Configurar uma política WAF de filtragem geográfica para o Azure Front Door

Este tutorial mostra como utilizar Azure PowerShell para criar uma política de filtragem geográfica de exemplo e associar a política ao anfitrião de front-end do Azure Front Door existente. Esta política de filtragem geográfica de exemplo bloqueia os pedidos de todos os outros países ou regiões, exceto o Estados Unidos.

Se não tiver uma subscrição do Azure, crie uma conta gratuita agora.

Pré-requisitos

Antes de começar a configurar uma política de filtro geográfico, configure o seu ambiente do PowerShell e crie um perfil do Azure Front Door.

Configurar o ambiente do PowerShell

O Azure PowerShell fornece um conjunto de cmdlets que utilizam o modelo do Azure Resource Manager para gerir os recursos do Azure.

Pode instalar o Azure PowerShell no seu computador local e utilizá-lo em qualquer sessão do PowerShell. Siga as instruções na página para iniciar sessão com as suas credenciais do Azure. Em seguida, instale o módulo do Az PowerShell.

Ligar ao Azure com uma caixa de diálogo interativa para iniciar sessão

Install-Module -Name Az
Connect-AzAccount

Certifique-se de que tem a versão atual do PowerShellGet instalada. Execute o seguinte comando e reabra o PowerShell.

Install-Module PowerShellGet -Force -AllowClobber

Instalar o módulo Az.FrontDoor

Install-Module -Name Az.FrontDoor

Criar um perfil do Azure Front Door

Crie um perfil do Azure Front Door ao seguir as instruções descritas em Início Rápido: Criar um perfil do Azure Front Door.

Definir uma condição de correspondência de filtragem geográfica

Crie uma condição de correspondência de exemplo que selecione pedidos que não são provenientes de "EUA" com New-AzFrontDoorWafMatchConditionObject em parâmetros quando cria uma condição de correspondência.

Os códigos de país ou região de duas letras para o mapeamento de país ou região são fornecidos em O que é a filtragem geográfica num domínio do Azure Front Door?.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Adicionar uma condição de correspondência de filtragem geográfica a uma regra com uma ação e uma prioridade

Crie um CustomRule objeto nonUSBlockRule com base na condição de correspondência, numa ação e numa prioridade com New-AzFrontDoorWafCustomRuleObject. Uma regra personalizada pode ter várias condições de correspondência. Neste exemplo, Action está definido como Block. Priority está definido como 1, que é a prioridade mais alta.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Adicionar regras a uma política

Localize o nome do grupo de recursos que contém o perfil do Azure Front Door com Get-AzResourceGroup. Em seguida, crie um geoPolicy objeto que contenha nonUSBlockRule com New-AzFrontDoorWafPolicy no grupo de recursos especificado que contém o perfil do Azure Front Door. Tem de fornecer um nome exclusivo para a política geográfica.

O exemplo seguinte utiliza o nome myResourceGroupFD1 do grupo de recursos com o pressuposto de que criou o perfil do Azure Front Door com as instruções fornecidas no Início Rápido: Criar um Azure Front Door. No exemplo seguinte, substitua o nome geoPolicyAllowUSOnly da política por um nome de política exclusivo.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Ligar uma política WAF a um anfitrião de front-end do Azure Front Door

Ligue o objeto de política WAF ao anfitrião de front-end do Azure Front Door existente. Atualizar as propriedades do Azure Front Door.

Para tal, obtenha primeiro o objeto do Azure Front Door com Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Em seguida, defina a propriedade de front-end WebApplicationFirewallPolicyLink para o ID de recurso da política geográfica com Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Nota

Só tem de definir a WebApplicationFirewallPolicyLink propriedade uma vez para ligar uma política WAF a um anfitrião de front-end do Azure Front Door. As atualizações de política subsequentes são aplicadas automaticamente ao anfitrião de front-end.

Passos seguintes

• Saiba mais sobre o Azure Firewall de Aplicações Web.
• Saiba como criar uma instância do Azure Front Door.