Delen via

Waf-beleid voor geo-filtering instellen voor Azure Front Door

  • Artikel

In deze zelfstudie ziet u hoe u Azure PowerShell gebruikt om een voorbeeldbeleid voor geofiltering te maken en het beleid te koppelen aan uw bestaande Azure Front Door-front-endhost. Met dit voorbeeldbeleid voor geofiltering worden aanvragen van alle andere landen of regio's geblokkeerd, met uitzondering van de Verenigde Staten.

Als u nog geen abonnement op Azure hebt, maak dan nu een gratis account.

Vereisten

Voordat u een geofilterbeleid gaat instellen, moet u uw PowerShell-omgeving instellen en een Azure Front Door-profiel maken.

Uw PowerShell-omgeving instellen

Azure PowerShell voorziet in een set van cmdlets die gebruikmaken van het Azure Resource Manager-model om uw Azure-resources te beheren.

U kunt Azure PowerShell op uw lokale computer installeren en in elke PowerShell-sessie gebruiken. Volg de instructies op de pagina om u aan te melden met uw Azure-referenties. Installeer vervolgens de Az PowerShell-module.

Verbinding maken met Azure met een interactief dialoogvenster voor aanmelden

Install-Module -Name Az
Connect-AzAccount

Zorg ervoor dat bij u de huidige versie van PowerShellGet is geïnstalleerd. Voer de volgende opdracht uit en open PowerShell opnieuw.

Install-Module PowerShellGet -Force -AllowClobber

De Az.FrontDoor-module installeren

Install-Module -Name Az.FrontDoor

Een Azure Front Door-profiel maken

Maak een Azure Front Door-profiel door de instructies te volgen die worden beschreven in Quickstart: Een Azure Front Door-profiel maken.

Een overeenkomstvoorwaarde voor geofiltering definiëren

Maak een voorbeeld van een overeenkomstvoorwaarde die aanvragen selecteert die niet afkomstig zijn van 'VS' met behulp van New-AzFrontDoorWafMatchConditionObject op parameters wanneer u een overeenkomstvoorwaarde maakt.

Tweeletterige land- of regiocodes aan land- of regiotoewijzing vindt u in Wat is geofiltering op een domein voor Azure Front Door?.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Een overeenkomstvoorwaarde voor geofiltering toevoegen aan een regel met een actie en een prioriteit

Maak een CustomRule object nonUSBlockRule op basis van de overeenkomstvoorwaarde, een actie en een prioriteit met behulp van New-AzFrontDoorWafCustomRuleObject. Een aangepaste regel kan meerdere overeenkomstvoorwaarden hebben. In dit voorbeeld Action is ingesteld op Block. Priority is ingesteld op 1, wat de hoogste prioriteit heeft.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Regels toevoegen aan een beleid

Zoek de naam van de resourcegroep die het Azure Front Door-profiel bevat met behulp van Get-AzResourceGroup. Maak vervolgens een geoPolicy object dat nonUSBlockRule bevat met behulp van New-AzFrontDoorWafPolicy in de opgegeven resourcegroep die het Azure Front Door-profiel bevat. U moet een unieke naam opgeven voor het geo-beleid.

In het volgende voorbeeld wordt de naam myResourceGroupFD1 van de resourcegroep gebruikt met de veronderstelling dat u het Azure Front Door-profiel hebt gemaakt met behulp van de instructies in Quickstart: Een Azure Front Door maken. Vervang in het volgende voorbeeld de beleidsnaam geoPolicyAllowUSOnly door een unieke beleidsnaam.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Koppel het WAF-beleidsobject aan de bestaande Azure Front Door front-endhost. Azure Front Door-eigenschappen bijwerken.

Hiervoor moet u eerst uw Azure Front Door-object ophalen met behulp van Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Stel vervolgens de front-endeigenschap WebApplicationFirewallPolicyLink in op de resource-id van het geo-beleid met behulp van Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Notitie

U hoeft de WebApplicationFirewallPolicyLink eigenschap slechts eenmaal in te stellen om een WAF-beleid te koppelen aan een Azure Front Door front-endhost. Volgende beleidsupdates worden automatisch toegepast op de front-endhost.

Volgende stappen