Kurz: jak nastavit geograficky filtrovací WAF zásady pro vaše přední dveře
V tomto kurzu se dozvíte, jak pomocí Azure PowerShellu vytvořit ukázkovou zásadu geografického filtrování a přidružit ji k existujícímu hostiteli front-endu služby Front Door. Tato ukázková zásada geografického filtrování bude blokovat žádosti ze všech ostatních zemí nebo oblastí kromě USA.
V tomto kurzu se naučíte:
- Definujte podmínku shody geografického filtrování.
- Přidejte podmínku shody geografického filtrování do pravidla.
- Přidejte pravidla do zásady.
- Připojte zásady WAF k hostiteli FrontDoor front-endu.
Pokud ještě nemáte předplatné Azure,vytvořte si bezplatný účet před tím, než začnete.
Požadavky
- Než začnete s nastavením zásad geografického filtru, nastavte prostředí PowerShell a vytvořte profil front-dveří.
- Vytvořte si přední dveře podle pokynů popsaných v tématu rychlý Start: vytvoření profilu front-dveří.
Definovat podmínku shody geografického filtrování
Vytvořte podmínku pro porovnávání vzorků, která vybere žádosti nepocházející z "US" pomocí příkazu New-AzFrontDoorWafMatchConditionObject u parametrů při vytváření podmínky shody. Pro mapování země nebo oblasti se tady zobrazídvě písmena.
$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable RemoteAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"
Přidání podmínky shody geografického filtrování do pravidla s parametry Action a Priority
Vytvořte objekt CustomRule nonUSBlockRule na základě podmínky shody, akce a priority pomocí New-AzFrontDoorWafCustomRuleObject. Objekt CustomRule může mít více podmínek shody MatchCondition. V tomto příkladu se parametr Action nastaví na Block a parametr Priority na 1, což je nejvyšší priorita.
$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1
Přidání pravidel do zásad
Vyhledejte název skupiny prostředků, která obsahuje profil front-dveří pomocí Get-AzResourceGroup . V dalším kroku vytvořte geoPolicy objekt zásad obsahující nonUSBlockRule pomocí New-AzFrontDoorWafPolicy v zadané skupině prostředků, která obsahuje profil front-dveří. Je nutné zadat jedinečný název pro zásady geografického filtrování.
Následující příklad používá název skupiny prostředků FrontDoorQS_rg0 s předpokladem, že jste vytvořili profil front-dveří pomocí pokynů uvedených v rychlém startu: vytvořit článek na předních dveřích . V následujícím příkladu nahraďte název zásady geoPolicyAllowUSOnly jedinečným názvem zásady.
$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName FrontDoorQS_rg0 `
-Customrule $nonUSBlockRule `
-Mode Prevention `
-EnabledState Enabled
Propojit zásady WAF s hostitelskou frontou front-endu
Propojte objekt zásad WAF s existujícím hostitelem front-endu front-endu a aktualizujte vlastnosti front-dveří.
Uděláte to tak, že nejdřív načtěte objekt přední dveře pomocí Get-AzFrontDoor.
$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName FrontDoorQS_rg0
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id
Dále nastavte vlastnost front-end WebApplicationFirewallPolicyLink na hodnotu resourceId geoPolicy pomocí set-AzFrontDoor.
Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]
Poznámka
Stačí nastavit vlastnost WebApplicationFirewallPolicyLink jenom jednou, aby se propojí zásada WAF k hostiteli front-endu front-endu. Další aktualizace zásad se automaticky aplikují na hostitele front-endu.
Vyčištění prostředků
V předchozích krocích jste nakonfigurovali pravidlo geografického filtrování, které je přidružené k zásadám WAF. Pak jste tyto zásady propojili s hostitelem front-endu vaší přední dveře. Pokud už nepotřebujete pravidlo geografického filtrování nebo zásadu WAF, musíte nejdřív zrušit přidružení zásady od hostitele front-endu, aby bylo možné odstranit zásady WAF.
Další kroky
Pokud se chcete dozvědět, jak nakonfigurovat Firewall webových aplikací pro vaše přední dveře, přejděte k dalšímu kurzu.