Tutoriel : Créer une stratégie de pare-feu d’applications web dans Azure Front Door à l’aide du portail AzureTutorial: Create a Web Application Firewall policy on Azure Front Door using the Azure portal

Ce tutoriel explique comment créer une stratégie Azure Web Application Firewall (WAF) simple et comment l’appliquer sur un hôte front-end dans Azure Front Door.This tutorial shows you how to create a basic Azure Web Application Firewall (WAF) policy and apply it to a front-end host at Azure Front Door.

Dans ce tutoriel, vous allez apprendre à :In this tutorial, you learn how to:

  • Créer une stratégie de pare-feu d’applications web (WAF)Create a WAF policy
  • Associer la stratégie à un hôte front-endAssociate it with a frontend host
  • Configurer des règles WAFConfigure WAF rules

PrérequisPrerequisites

Créez un profil Front Door ou Front Door Standard/Premium.Create a Front Door or a Front Door Standard/Premium profile.

Créer une stratégie de pare-feu d’applications webCreate a Web Application Firewall policy

Commencez par créer une stratégie WAF de base avec un ensemble de règles managées par défaut à partir du portail.First, create a basic WAF policy with managed Default Rule Set (DRS) by using the portal.

  1. En haut à gauche de l’écran, sélectionnez Créer une ressource > recherchez WAF > sélectionnez Pare-feu d’applications web (WAF)  > sélectionnez Créer.On the top left-hand side of the screen, select Create a resource > search for WAF > select Web Application Firewall (WAF) > select Create.

  2. Sous l’onglet De base dans la page Créer une stratégie WAF, entrez ou sélectionnez les informations suivantes, acceptez les valeurs par défaut pour les autres paramètres, puis sélectionnez Vérifier + créer :In the Basics tab of the Create a WAF policy page, enter or select the following information, accept the defaults for the remaining settings, and then select Review + create:

    ParamètreSetting ValeurValue
    Stratégie pourPolicy for Sélectionnez WAF global (Front Door) .Select Global WAF (Front Door).
    Référence SKU Front DoorFront Door SKU Choisissez entre une référence SKU de base, Standard et Premium.Select between basic, standard and premium SKU.
    AbonnementSubscription Sélectionnez le nom de votre abonnement Front Door.Select your Front Door subscription name.
    Resource groupResource group Sélectionnez le nom de votre groupe de ressources Front Door.Select your Front Door resource group name.
    Nom de stratégiePolicy name Entrez un nom unique pour votre stratégie WAF.Enter a unique name for your WAF policy.
    État de la stratégiePolicy state Défini sur Activé.Set as Enabled.

    Capture d’écran de la page Créer une stratégie WAF, avec le bouton Vérifier + créer et des zones de liste pour l’abonnement, le groupe de ressources et le nom de la stratégie.

  3. Sous l’onglet Association de la page Créer une stratégie WAF, sélectionnez + Associer un profil Front Door, entrez les paramètres suivants, puis sélectionnez Ajouter :In the Association tab of the Create a WAF policy page, select + Associate a Front Door profile, enter the following settings, and then select Add:

    ParamètreSetting ValeurValue
    Profil Front DoorFront door profile Sélectionnez le nom de votre profil Front Door.Select your Front Door profile name.
    DomainesDomains Sélectionnez les domaines auxquels vous voulez associer la stratégie WAF, puis sélectionnez Ajouter.Select the domains you want to associate the WAF policy to, then select Add.

    Capture d’écran de la page Profil Front Door associée.

    Notes

    Si le domaine est associé à une stratégie WAF, il apparaît en grisé. Vous devez d’abord supprimer le domaine de la stratégie associée, puis le réassocier à une nouvelle stratégie WAF.If the domain is associated to a WAF policy, it is shown as grayed out. You must first remove the domain from the associated policy, and then re-associate the domain to a new WAF policy.

  4. Sélectionnez Vérifier + créer, puis sélectionnez Créer.Select Review + create, then select Create.

Configurer des règles de pare-feu d’applications web (facultatif)Configure Web Application Firewall rules (optional)

Changer de modeChange mode

Quand vous créez une stratégie WAF, celle-ci est par défaut en mode Détection.When you create a WAF policy, by the default WAF policy is in Detection mode. En mode Détection, la stratégie WAF ne bloque aucune requête, mais elle enregistre les requêtes correspondant aux règles WAF dans les journaux WAF.In Detection mode, WAF does not block any requests, instead, requests matching the WAF rules are logged at WAF logs. Pour voir le fonctionnement de WAF, passez du mode Détection au mode Prévention.To see WAF in action, you can change the mode settings from Detection to Prevention. En mode Prévention, les requêtes qui correspondent à des règles définies dans un ensemble de règles par défaut sont bloquées et enregistrées dans les journaux WAF.In Prevention mode, requests that match rules that are defined in Default Rule Set (DRS) are blocked and logged at WAF logs.

Capture d’écran de la section Paramètres de stratégie. Le mode est défini sur Prévention.

Règles personnaliséesCustom rules

Vous pouvez créer une règle personnalisée en sélectionnant Ajouter une règle personnalisée sous la section Règles personnalisées.You can create a custom rule by selecting Add custom rule under the Custom rules section. Cette action ouvre la page de configuration d’une règle personnalisée.This launches the custom rule configuration page.

Capture d’écran de la page des règles personnalisées.

Voici un exemple de configuration d’une règle personnalisée qui bloque une requête si la chaîne de requête contient blockme.Below is an example of configuring a custom rule to block a request if the query string contains blockme.

Capture d’écran de la page de configuration des règles personnalisées montrant les paramètres d’une règle qui vérifie si la variable QueryString contient la valeur blockme.

Ensemble de règles par défautDefault Rule Set (DRS)

L’ensemble de règles par défaut managées par Azure est activé par défaut.Azure-managed Default Rule Set is enabled by default. La version par défaut actuelle est DefaultRuleSet_1.0.Current default version is DefaultRuleSet_1.0. Dans Règles gérées de WAF, Attribuer, le nouvel ensemble de règles Microsoft_DefaultRuleSet_1.1 est disponible dans la liste déroulante.From WAF Managed rules, Assign, recently available ruleset Microsoft_DefaultRuleSet_1.1 is available in the drop down list.

Pour désactiver une règle spécifique, cochez la case située devant le numéro de la règle, puis sélectionnez Désactiver en haut de la page.To disable an individual rule, select the check box in front of the rule number, and select Disable at the top of the page. Pour changer les types d’action associés à des règles spécifiques dans l’ensemble de règles, cochez la case située devant le numéro de la règle, puis sélectionnez Changer l’action en haut de la page.To change actions types for individual rules within the rule set, select the check box in front of the rule number, and then select the Change action at the top of the page.

Capture d’écran de la page Règles managées montrant un ensemble de règles, des groupes de règles, des règles, ainsi que les boutons Activer, Désactiver et Changer l’action.

Nettoyer les ressourcesClean up resources

Quand vous n’en avez plus besoin, supprimez le groupe de ressources et toutes les ressources associées.When no longer needed, remove the resource group and all related resources.

Étapes suivantesNext steps