Что такое правило в Azure Front Door?

  • Статья

Набор правил — это обработчик настраиваемых правил, который группирует сочетание правил в единый набор. Вы можете связать набор правил с несколькими маршрутами. Набор правил позволяет настроить способ обработки и обработки запросов на пограничном сервере Azure Front Door.

Распространенные поддерживаемые сценарии

  • Реализация заголовков безопасности, чтобы предотвратить возникновение уязвимостей в браузере, например HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy, X-Frame-Options, и Access-Control-Allow-Origin в сценариях CORS. Атрибуты для системы безопасности можно также определять с помощью файлов cookie.

  • Направление запросов к мобильным или классическим приложениям на основе типа устройства клиента.

  • Использование возможностей перенаправления для возврата перенаправлений 301, 302, 307 и 308 клиенту, чтобы направить их на другие имена узлов, пути, строки запросов или протоколы.

  • Динамическое изменение конфигурации кэширования маршрута на основе входящих запросов.

  • Перезапись пути URL-адреса запроса и пересылки запроса в соответствующий источник в настроенной группе источника.

  • Добавьте, измените или удалите заголовок запроса или ответа, чтобы скрыть конфиденциальные данные или записать важные сведения через заголовки.

  • Поддержка переменных сервера для динамического изменения заголовка запроса, заголовков ответов или строк перезаписи URL-адресов. Например, при загрузке новой страницы или при публикации формы. В настоящее время переменная сервера поддерживается только в действиях набора правил.

Архитектура

Наборы правил обрабатывают запросы на границе Front Door. Когда запрос поступает в конечную точку Front Door, WAF обрабатывается сначала, а затем параметры, настроенные в маршруте. Эти параметры включают набор правил, связанный с маршрутом. Наборы правил обрабатываются в том порядке, в котором они отображаются в конфигурации маршрутизации. Правила в наборе правил также обрабатываются в порядке их отображения. Чтобы все действия в каждом правиле выполнялись, все условия соответствия в правиле должны выполняться. Если запрос не соответствует ни одному из условий в конфигурации набора правил, применяются только параметры маршрута по умолчанию.

Если выбран параметр "Остановить оценку оставшихся правил", все остальные наборы правил, связанные с маршрутом, не будут запущены.

Пример

На следующей схеме политики WAF сначала обрабатываются. Затем конфигурация набора правил добавляет заголовок ответа. Заголовок изменяет максимальный возраст элемента управления кэша, если условие соответствия имеет значение true.

Схема, показывающая, как набор правил может изменить заголовок ответа для запроса, который проходит через конечную точку Front Door.

Терминология

С помощью набора правил Front Door можно создать любую комбинацию конфигураций, каждая из которых состоит из набора правил. Ниже приведены некоторые полезные термины при настройке набора правил.

  • Набор правил. Набор правил, связанных с одним или несколькими маршрутами.

  • Правило набора правил. Правило, состоящее из не более 10 условий соответствия и 5 действий. Правила являются локальными для набора правил и не могут быть экспортированы для использования в других наборах правил. Одно правило можно создать в разных наборах правил.

  • Условие соответствия. Существует множество условий соответствия, которые можно настроить для синтаксического анализа входящего запроса. Правило может содержать до 10 условий соответствия. Условия соответствия оцениваются с помощью оператора AND. Регулярное выражение поддерживается в условиях. Полный список условий соответствия набора правил можно найти здесь.

  • Действие: действие определяет, как Front Door обрабатывает входящие запросы на основе условий сопоставления. Вы можете изменить поведение кэширования, изменить заголовки запросов, заголовки ответов, задать перезапись URL-адресов и перенаправление URL-адресов. Переменные сервера поддерживаются с действием. Правило может содержать до пяти действий. Полный список действий набора правил можно найти здесь.

Поддержка шаблона ARM

Наборы правил можно настроить с помощью шаблонов Azure Resource Manager. Пример см. в разделе Front Door Standard/Premium с набором правил. Поведение можно настроить с помощью фрагментов кода JSON или Bicep, входящих в примеры в документации, для условий соответствия и действий.

Ограничения

Сведения об ограничениях квот см. в разделе об ограничениях Front Door, квотах и ограничениях.

Следующие шаги

Внимание

Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure Front Door (классический) на уровень Azure Front Door standard или Premium к марту 2027 года. Дополнительные сведения см. в статье azure Front Door (классическая версия) для выхода на пенсию.

Конфигурация подсистемы правил позволяет настроить способ обработки HTTP-запросов на границе Front Door и обеспечивает управляемое поведение веб-приложения. Обработчик правил для Azure Front Door (классическая) выполняет несколько важных функций, в том числе следующие:

  • Применение протокола HTTPS, чтобы все пользователи могли взаимодействовать с вашим содержимым через безопасное подключение.
  • Реализация заголовков безопасности, чтобы предотвратить возникновение уязвимостей в браузере, например HTTP Strict-Transport-Security (HSTS), X-XSS-Protection, Content-Security-Policy и X-Frame-Options, а также Access-Control-Allow-Origin в сценариях CORS. Атрибуты для системы безопасности можно также определять с помощью файлов cookie.
  • Направление запросов к мобильным или классическим приложениям на основе шаблонов по содержимому заголовков запросов, файлов cookie или строк запросов.
  • Использование возможностей перенаправления для возврата перенаправлений 301, 302, 307 и 308 клиенту, чтобы направить их на другие имена узлов, пути или протоколы.
  • Динамическое изменение конфигурации кэширования маршрута на основе входящих запросов.
  • Переопределение URL-пути запроса и перенаправление запроса в соответствующую серверную часть в настроенном внутреннем пуле.

Архитектура

Обработчик правил обрабатывает запросы в пограничной среде. Когда запрос входит в конечную точку Azure Front Door (классическая), WAF обрабатывается сначала, а затем конфигурация подсистемы правил, связанная с вашим интерфейсным доменом. Если конфигурация обработчика правил обрабатывается, это означает, что выполнено условие соответствия. Чтобы все действия в каждом правиле обрабатывались, все условия соответствия в правиле должны выполняться. Если запрос не соответствует ни одному из условий в конфигурации обработчика правил, то выполняется обработка конфигурации маршрутизации по умолчанию.

Например, на следующей схеме подсистема правил настраивается для добавления заголовка ответа. Заголовок изменяет максимальный возраст элемента управления кэшем, если файл запроса имеет расширение .jpg.

Схема, показывающая механизм правил, изменяющий максимальный возраст кэша в заголовке ответа, если запрошенный файл имеет расширение .jpg.

В этом втором примере отображается подсистема правил, настроенная для перенаправления пользователей на мобильную версию веб-сайта, если запрашивающее устройство имеет тип Mobile.

Схема, показывающая подсистему правил, перенаправляющую пользователей на мобильный веб-сайт, если запрашивающее устройство имеет тип мобильного устройства.

В обоих из этих примеров, если ни одно из условий соответствия не выполняется, указанное правило маршрутизации — это то, что обрабатывается.

Терминология

В Azure Front Door (классическая модель) можно создавать конфигурации обработчика правил множества сочетаний, каждый из которых состоит из набора правил. Ниже приведены некоторые полезные термины, которые вы столкнулись при настройке обработчика правил.

  • Конфигурация подсистемы правил: набор правил, применяемых к одному маршруту. Каждая конфигурация ограничена 25 правилами. Вы можете создать до 10 конфигураций.
  • Правило обработчика правил: правило, состоящее из до 10 условий соответствия и 5 действий.
  • Условие соответствия. Существует много условий соответствия, которые можно использовать для анализа входящих запросов. Правило может содержать до 10 условий соответствия. Условия соответствия оцениваются с помощью оператора AND. Полный список условий соответствия см. в разделе "Правила соответствия".
  • Действие. Действия определяют, что происходит с входящими запросами — действия заголовка запроса и ответа, пересылка, перенаправление и перезаписи доступны сегодня. Правило может содержать до пяти действий, но только одно из них может быть переопределением конфигурации маршрутов. Полный список действий см. в разделе "Действия правил".

Следующие шаги