Tutorial: Erstellen einer Web Application Firewall-Richtlinie auf Azure Front Door im Azure-Portal

Dieses Tutorial zeigt Ihnen, wie Sie eine einfache Azure Web Application Firewall-Richtlinie (WAF) erstellen und auf einen Front-End-Host in Azure Front Door anwenden.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen einer WAF-Richtlinie
  • Deren Zuordnung zu einem Front-End-Host
  • Konfigurieren von WAF-Regeln

Voraussetzungen

Erstellen eines Profils für Front Door oder Front Door Standard/Premium

Erstellen einer Web Application Firewall-Richtlinie

Erstellen Sie zuerst im Portal mithilfe des verwalteten Standardregelsatzes eine einfache WAF-Richtlinie.

  1. Wählen Sie oben links auf dem Bildschirm Ressource erstellen aus. Suchen Sie nach WAF, und wählen Sie Web Application Firewall (WAF) und dann Erstellen aus.

  2. Geben Sie auf der Seite WAF-Richtlinie erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus. Übernehmen Sie die Standardwerte für die übrigen Einstellungen, und klicken Sie auf Überprüfen + erstellen:

    Einstellung Wert
    Richtlinie für Wählen Sie Globale WAF (Front Door) aus.
    Front Door-SKU Wählen Sie zwischen den SKUs „Basic“, „Standard“ und „Premium“.
    Subscription Wählen Sie den Namen Ihres Front Door-Abonnements aus.
    Resource group Wählen Sie den Namen Ihrer Front Door-Ressourcengruppe aus.
    Richtlinienname Geben Sie einen eindeutigen Namen für Ihre WAF-Richtlinie ein.
    Richtlinienstatus Legen Sie Aktiviert fest.

    Screenshot: Seite „WAF-Richtlinie erstellen“ mit der Schaltfläche „Überprüfen + erstellen“ und Listenfeldern für Abonnement, Ressourcengruppe und Richtlinienname

  3. Wählen Sie auf der Seite WAF-Richtlinie erstellen auf der Registerkarte Zuordnung die Option + Ein Front Door-Profil zuordnen aus. Geben Sie die folgenden Einstellungen ein, und wählen Sie dann Hinzufügen aus:

    Einstellung Wert
    Front Door-Profil Wählen Sie Ihren Front Door-Profilnamen aus.
    Domänen Wählen Sie die Domänen aus, denen Sie die WAF-Richtlinie zuordnen möchten, und wählen Sie dann Hinzufügen aus.

    Screenshot: Seite zum Zuordnen eines Front Door-Profils

    Hinweis

    Wenn die Domäne einer WAF-Richtlinie zugeordnet ist, wird sie abgeblendet angezeigt. Sie müssen zuerst die Domäne aus der zugehörigen Richtlinie entfernen und sie dann wieder einer neuen WAF-Richtlinie zuordnen.

  4. Klicken Sie auf Überprüfen + erstellen und dann auf Erstellen.

Konfigurieren von Web Application Firewall-Regeln (optional)

Ändern des Modus

Wenn Sie eine WAF-Richtlinie erstellen, wird diese standardmäßig im Modus Erkennung betrieben. Im Modus Erkennung blockiert WAF keine Anforderungen. Stattdessen werden Anforderungen, die den WAF-Regeln entsprechen, in WAF-Protokollen aufgezeichnet. Um WAF in Aktion zu sehen, können Sie den Modus von Erkennung in Prävention ändern. Im Modus Prävention werden Anforderungen, die mit Regeln übereinstimmen, die im Standardregelsatz definiert sind, blockiert und in WAF-Protokollen aufgezeichnet.

Screenshot: Abschnitt „Richtlinieneinstellungen“. Die Umschaltfläche für den Modus ist auf „Prävention“ festgelegt.

Benutzerdefinierte Regeln

Sie können eine benutzerdefinierte Regel erstellen, indem Sie im Abschnitt Benutzerdefinierte Regeln die Option Benutzerdefinierte Regel hinzufügen wählen. Die Seite für die Konfiguration einer benutzerdefinierten Regel wird geöffnet.

Screenshot: Seite für benutzerdefinierte Regeln

Unten ist ein Beispiel für die Konfiguration einer benutzerdefinierten Regel zum Blockieren einer Anforderung für den Fall angegeben, in dem die Abfragezeichenfolge blockme enthält.

Screenshot: Seite für die Konfiguration einer benutzerdefinierten Regel mit Einstellungen für eine Regel zum Überprüfen, ob die Variable „QueryString“ den Wert „blockme“ enthält

Standardregelsatz

Der von Azure verwaltete Standardregelsatz ist standardmäßig aktiviert. Die aktuelle Standardversion ist DefaultRuleSet_1.0. Unter WAF verwaltete Regeln, Zuweisung ist der neueste verfügbare Regelsatz Microsoft_DefaultRuleSet_1 1 in der Dropdown-Liste verfügbar.

Um eine einzelne Regel zu deaktivieren, aktivieren Sie das Kontrollkästchen vor der Regelnummer, und wählen Sie oben auf der Seite Deaktivieren aus. Um Aktionstypen für einzelne Regeln zu ändern, aktivieren Sie das Kontrollkästchen vor der Regelnummer, und wählen Sie dann oben auf der Seite Aktion ändern aus.

Screenshot: Seite „Verwaltete Regeln“ mit einem Regelsatz, Regelgruppen, Regeln und Schaltflächen für das Aktivieren, Deaktivieren und Ändern von Aktionen

Bereinigen von Ressourcen

Entfernen Sie die Ressourcengruppe und alle dazugehörigen Ressourcen, wenn Sie sie nicht mehr benötigen.

Nächste Schritte