Tutorial: Creación de una directiva de firewall de aplicaciones web en Azure Front Door mediante Azure PortalTutorial: Create a Web Application Firewall policy on Azure Front Door using the Azure portal

En este tutorial se muestra cómo crear una directiva de Azure Web Application Firewall (WAF) básica y aplicarla a un host de front-end en Azure Front Door.This tutorial shows you how to create a basic Azure Web Application Firewall (WAF) policy and apply it to a front-end host at Azure Front Door.

En este tutorial, aprenderá a:In this tutorial, you learn how to:

  • Creación de una directiva WAFCreate a WAF policy
  • Asociarla a un host de front-endAssociate it with a frontend host
  • Configurar las reglas de WAFConfigure WAF rules

PrerrequisitosPrerequisites

Cree una instancia de Front Door o un perfil de Front Door Estándar o Premium.Create a Front Door or a Front Door Standard/Premium profile.

Creación de una directiva de firewall de aplicaciones webCreate a Web Application Firewall policy

En primer lugar, en el portal, cree una directiva WAF con un conjunto de reglas predeterminado (DRS) administrado.First, create a basic WAF policy with managed Default Rule Set (DRS) by using the portal.

  1. En la parte superior izquierda de la pantalla, seleccione Crear un recurso, busque WAF, seleccione Firewall de aplicaciones web (WAF) y seleccione Crear.On the top left-hand side of the screen, select Create a resource > search for WAF > select Web Application Firewall (WAF) > select Create.

  2. En la pestaña Datos básicos de la página Crear una directiva WAF, escriba o seleccione la siguiente información, acepte los valores predeterminados para el resto de la configuración y, luego, seleccione Revisar y crear:In the Basics tab of the Create a WAF policy page, enter or select the following information, accept the defaults for the remaining settings, and then select Review + create:

    ConfiguraciónSetting ValueValue
    Directiva dePolicy for Seleccione WAF global (Front Door) .Select Global WAF (Front Door).
    SKU de Front DoorFront Door SKU Seleccione entre la SKU Básica, Estándar y Premium.Select between basic, standard and premium SKU.
    SubscriptionSubscription Seleccione el nombre de la suscripción a Front Door.Select your Front Door subscription name.
    Resource groupResource group Seleccione el nombre del grupo de recursos de Front Door.Select your Front Door resource group name.
    Nombre de la directivaPolicy name Escriba un nombre único para la directiva WAF.Enter a unique name for your WAF policy.
    Estado de directivaPolicy state Establézcalo como Habilitado.Set as Enabled.

    Captura de pantalla de la página Crear una directiva de W A F, con el botón Revisar y crear, y cuadros de lista para la suscripción, el grupo de recursos y el nombre de la directiva.

  3. En la pestaña Association (Asociación) de la página Create a WAF policy (Crear una directiva WAF), seleccione + Associate a Front Door profile (+ Asociar un perfil de Front Door), escriba la siguiente configuración y, a continuación, seleccione Add (Agregar):In the Association tab of the Create a WAF policy page, select + Associate a Front Door profile, enter the following settings, and then select Add:

    ConfiguraciónSetting ValorValue
    Perfil de Front DoorFront door profile Seleccione el nombre de su perfil de Front Door.Select your Front Door profile name.
    DominiosDomains Seleccione los dominios a los que desea asociar la directiva WAF y, a continuación, seleccione Agregar.Select the domains you want to associate the WAF policy to, then select Add.

    Captura de pantalla de la página para asociar un perfil de Front Door.

    Nota

    Si el dominio está asociado a una directiva WAF, se muestra como atenuado. Debe quitar primero el dominio de la directiva asociada y, a continuación, volver a asociarlo a una nueva directiva WAF.If the domain is associated to a WAF policy, it is shown as grayed out. You must first remove the domain from the associated policy, and then re-associate the domain to a new WAF policy.

  4. Seleccione Revisar y crear y, luego, Crear.Select Review + create, then select Create.

Configuración de las reglas del firewall de aplicaciones web (opcional)Configure Web Application Firewall rules (optional)

Cambio del modoChange mode

Cuando se crea una directiva WAF, de forma predeterminada, esta está en modo Detección.When you create a WAF policy, by the default WAF policy is in Detection mode. En el modo Detección, WAF no bloquea las solicitudes, sino que las solicitudes que coinciden con las reglas de WAF se registran en los registros de WAF.In Detection mode, WAF does not block any requests, instead, requests matching the WAF rules are logged at WAF logs. Para ver WAF en acción, puede cambiar la configuración del modo de Detección a Prevención.To see WAF in action, you can change the mode settings from Detection to Prevention. En el modo Prevención, las solicitudes que coinciden con las reglas que se definen en el conjunto de reglas predeterminado (DRS) se bloquean y se registran en los registros de WAF.In Prevention mode, requests that match rules that are defined in Default Rule Set (DRS) are blocked and logged at WAF logs.

Captura de pantalla de la sección de configuración de la directiva. El conmutador Modo está establecido en Prevención.

Reglas personalizadasCustom rules

Puede crear una regla personalizada si selecciona Agregar regla personalizada bajo la sección Reglas personalizadas.You can create a custom rule by selecting Add custom rule under the Custom rules section. De esta forma se inicia la página de configuración de reglas personalizadas.This launches the custom rule configuration page.

Captura de pantalla de la página de reglas personalizadas.

A continuación se presenta un ejemplo de cómo configurar una regla personalizada para bloquear una solicitud si la cadena de consulta contiene blockme.Below is an example of configuring a custom rule to block a request if the query string contains blockme.

Captura de pantalla de la página de configuración de regla personalizada que muestra la configuración de una regla que comprueba si la variable QueryString contiene el valor blockme.

Conjunto de reglas predeterminado (DRS)Default Rule Set (DRS)

El conjunto de reglas predeterminado administrado por Azure está habilitado de forma predeterminada.Azure-managed Default Rule Set is enabled by default. La versión predeterminada actual es DefaultRuleSet_1.0.Current default version is DefaultRuleSet_1.0. En WAF, en Reglas administradas, Asignar, el conjunto de reglas Microsoft_DefaultRuleSet_1.1 está disponible en la lista desplegable.From WAF Managed rules, Assign, recently available ruleset Microsoft_DefaultRuleSet_1.1 is available in the drop down list.

Para deshabilitar una regla individual, seleccione la casilla situada junto al número de la regla y seleccione Deshabilitar en la parte superior de la página.To disable an individual rule, select the check box in front of the rule number, and select Disable at the top of the page. Para cambiar los tipos de acciones para reglas individuales dentro del conjunto de reglas, active la casilla situada junto al número de la regla y, a continuación, seleccione la opción Cambiar acción en la parte superior de la página.To change actions types for individual rules within the rule set, select the check box in front of the rule number, and then select the Change action at the top of the page.

Captura de pantalla de la página de reglas administradas que muestra un conjunto de reglas, grupos de reglas, reglas y los botones Habilitar, Deshabilitar y Cambiar acción.

Limpieza de recursosClean up resources

Cuando ya no los necesite, elimine el grupo de recursos y todos los recursos relacionados.When no longer needed, remove the resource group and all related resources.

Pasos siguientesNext steps