleidsnaam geoPolicyAllowUSOnly
door een unieke beleidsnaam.
$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule `
-Mode Prevention `
-EnabledState Enabled
Een WAF-beleid koppelen aan een Front-endhost van Azure Front Door
Koppel het WAF-beleidsobject aan de bestaande Azure Front Door front-endhost. Azure Front Door-eigenschappen bijwerken.
Hiervoor moet u eerst uw Azure Front Door-object ophalen met behulp van Get-AzFrontDoor.
$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id
Stel vervolgens de front-endeigenschap WebApplicationFirewallPolicyLink
in op de resource-id van het geo-beleid met behulp van Set-AzFrontDoor.
Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]
Notitie
U hoeft de WebApplicationFirewallPolicyLink
eigenschap slechts eenmaal in te stellen om een WAF-beleid te koppelen aan een Azure Front Door front-endhost. Volgende beleidsupdates worden automatisch toegepast op de front-endhost.
Volgende stappen
- Meer informatie over Azure Web Application Firewall.
- Meer informatie over het maken van een exemplaar van Azure Front Door.