Zelfstudie: WAF-beleid voor geofilters instellen voor uw Front Door

In deze zelfstudie leert u hoe u Azure PowerShell gebruikt om een voorbeeldbeleid voor geofilters te maken en het beleid koppelt aan uw bestaande front-endhost van uw Front Door. In dit voorbeeldbeleid voor geofilters worden aanvragen uit alle andere landen/regio's, met uitzondering van de Verenigde Staten, geblokkeerd.

In deze zelfstudie leert u het volgende:

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Vereisten

• Voordat u begint met het instellen van een beleid voor geofilters, stelt u uw PowerShell-omgeving in en maakt u een Front Door-profiel.
• Maak Front Door door de instructies op te volgen in Quickstart: Een Front Door-profiel maken.

Overeenkomstvoorwaarde voor geofilters definiëren

Maak een voorbeeld van een overeenkomstvoorwaarde waarmee aanvragen worden geselecteerd die niet afkomstig zijn van 'US' (VS) met New-AzFrontDoorWafMatchConditionObject op parameters bij het maken van een overeenkomstvoorwaarde. Toewijzing tweeletterige land-/regiocodes aan land/regio worden hier vermeld.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable RemoteAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Overeenkomstvoorwaarde voor geofilter toevoegen aan een regel met Actie en Prioriteit

Maak vervolgens een CustomRule-object nonUSBlockRule op basis van de overeenkomstvoorwaarde, een Actie en een Prioriteit met behulp van New-AzFrontDoorWafCustomRuleObject. Een CustomRule kan meerdere overeenkomstvoorwaarden hebben. In dit voorbeeld is Actie ingesteld op Blokkeren en is Prioriteit ingesteld op 1, de hoogste prioriteit.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Regels toevoegen aan een beleid

Zoek de naam van de resourcegroep die het Front Door-profiel bevat met behulp van Get-AzResourceGroup. Maak vervolgens een geoPolicy-beleidsobject met nonUSBlockRule met behulp van New-AzFrontDoorWafPolicy in de opgegeven resourcegroep die het Front Door-profiel bevat. U moet een unieke naam opgeven voor het beleid voor geofilters.

In het onderstaande voorbeeld wordt de naam van de resourcegroep FrontDoorQS_rg0 gebruikt in de veronderstelling dat u het Front Door-profiel hebt gemaakt met behulp van de instructies in het artikel Quickstart: Een Front Door maken. Vervang in het onderstaande voorbeeld de beleidsnaam geoPolicyAllowUSOnly door een unieke beleidsnaam.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName FrontDoorQS_rg0 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

WAF-beleid koppelen aan een front-endhost van Front Door

Koppel het WAF-beleidobject aan de bestaande front-endhost van Front Door en werk de eigenschappen van Front Door bij.

Als u dit wilt doen, haalt u eerst uw Front Door-object op met behulp van Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName FrontDoorQS_rg0
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Stel vervolgens de front-end-eigenschap WebApplicationFirewallPolicyLink in op de resourceId van de geoPolicygebruikte Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Resources opschonen

In de voorgaande stappen hebt u een geo-filterregel geconfigureerd die is gekoppeld aan een WAF-beleid. Vervolgens koppelde u het beleid aan een frontend-host van uw Front Door. Als u de geo-filterregel of het WAF-beleid niet meer nodig hebt, moet u eerst het beleid loskoppelen van de frontend-host voordat het WAF-beleid kan worden verwijderd.

Volgende stappen

Ga verder met de volgende zelfstudie voor meer informatie over het configureren van een Web Application Firewall voor uw Front Door.