Configurare un criterio WAF con filtro geografico per Frontdoor di Azure

  • Articolo

Questa esercitazione illustra come usare Azure PowerShell per creare criteri di filtro geografico di esempio e associare i criteri all'host front-end di Frontdoor di Azure esistente. Questo criterio di filtro geografico di esempio blocca le richieste da tutti gli altri paesi o aree geografiche, ad eccezione del Stati Uniti.

Se non si ha una sottoscrizione di Azure, creare ora un account gratuito.

Prerequisiti

Prima di iniziare a configurare un criterio di filtro geografico, configurare l'ambiente di PowerShell e creare un profilo frontdoor di Azure.

Configurare l'ambiente PowerShell

Azure PowerShell offre un set di cmdlet che usano il modello Azure Resource Manager per la gestione delle risorse di Azure.

È possibile installare Azure PowerShell nel computer locale e usarlo in qualsiasi sessione di PowerShell. Seguire le istruzioni nella pagina per accedere con le credenziali di Azure. Installare quindi il modulo Az PowerShell.

Connettersi ad Azure con una finestra di dialogo interattiva per l'accesso

Install-Module -Name Az
Connect-AzAccount

Assicurarsi di avere la versione corrente di PowerShellGet installata. Eseguire il comando seguente e riaprire PowerShell.

Install-Module PowerShellGet -Force -AllowClobber

Installare il modulo Az.FrontDoor

Install-Module -Name Az.FrontDoor

Creare un profilo frontdoor di Azure

Creare un profilo frontdoor di Azure seguendo le istruzioni descritte in Avvio rapido: Creare un profilo frontdoor di Azure.

Definire una condizione di corrispondenza di filtro geografico

Creare una condizione di corrispondenza di esempio che seleziona le richieste non provenienti da "US" usando New-AzFrontDoorWafMatchConditionObject sui parametri quando si crea una condizione di corrispondenza.

Vengono forniti codici paese o area geografica a un paese o a un'area geografica in Che cos'è il filtro geografico in un dominio per Frontdoor di Azure?

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Aggiungere una condizione di corrispondenza di filtro geografico a una regola con un'azione e una priorità

Creare un CustomRule oggetto nonUSBlockRule basato sulla condizione di corrispondenza, un'azione e una priorità usando New-AzFrontDoorWafCustomRuleObject. Una regola personalizzata può avere più condizioni di corrispondenza. In questo esempio, Action è impostato su Block. Priority è impostato su 1, che è la priorità più alta.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Aggiungere regole a un criterio

Trovare il nome del gruppo di risorse che contiene il profilo frontdoor di Azure usando Get-AzResourceGroup. Creare quindi un geoPolicy oggetto che contiene nonUSBlockRule usando New-AzFrontDoorWafPolicy nel gruppo di risorse specificato che contiene il profilo frontdoor di Azure. È necessario specificare un nome univoco per il criterio geografico.

Nell'esempio seguente viene usato il nome myResourceGroupFD1 del gruppo di risorse con il presupposto che sia stato creato il profilo frontdoor di Azure usando le istruzioni fornite in Avvio rapido: Creare una frontdoor di Azure. Nell'esempio seguente sostituire il nome del criterio con un nome geoPolicyAllowUSOnly di criterio univoco.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Collegare l'oggetto criteri WAF all'host front-end di Frontdoor di Azure esistente. Aggiornare le proprietà di Frontdoor di Azure.

A tale scopo, recuperare prima di tutto l'oggetto Frontdoor di Azure usando Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Impostare quindi la proprietà front-end WebApplicationFirewallPolicyLink sull'ID risorsa dei criteri geografici usando Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Nota

È necessario impostare la WebApplicationFirewallPolicyLink proprietà una sola volta per collegare un criterio WAF a un host front-end di Azure Frontdoor. Gli aggiornamenti dei criteri successivi vengono applicati automaticamente all'host front-end.

Passaggi successivi