Menyiapkan kebijakan WAF pemfilteran geografis untuk Azure Front Door

Tutorial ini menunjukkan cara menggunakan Azure PowerShell untuk membuat sampel kebijakan pemfilteran geografis dan mengaitkan kebijakan dengan host front-end Azure Front Door yang ada. Sampel kebijakan pemfilteran geografis ini memblokir permintaan dari semua negara atau wilayah lain kecuali Amerika Serikat.

Jika Anda tidak memiliki langganan Azure, buatlah akun gratis sekarang.

Prasyarat

Sebelum Anda mulai menyiapkan kebijakan filter geografis, siapkan lingkungan PowerShell Anda dan buat profil Azure Front Door.

Menyiapkan lingkungan PowerShell Anda

Azure PowerShell menyediakan satu set cmdlet dengan menggunakan model Azure Resource Manager untuk mengelola sumber daya Azure Anda.

Anda dapat menginstal Azure PowerShell di komputer lokal Anda dan menggunakannya di sesi PowerShell apa pun. Ikuti instruksi di halaman untuk masuk dengan kredensial Azure Anda. Kemudian instal modul Az PowerShell.

Menyambungkan ke Azure dengan dialog interaktif untuk rincian masuk

Install-Module -Name Az
Connect-AzAccount

Pastikan bahwa Anda menginstal PowerShellGet versi terbaru. Jalankan perintah berikut dan buka kembali PowerShell.

Install-Module PowerShellGet -Force -AllowClobber

Menginstal modul Az.FrontDoor

Install-Module -Name Az.FrontDoor

Membuat profil Azure Front Door

Buat profil Azure Front Door dengan mengikuti instruksi yang dijelaskan di Mulai Cepat: Membuat profil Azure Front Door.

Menentukan kondisi kecocokan pemfilteran geografis

Buat contoh kondisi kecocokan yang memilih permintaan yang tidak berasal dari "AS" dengan menggunakan New-AzFrontDoorWafMatchConditionObject pada parameter saat Anda membuat kondisi kecocokan.

Kode negara atau wilayah dua huruf ke pemetaan negara atau wilayah disediakan di Apa itu pemfilteran geografis pada domain untuk Azure Front Door?.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Menambahkan kondisi kecocokan pemfilteran geografis ke aturan dengan tindakan dan prioritas

Buat CustomRule objek nonUSBlockRule berdasarkan kondisi kecocokan, tindakan, dan prioritas dengan menggunakan New-AzFrontDoorWafCustomRuleObject. Aturan kustom dapat memiliki beberapa kondisi kecocokan. Dalam contoh ini, Action diatur ke Block. Priority diatur ke 1, yang merupakan prioritas tertinggi.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Menambahkan aturan ke kebijakan

Temukan nama grup sumber daya yang berisi profil Azure Front Door dengan menggunakan Get-AzResourceGroup. Selanjutnya, buat geoPolicy objek yang berisi nonUSBlockRule dengan menggunakan New-AzFrontDoorWafPolicy di grup sumber daya yang ditentukan yang berisi profil Azure Front Door. Anda harus memberikan nama unik untuk kebijakan geografis.

Contoh berikut menggunakan nama myResourceGroupFD1 grup sumber daya dengan asumsi bahwa Anda telah membuat profil Azure Front Door dengan menggunakan instruksi yang disediakan di Mulai Cepat: Membuat Azure Front Door. Dalam contoh berikut, ganti nama geoPolicyAllowUSOnly kebijakan dengan nama kebijakan unik.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Menautkan kebijakan WAF ke host ujung depan Azure Front Door

Tautkan objek kebijakan WAF ke host front-end Azure Front Door yang ada. Memperbarui properti Azure Front Door.

Untuk melakukannya, pertama-tama ambil objek Azure Front Door Anda dengan menggunakan Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Selanjutnya, atur properti front-end WebApplicationFirewallPolicyLink ke ID sumber daya kebijakan geo dengan menggunakan Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Catatan

Anda hanya perlu mengatur WebApplicationFirewallPolicyLink properti sekali untuk menautkan kebijakan WAF ke host front-end Azure Front Door. Pembaruan kebijakan berikutnya secara otomatis diterapkan ke host front-end.

Langkah berikutnya

• Pelajari tentang Azure Web Application Firewall.
• Pelajari cara membuat instans Azure Front Door.