Udostępnij za pośrednictwem

Samouczek: tworzenie zasad zapory aplikacji internetowej w usłudze Azure Front Door przy użyciu witryny Azure Portal

  • Artykuł

W tym samouczku pokazano, jak utworzyć podstawowe zasady zapory aplikacji internetowej (WAF) i zastosować je do hosta frontonu w usłudze Azure Front Door.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie zasad zapory aplikacji internetowej.
  • Skojarz go z hostem frontonu.
  • Konfigurowanie reguł zapory aplikacji internetowej.

Wymagania wstępne

Utwórz wystąpienie usługi Azure Front Door lub profil usługi Azure Front Door w warstwie Standardowa lub Premium .

Tworzenie zasad zapory aplikacji internetowej

Najpierw utwórz podstawowe zasady zapory aplikacji internetowej z zarządzanym domyślnym zestawem reguł (DRS) przy użyciu witryny Azure Portal.

  1. W lewym górnym rogu ekranu wybierz pozycję Utwórz zasób. Wyszukaj zaporę aplikacji internetowej, wybierz pozycję Zapora aplikacji internetowej (WAF) i wybierz pozycję Utwórz.

  2. Na karcie Podstawowe na stronie Tworzenie zasad zapory aplikacji internetowej wprowadź lub wybierz następujące informacje i zaakceptuj wartości domyślne pozostałych ustawień.

    Ustawienie Wartość
    Zasady dla Wybierz pozycję Global WAF (Front Door).
    Warstwa drzwi frontonu Wybierz warstwy Klasyczne, Standardowe i Premium .
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz nazwę grupy zasobów usługi Azure Front Door.
    Nazwa zasady Wprowadź unikatową nazwę zasad zapory aplikacji internetowej.
    Stan zasad Ustaw jako Włączone.

    Zrzut ekranu przedstawiający stronę Tworzenie zasad W A F z polami Przejrzyj i utwórz dla subskrypcji, grupy zasobów i nazwy zasad.

  3. Na karcie Skojarzenie wybierz pozycję Skojarz profil usługi Front Door, wprowadź następujące ustawienia, a następnie wybierz pozycję Dodaj.

    Ustawienie Wartość
    Profil drzwi frontonu Wybierz nazwę profilu usługi Azure Front Door.
    Domeny Wybierz domeny, do których chcesz skojarzyć zasady zapory aplikacji internetowej, a następnie wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający stronę Kojarzenie profilu usługi Front Door.

    Uwaga

    Jeśli domena jest skojarzona z zasadami zapory aplikacji internetowej, jest wyświetlana jako wyszaryzowana. Najpierw należy usunąć domenę ze skojarzonych zasad, a następnie ponownie skojarzyć domenę z nowymi zasadami zapory aplikacji internetowej.

  4. Wybierz pozycję Przeglądanie + tworzenie>Utwórz.

Konfigurowanie reguł zapory aplikacji internetowej (opcjonalnie)

Wykonaj następujące kroki, aby skonfigurować reguły zapory aplikacji internetowej.

Tryb zmiany

Podczas tworzenia zasad zapory aplikacji internetowej domyślnie zasady zapory aplikacji internetowej są w trybie wykrywania . W trybie wykrywania zapora aplikacji internetowej nie blokuje żadnych żądań. Zamiast tego żądania pasujące do reguł zapory aplikacji internetowej są rejestrowane w dziennikach zapory aplikacji internetowej. Aby wyświetlić zaporę aplikacji internetowej w działaniu, możesz zmienić ustawienia trybu z Wykrywanie na Zapobieganie. W trybie zapobiegania żądania zgodne ze zdefiniowanymi regułami są blokowane i rejestrowane w dziennikach zapory aplikacji internetowej.

Zrzut ekranu przedstawiający stronę Przegląd zasad zapory aplikacji internetowej usługi Azure Front Door, która pokazuje, jak przełączyć się na tryb zapobiegania.

Reguły niestandardowe

Aby utworzyć regułę niestandardową, w sekcji Reguły niestandardowe wybierz pozycję Dodaj regułę niestandardową, aby otworzyć stronę konfiguracji reguły niestandardowej.

Zrzut ekranu przedstawiający stronę Reguły niestandardowe.

W poniższym przykładzie pokazano, jak skonfigurować regułę niestandardową w celu zablokowania żądania, jeśli ciąg zapytania zawiera blokme.

Zrzut ekranu przedstawiający stronę konfiguracji reguły niestandardowej z ustawieniami reguły sprawdzającej, czy zmienna QueryString zawiera blok wartości.

Domyślny zestaw reguł

Domyślny zestaw reguł zarządzanych przez platformę Azure jest domyślnie włączony dla warstw Premium i Klasyczny usługi Azure Front Door. Bieżąca usługa DRS dla warstwy Premium usługi Azure Front Door jest Microsoft_DefaultRuleSet_2.1. Microsoft_DefaultRuleSet_1.1 to bieżąca usługa DRS dla klasycznej warstwy usługi Azure Front Door. Na stronie Zarządzane reguły wybierz pozycję Przypisz, aby przypisać inną usługę DRS.

Aby wyłączyć pojedynczą regułę, zaznacz pole wyboru przed numerem reguły i wybierz pozycję Wyłącz w górnej części strony. Aby zmienić typy akcji dla poszczególnych reguł w zestawie reguł, zaznacz pole wyboru przed numerem reguły i wybierz pozycję Zmień akcję w górnej części strony.

Zrzut ekranu przedstawiający stronę Reguły zarządzane z zestawem reguł, grupami reguł, regułami i przyciskami Włącz, Wyłącz i Zmień akcję.

Uwaga

Reguły zarządzane są obsługiwane tylko w warstwie Premium usługi Azure Front Door i klasycznej warstwie usługi Azure Front Door.

Czyszczenie zasobów

Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, usuń je.

Następne kroki