教學課程:使用 Azure 入口網站在 Azure Front Door 上建立 Web 應用程式防火牆原則
此教學課程說明如何建立基本的 Azure Web 應用程式防火牆 (WAF) 原則,並將其套用至 Azure Front Door 的前端主機。
在本教學課程中,您會了解如何:
- 建立 WAF 原則
- 將它與前端主機產生關聯
- 設定 WAF 規則
Prerequisites
建立 Front Door 或 Front Door 標準/進階版設定檔。
建立 Web 應用程式防火牆原則
首先,使用入口網站來建立具有受控預設規則集 (DRS) 的基本 WAF 原則。
在畫面的左上方,選取 [建立資源] > 搜尋 WAF> 選取 [Web 應用程式防火牆 (WAF)] > 選取 [建立]。
在 [建立 WAF 原則] 頁面的 [基本] 索引標籤中,輸入或選取下列資訊,接受其餘設定的預設值:
設定 值 原則適用對象 選取 [全域 WAF (Front Door)]。 Front Door SKU 在 [傳統]、[標準] 和 [進階] SKU 中進行選取。 訂用帳戶 選取 Azure 訂用帳戶。 資源群組 選取您的 Front Door 資源群組名稱。 原則名稱 輸入 WAF 原則的唯一名稱。 原則狀態 設定為 [已啟用]。 ![[建立 WAF 原則] 頁面的螢幕擷取畫面,其中包含訂用帳戶、資源群組及原則名稱的 [檢閱 + 建立] 按鈕和清單方塊。](../media/waf-front-door-create-portal/basic.png)
選取 [關聯] 索引標籤,接著選取 [+ 關聯 Front Door 設定檔]、輸入下列設定,然後選取 [新增]:
設定 值 Front Door 設定檔 選取您的 Front Door 設定檔名稱。 網域 選取要與 WAF 原則建立關聯的網域,然後選取 [新增]。 
注意
如果網域與 WAF 原則建立關聯,會顯示為灰色。您必須先從已建立關聯的原則中移除網域,再重新建立網域到新 WAF 原則的關聯。
選取 [檢閱 + 建立] ,然後選取 [建立] 。
設定 Web 應用程式防火牆規則 (選用)
變更模式
當您建立 WAF 原則時,WAF 原則預設會處於 [偵測] 模式。 在 [偵測] 模式中,WAF 不會封鎖任何要求,而是要求在 WAF 記錄檔記錄符合的 WAF 規則。 若要查看 WAF 的實際效果,您可以將模式設定從 [偵測] 變更為 [預防] 。 在 [防護] 模式中,會封鎖與已定義規則相符的要求,並記錄於 WAF 記錄檔中。
![此螢幕擷取畫面顯示 Front Door WAF 原則的 [概觀] 頁面,其中顯示如何切換至防護模式。](../media/waf-front-door-create-portal/policy.png)
自訂規則
您可以選取 [自訂規則] 區段下的 [新增自訂規則] 來建立自訂規則。 這會啟動 [自訂規則設定] 頁面。
以下範例說明如何設定自訂規則,以在查詢字串包含 blockme 時封鎖要求。
預設規則集 (DRS)
預設會針對 Front Door 的進階層和傳統層啟用 Azure 管理的預設規則集 (DRS)。 進階 Front Door 目前的預設規則集是 Microsoft_DefaultRuleSet_2.0。 Microsoft_DefaultRuleSet_1.1 是傳統 Front Door 目前的預設規則集。 從 [受控規則] 頁面中,選取 [指派] 以指派不同的 DRS。
若要停用個別規則,請選取規則編號前面的核取方塊,然後選取頁面頂端的 [停用]。 若要變更規則集內個別規則的動作類型,請選取規則編號前面的核取方塊,然後選取頁面頂端的 [變更動作]。
![[受控規則] 頁面的螢幕擷取畫面,其中顯示規則集、規則群組、規則,以及 [啟用]、[停用] 和 [變更動作] 按鈕。](../media/waf-front-door-create-portal/managed-rules.png#lightbox)
注意
只有 Front Door 進階層和 Front Door 傳統層原則中才支援受控規則。
清除資源
當不再需要資源時,請刪除資源群組及所有相關資源。