教學課程:使用 Azure 入口網站在 Azure Front Door 上建立 Web 應用程式防火牆原則

此教學課程說明如何建立基本的 Azure Web 應用程式防火牆 (WAF) 原則,並將其套用至 Azure Front Door 的前端主機。

在本教學課程中,您會了解如何:

  • 建立 WAF 原則
  • 將它與前端主機產生關聯
  • 設定 WAF 規則

Prerequisites

建立 Front DoorFront Door 標準/進階版設定檔。

建立 Web 應用程式防火牆原則

首先,使用入口網站來建立具有受控預設規則集 (DRS) 的基本 WAF 原則。

  1. 在畫面的左上方,選取 [建立資源] > 搜尋 WAF> 選取 [Web 應用程式防火牆 (WAF)] > 選取 [建立]。

  2. 在 [建立 WAF 原則] 頁面的 [基本] 索引標籤中,輸入或選取下列資訊,接受其餘設定的預設值:

    設定
    原則適用對象 選取 [全域 WAF (Front Door)]。
    Front Door SKU 選取 [傳統]、 [標準 ] 和 [ 進階 SKU]。
    訂用帳戶 選取 Azure 訂用帳戶。
    資源群組 選取您的 Front Door 資源群組名稱。
    原則名稱 輸入 WAF 原則的唯一名稱。
    原則狀態 設定為 [已啟用]。

    [建立 WAF 原則] 頁面的螢幕擷取畫面,其中包含訂用帳戶、資源群組及原則名稱的 [檢閱 + 建立] 按鈕和清單方塊。

  3. 選取 [關聯] 索引標籤,然後選取 [+ 建立 Front door 設定檔關聯],輸入下列設定,然後選取 [ 新增]:

    設定
    Front Door 設定檔 選取您的 Front Door 設定檔名稱。
    網域 選取要與 WAF 原則建立關聯的網域,然後選取 [新增]。

    與 Front Door 設定檔頁面關聯的螢幕擷取畫面。

    注意

    如果網域與 WAF 原則建立關聯,會顯示為灰色。您必須先從已建立關聯的原則中移除網域,再重新建立網域到新 WAF 原則的關聯。

  4. 選取 [檢閱 + 建立] ,然後選取 [建立] 。

設定 Web 應用程式防火牆規則 (選用)

變更模式

當您建立 WAF 原則時,根據預設,WAF 原則會處於 偵測 模式。 在 [偵測] 模式中,WAF 不會封鎖任何要求,而是要求在 WAF 記錄檔記錄符合的 WAF 規則。 若要查看 WAF 的實際效果,您可以將模式設定從 [偵測] 變更為 [預防] 。 在 [預防 ] 模式中,符合已定義規則的要求會遭到封鎖,並在 WAF 記錄檔中記錄。

Front Door WAF 原則 [概觀] 頁面的螢幕擷取畫面,其中顯示如何切換至預防模式。

自訂規則

您可以選取 [自訂規則] 區段下的 [新增自訂規則] 來建立自訂規則。 這會啟動 [自訂規則設定] 頁面。

自訂規則頁面的螢幕擷取畫面。

以下範例說明如何設定自訂規則,以在查詢字串包含 blockme 時封鎖要求。

自訂規則組態頁面的螢幕擷取畫面,其中顯示檢查 QueryString 變數是否包含值 blockme 的規則設定。

預設規則集 (DRS)

預設會針對 Front Door 的進階層和傳統層啟用 Azure 管理的預設規則集 (DRS) 。 進階 Front Door 的目前預設規則集是 Microsoft_DefaultRuleSet_2.0。 Microsoft_DefaultRuleSet_1.1 是傳統 Front Door 目前的預設規則集。 從 [受控規則] 頁面,選取 [ 指派 ] 以指派不同的 DRS。

若要停用個別規則,請選取規則編號前面的核取方塊,然後選取頁面頂端的 [停用]。 若要變更規則集內個別規則的動作類型,請選取規則編號前面的核取方塊,然後選取頁面頂端的 [變更動作]。

[受控規則] 頁面的螢幕擷取畫面,其中顯示規則集、規則群組、規則,以及 [啟用]、[停用] 和 [變更動作] 按鈕。

注意

只有 Front Door 進階層和 Front Door 傳統層原則才支援受控規則。

清除資源

當不再需要資源時,請刪除資源群組及所有相關資源。

下一步