Samouczek: tworzenie zasad zapory aplikacji internetowej w usłudze Azure Front Door przy użyciu Azure Portal

  • Artykuł

W tym samouczku pokazano, jak utworzyć podstawowe zasady zapory aplikacji internetowej (WAF) i zastosować je do hosta frontonu w usłudze Azure Front Door.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Utwórz zasady zapory aplikacji internetowej.
  • Skojarz go z hostem frontonu.
  • Konfigurowanie reguł zapory aplikacji internetowej.

Wymagania wstępne

Utwórz wystąpienie usługi Azure Front Door lub profil usługi Azure Front Door w warstwie Standardowa lub Premium .

Tworzenie zasad zapory aplikacji internetowej

Najpierw utwórz podstawowe zasady zapory aplikacji internetowej z zarządzanym domyślnym zestawem reguł (DRS) przy użyciu Azure Portal.

  1. W lewym górnym rogu ekranu wybierz pozycję Utwórz zasób. Wyszukaj pozycję Zapora aplikacji internetowej, wybierz pozycję Web Application Firewall (zapora aplikacji internetowej) i wybierz pozycję Utwórz.

  2. Na karcie Podstawowe na stronie Tworzenie zasad zapory aplikacji internetowej wprowadź lub wybierz następujące informacje i zaakceptuj wartości domyślne pozostałych ustawień.

    Ustawienie Wartość
    Zasady dla Wybierz pozycję Global WAF (Front Door).
    Warstwa drzwi frontonu Wybierz warstwy Klasyczne, Standardowe i Premium .
    Subskrypcja Wybierz swoją subskrypcję platformy Azure.
    Grupa zasobów Wybierz nazwę grupy zasobów usługi Azure Front Door.
    Nazwa zasady Wprowadź unikatową nazwę zasad zapory aplikacji internetowej.
    Stan zasad Ustaw jako włączone.

    Zrzut ekranu przedstawiający stronę Tworzenie zasad W A F z polami Wyboru i tworzenia dla subskrypcji, grupy zasobów i nazwy zasad.

  3. Na karcie Skojarzenie wybierz pozycję Skojarz profil usługi Front Door, wprowadź następujące ustawienia, a następnie wybierz pozycję Dodaj.

    Ustawienie Wartość
    Profil drzwi wejściowych Wybierz nazwę profilu usługi Azure Front Door.
    Domains Wybierz domeny, do których chcesz skojarzyć zasady zapory aplikacji internetowej, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający stronę Kojarzenie profilu usługi Front Door.

    Uwaga

    Jeśli domena jest skojarzona z zasadami zapory aplikacji internetowej, jest wyświetlana jako wyszaryzowana. Najpierw należy usunąć domenę ze skojarzonych zasad, a następnie ponownie skojarzyć domenę z nowymi zasadami zapory aplikacji internetowej.

  4. Wybierz pozycję Przeglądanie + tworzenie>Utwórz.

Konfigurowanie reguł zapory aplikacji internetowej (opcjonalnie)

Wykonaj następujące kroki, aby skonfigurować reguły zapory aplikacji internetowej.

Tryb zmiany

Podczas tworzenia zasad zapory aplikacji internetowej domyślnie zasady zapory aplikacji internetowej są w trybie wykrywania . W trybie wykrywania zapora aplikacji internetowej nie blokuje żadnych żądań. Zamiast tego żądania zgodne z regułami zapory aplikacji internetowej są rejestrowane w dziennikach zapory aplikacji internetowej. Aby wyświetlić zaporę aplikacji internetowej w działaniu, możesz zmienić ustawienia trybu z Pozycji Wykrywanie na Zapobieganie. W trybie zapobiegania żądania zgodne ze zdefiniowanymi regułami są blokowane i rejestrowane w dziennikach zapory aplikacji internetowej.

Zrzut ekranu przedstawiający stronę Przegląd zasad zapory aplikacji internetowej usługi Azure Front Door, która pokazuje, jak przełączyć się do trybu zapobiegania.

Reguły niestandardowe

Aby utworzyć regułę niestandardową, w sekcji Niestandardowe reguły wybierz pozycję Dodaj regułę niestandardową , aby otworzyć stronę konfiguracji reguły niestandardowej.

Zrzut ekranu przedstawiający stronę Reguły niestandardowe.

W poniższym przykładzie pokazano, jak skonfigurować regułę niestandardową w celu blokowania żądania, jeśli ciąg zapytania zawiera blok.

Zrzut ekranu przedstawiający stronę konfiguracji reguły niestandardowej z ustawieniami reguły, która sprawdza, czy zmienna QueryString zawiera blok wartości.

Domyślny zestaw reguł

Domyślny zestaw reguł zarządzany przez platformę Azure jest domyślnie włączony dla warstw Premium i Klasycznych usługi Azure Front Door. Bieżąca usługa DRS dla warstwy Premium usługi Azure Front Door jest Microsoft_DefaultRuleSet_2.0. Microsoft_DefaultRuleSet_1.1 to bieżąca usługa DRS dla klasycznej warstwy usługi Azure Front Door. Na stronie Reguły zarządzane wybierz pozycję Przypisz , aby przypisać inną usługę DRS.

Aby wyłączyć pojedynczą regułę, zaznacz pole wyboru przed numerem reguły i wybierz pozycję Wyłącz w górnej części strony. Aby zmienić typy akcji poszczególnych reguł w zestawie reguł, zaznacz pole wyboru przed numerem reguły i wybierz pozycję Zmień akcję w górnej części strony.

Zrzut ekranu przedstawiający stronę Reguły zarządzane przedstawiającą zestaw reguł, grupy reguł, reguły i przyciski Włącz, Wyłącz i Zmień akcję.

Uwaga

Reguły zarządzane są obsługiwane tylko w warstwie Premium usługi Azure Front Door i klasycznej warstwie usługi Azure Front Door.

Czyszczenie zasobów

Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, usuń je.

Następne kroki