Configurar a proteção de bots para Firewall de Aplicações Web

  • Artigo

O Azure Firewall de Aplicações Web (WAF) para Front Door fornece regras de bot para identificar bons bots e proteger contra bots incorretos. Para obter mais informações sobre o conjunto de regras de proteção de bots, veja Conjunto de regras de proteção de bots.

Este artigo mostra como ativar as regras de proteção de bots no escalão Premium do Azure Front Door.

Pré-requisitos

Crie uma política waf básica para o Front Door ao seguir as instruções descritas em Criar uma política WAF para o Azure Front Door com o portal do Azure.

Ativar o conjunto de regras de proteção de bots

  1. Na portal do Azure, navegue para a política waf.

  2. Selecione Regras geridas e, em seguida, selecione Atribuir.

    Captura de ecrã do portal do Azure a mostrar a configuração das regras geridas da política WAF e o botão Atribuir realçado.

  3. Na lista pendente Conjunto de regras adicionais , selecione a versão do conjunto de regras de proteção de bots que pretende utilizar. Normalmente, é uma boa prática utilizar a versão mais recente do conjunto de regras.

    Captura de ecrã do portal do Azure a mostrar a página de atribuição de regras geridas, com o campo pendente

  4. Selecione Guardar.

Obter a configuração atual da política WAF

Utilize o cmdlet Get-AzFrontDoorWafPolicy para obter a configuração atual da sua política de WAF. Certifique-se de que utiliza o nome correto do grupo de recursos e o nome da política WAF para o seu próprio ambiente.

$frontDoorWafPolicy = Get-AzFrontDoorWafPolicy `
  -ResourceGroupName 'FrontDoorWafPolicy' `
  -Name 'WafPolicy'

Adicionar o conjunto de regras de proteção de bots

Utilize o cmdlet New-AzFrontDoorWafManagedRuleObject para selecionar o conjunto de regras de proteção do bot, incluindo a versão do conjunto de regras. Em seguida, adicione o conjunto de regras à configuração da WAF.

O exemplo abaixo adiciona a versão 1.0 da regra de proteção do bot definida para a configuração da WAF.

$botProtectionRuleSet = New-AzFrontDoorWafManagedRuleObject `
  -Type 'Microsoft_BotManagerRuleSet' `
  -Version '1.0'

$frontDoorWafPolicy.ManagedRules.Add($botProtectionRuleSet)

Aplicar a configuração

Utilize o cmdlet Update-AzFrontDoorWafPolicy para atualizar a política waf para incluir a configuração que criou acima.

$frontDoorWafPolicy | Update-AzFrontDoorWafPolicy

Ativar o conjunto de regras de proteção de bots

Utilize o comando az network front-door waf-policy managed-rules add para atualizar a política WAF para adicionar o conjunto de regras de proteção de bots.

O exemplo abaixo adiciona a versão 1.0 da regra de proteção do bot definida para a WAF. Certifique-se de que utiliza o nome correto do grupo de recursos e o nome da política WAF para o seu próprio ambiente.

az network front-door waf-policy managed-rules add \
  --resource-group FrontDoorWafPolicy \
  --policy-name WafPolicy \
  --type Microsoft_BotManagerRuleSet \
  --version 1.0

O ficheiro Bicep de exemplo seguinte mostra como efetuar os seguintes passos:

  • Crie uma política WAF do Front Door.
  • Ative a versão 1.0 do conjunto de regras de proteção de bots.
param wafPolicyName string = 'WafPolicy'

@description('The mode that the WAF should be deployed using. In "Prevention" mode, the WAF will block requests it detects as malicious. In "Detection" mode, the WAF will not block requests and will simply log the request.')
@allowed([
  'Detection'
  'Prevention'
])
param wafMode string = 'Prevention'

resource wafPolicy 'Microsoft.Network/frontDoorWebApplicationFirewallPolicies@2022-05-01' = {
  name: wafPolicyName
  location: 'Global'
  sku: {
    name: 'Premium_AzureFrontDoor'
  }
  properties: {
    policySettings: {
      enabledState: 'Enabled'
      mode: wafMode
    }
    managedRules: {
      managedRuleSets: [
        {
          ruleSetType: 'Microsoft_BotManagerRuleSet'
          ruleSetVersion: '1.0'
        }
      ]
    }
  }
}

Passos seguintes