你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置 Azure Front Door 的 WAF 的 IP 限制规则

本文演示如何使用 Azure 门户、Azure CLI、Azure PowerShell 或 Azure 资源管理器模板在 Azure Front Door 的 Web 应用程序防火墙 (WAF) 中配置 IP 限制规则。

基于 IP 地址的访问控制规则是一个自定义 WAF 规则,可用于控制对 Web 应用程序的访问。 该规则指定无类别域际路由选择 (CIDR) 格式的 IP 地址列表或 IP 地址范围列表。

IP 地址匹配中有两种类型的匹配变量:RemoteAddrSocketAddrRemoteAddr 是通常通过 X-Forwarded-For 请求标头发送的原始客户端 IP。 SocketAddr 变量是 WAF 发现的源 IP 地址。 如果用户位于代理后,则 SocketAddr 通常是代理服务器地址。

默认情况下,可从 Internet 访问 Web 应用程序。 如果要限制从已知 IP 地址列表或 IP 地址范围列表访问的客户端,可以创建一个 IP 匹配规则,其中包含 IP 地址列表作为匹配值,并将运算符设置为“Not”(求反为 true)且操作设置为“Block”。 应用 IP 限制规则后,源自此允许列表外部的地址的请求将收到“403 禁止访问”响应。

配置 WAF 策略

按照以下步骤使用 Azure 门户配置 WAF 策略。

先决条件

按照快速入门:创建 Azure Front Door 实例以实现高度可用的全局 Web 应用程序中所述的说明,创建 Azure Front Door 配置文件。

创建 WAF 策略

  1. 在 Azure 门户中,选择“创建资源”。 在“搜索服务和市场”搜索框中输入“Web 应用程序防火墙”,然后选择 Enter。 选择“Web 应用程序防火墙 (WAF)”。

  2. 选择创建

  3. 在“创建 WAF 策略”页上,使用以下值完成“基本信息”选项卡。

    设置
    策略适用于 全局 WAF (Front Door)。
    Front Door 层 选择“高级”或“标准”以匹配你的 Front Door 层。
    订阅 选择订阅。
    资源组 选择 Azure Front Door 实例所在的资源组。
    策略名称 为策略输入一个名称。
    策略状态 已选择
    策略模式 预防
  4. 选择“下一步: 托管规则”

  5. 选择“下一步: 策略设置”。

  6. 在“策略设置”选项卡上,为“阻止响应正文”输入“你已受到阻止!”,这样你便可以看到自定义规则已生效。

  7. 选择“下一步: 自定义规则”。

  8. 选择“添加自定义规则”。

  9. 在“添加自定义规则”页上,使用以下测试值创建自定义规则。

    设置
    自定义规则名称 FdWafCustRule
    状态 Enabled
    规则类型 匹配
    优先级 100
    匹配类型 IP 地址
    匹配变量 SocketAddr
    Operation 不包含
    IP 地址或范围 10.10.10.0/24
    Then 拒绝流量

    自定义规则

    选择 添加

  10. 选择“下一步: 关联”。

  11. 选择“关联 Front Door 配置文件”。

  12. 对于“前端配置文件”,请选择你的前端配置文件。

  13. 对于“域”,请选择域。

  14. 选择 添加

  15. 选择“查看 + 创建”。

  16. 通过策略验证后,选择“创建”。

测试 WAF 策略

  1. WAF 策略部署完成后,浏览到你的 Azure Front Door 前端主机名。

  2. 应看到自定义阻止消息。

    WAF 规则测试

    注意

    专用 IP 地址专门用于自定义规则中,以确保规则会触发。 在实际部署中,针对特定情况使用 IP 地址创建“允许”和“拒绝”规则。

后续步骤

了解如何创建 Azure Front Door 配置文件