Konfigurowanie zasad zapory aplikacji internetowej filtrowania geograficznego dla usługi Azure Front Door

W tym samouczku pokazano, jak za pomocą Azure PowerShell utworzyć przykładowe zasady filtrowania geograficznego i skojarzyć zasady z istniejącym hostem frontonu usługi Azure Front Door. Ta przykładowa zasada filtrowania geograficznego blokuje żądania ze wszystkich innych krajów lub regionów z wyjątkiem Stany Zjednoczone.

Jeśli nie masz subskrypcji platformy Azure, utwórz teraz bezpłatne konto.

Wymagania wstępne

Przed rozpoczęciem konfigurowania zasad filtrowania geograficznego skonfiguruj środowisko programu PowerShell i utwórz profil usługi Azure Front Door.

Konfigurowanie środowiska programu PowerShell

Program Azure PowerShell udostępnia zestaw poleceń cmdlet, które pozwalają zarządzać zasobami platformy Azure przy użyciu modelu usługi Azure Resource Manager.

Możesz zainstalować program Azure PowerShell w maszynie lokalnej i używać go w dowolnej sesji programu PowerShell. Postępuj zgodnie z instrukcjami na stronie, aby zalogować się przy użyciu poświadczeń platformy Azure. Następnie zainstaluj moduł Az programu PowerShell.

Nawiązywanie połączenia z platformą Azure za pomocą interaktywnego okna dialogowego logowania

Install-Module -Name Az
Connect-AzAccount

Upewnij się, że zainstalowano bieżącą wersję modułu PowerShellGet. Uruchom następujące polecenie i otwórz ponownie program PowerShell.

Install-Module PowerShellGet -Force -AllowClobber

Instalowanie modułu Az.FrontDoor

Install-Module -Name Az.FrontDoor

Tworzenie profilu usługi Azure Front Door

Utwórz profil usługi Azure Front Door, postępując zgodnie z instrukcjami opisanymi w przewodniku Szybki start: tworzenie profilu usługi Azure Front Door.

Definiowanie warunku dopasowania filtrowania geograficznego

Utwórz przykładowy warunek dopasowania, który wybiera żądania, które nie pochodzą z "USA" przy użyciu polecenia New-AzFrontDoorWafMatchConditionObject w parametrach podczas tworzenia warunku dopasowania.

Dwuliterowe kody kraju lub regionu do mapowania kraju lub regionu są dostępne w artykule Co to jest filtrowanie geograficzne w domenie dla usługi Azure Front Door?.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Dodawanie warunku dopasowania filtrowania geograficznego do reguły z akcją i priorytetem

CustomRule Utwórz obiekt nonUSBlockRule na podstawie warunku dopasowania, akcji i priorytetu przy użyciu polecenia New-AzFrontDoorWafCustomRuleObject. Reguła niestandardowa może mieć wiele warunków dopasowania. W tym przykładzie Action ustawiono wartość Block. Priority jest ustawiona na 1wartość , która jest najwyższym priorytetem.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Dodawanie reguł do zasad

Znajdź nazwę grupy zasobów zawierającej profil usługi Azure Front Door przy użyciu polecenia Get-AzResourceGroup. Następnie utwórz geoPolicy obiekt, który zawiera nonUSBlockRule przy użyciu polecenia New-AzFrontDoorWafPolicy w określonej grupie zasobów zawierającej profil usługi Azure Front Door. Musisz podać unikatową nazwę zasad geograficznych.

W poniższym przykładzie użyto nazwy myResourceGroupFD1 grupy zasobów z założeniem, że profil usługi Azure Front Door został utworzony, korzystając z instrukcji podanych w przewodniku Szybki start: Tworzenie usługi Azure Front Door. W poniższym przykładzie zastąp nazwę geoPolicyAllowUSOnly zasad unikatową nazwą zasad.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Łączenie zasad zapory aplikacji internetowej z hostem frontonu usługi Azure Front Door

Połącz obiekt zasad zapory aplikacji internetowej z istniejącym hostem frontonu usługi Azure Front Door. Aktualizowanie właściwości usługi Azure Front Door.

W tym celu najpierw pobierz obiekt usługi Azure Front Door przy użyciu polecenia Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Następnie ustaw właściwość frontonu WebApplicationFirewallPolicyLink na identyfikator zasobu zasad geograficznych przy użyciu polecenia Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Uwaga

Musisz ustawić WebApplicationFirewallPolicyLink właściwość tylko raz, aby połączyć zasady zapory aplikacji internetowej z hostem frontonu usługi Azure Front Door. Kolejne aktualizacje zasad są automatycznie stosowane do hosta frontonu.

Następne kroki

• Dowiedz się więcej o usłudze Azure Web Application Firewall.
• Dowiedz się, jak utworzyć wystąpienie usługi Azure Front Door.