Konfigurace ochrany robota pro Web Application Firewall

  • Článek

Azure Web Application Firewall (WAF) pro Front Door poskytuje pravidla robotů pro identifikaci vhodných robotů a ochranu před špatnými roboty. Další informace o sadě pravidel ochrany robota najdete v tématu Sada pravidel ochrany robota.

Tento článek popisuje, jak povolit pravidla ochrany robota na úrovni Premium služby Azure Front Door.

Požadavky

Vytvořte základní zásady WAF pro službu Front Door podle pokynů popsaných v tématu Vytvoření zásady WAF pro službu Azure Front Door pomocí Azure Portal.

Povolení sady pravidel ochrany robota

  1. V Azure Portal přejděte na zásady WAF.

  2. Vyberte Spravovaná pravidla a pak vyberte Přiřadit.

    Snímek obrazovky s Azure Portal zobrazující konfiguraci spravovaných pravidel zásad WAF a zvýrazněným tlačítkem Přiřadit

  3. V rozevíracím seznamu Další sada pravidel vyberte verzi sady pravidel ochrany robota, kterou chcete použít. Obvykle je vhodné použít nejnovější verzi sady pravidel.

    Snímek obrazovky s Azure Portal zobrazující stránku přiřazení spravovaných pravidel se zvýrazněným rozevíracím polem Další sada pravidel

  4. Vyberte Uložit.

Získání aktuální konfigurace zásad WAF

K načtení aktuální konfigurace zásad WAF použijte rutinu Get-AzFrontDoorWafPolicy . Ujistěte se, že používáte správný název skupiny prostředků a název zásad WAF pro vaše vlastní prostředí.

$frontDoorWafPolicy = Get-AzFrontDoorWafPolicy `
  -ResourceGroupName 'FrontDoorWafPolicy' `
  -Name 'WafPolicy'

Přidání sady pravidel ochrany robota

Pomocí rutiny New-AzFrontDoorWafManagedRuleObject vyberte sadu pravidel ochrany robota, včetně verze sady pravidel. Pak přidejte sadu pravidel do konfigurace WAF.

Následující příklad přidá do konfigurace WAF verzi 1.0 sady pravidel ochrany robota.

$botProtectionRuleSet = New-AzFrontDoorWafManagedRuleObject `
  -Type 'Microsoft_BotManagerRuleSet' `
  -Version '1.0'

$frontDoorWafPolicy.ManagedRules.Add($botProtectionRuleSet)

Použití konfigurace

Pomocí rutiny Update-AzFrontDoorWafPolicy aktualizujte zásady WAF tak, aby zahrnovaly konfiguraci, kterou jste vytvořili výše.

$frontDoorWafPolicy | Update-AzFrontDoorWafPolicy

Povolení sady pravidel ochrany robota

Pomocí příkazu az network front-door waf-policy managed-rules aktualizujte zásady WAF a přidejte sadu pravidel ochrany robota.

Následující příklad přidá do WAF verzi 1.0 sady pravidel ochrany robota. Ujistěte se, že používáte správný název skupiny prostředků a název zásad WAF pro vaše vlastní prostředí.

az network front-door waf-policy managed-rules add \
  --resource-group FrontDoorWafPolicy \
  --policy-name WafPolicy \
  --type Microsoft_BotManagerRuleSet \
  --version 1.0

Následující příklad souboru Bicep ukazuje, jak provést následující kroky:

  • Vytvořte zásadu WAF služby Front Door.
  • Povolte verzi 1.0 sady pravidel ochrany robota.
param wafPolicyName string = 'WafPolicy'

@description('The mode that the WAF should be deployed using. In "Prevention" mode, the WAF will block requests it detects as malicious. In "Detection" mode, the WAF will not block requests and will simply log the request.')
@allowed([
  'Detection'
  'Prevention'
])
param wafMode string = 'Prevention'

resource wafPolicy 'Microsoft.Network/frontDoorWebApplicationFirewallPolicies@2022-05-01' = {
  name: wafPolicyName
  location: 'Global'
  sku: {
    name: 'Premium_AzureFrontDoor'
  }
  properties: {
    policySettings: {
      enabledState: 'Enabled'
      mode: wafMode
    }
    managedRules: {
      managedRuleSets: [
        {
          ruleSetType: 'Microsoft_BotManagerRuleSet'
          ruleSetVersion: '1.0'
        }
      ]
    }
  }
}

Další kroky