Настройка защиты от ботов для Брандмауэра веб-приложений

  • Статья

Azure Брандмауэр веб-приложений (WAF) для Front Door предоставляет правила ботов для выявления хороших ботов и защиты от плохих ботов. Дополнительные сведения о наборе правил защиты от ботов см. в разделе Набор правил защиты ботов.

В этой статье показано, как включить правила защиты от ботов на уровне Azure Front Door "Премиум".

Предварительные требования

Создайте базовую политику WAF для Front Door, выполнив инструкции из статьи Создание политики WAF для Azure Front Door с помощью портала Azure.

Включение набора правил защиты от ботов

  1. В портал Azure перейдите к политике WAF.

  2. Выберите Управляемые правила, а затем — Назначить.

    Снимок экрана: портал Azure с конфигурацией управляемых правил политики WAF и выделенной кнопкой

  3. В раскрывающемся списке Дополнительный набор правил выберите версию набора правил защиты от ботов, которую вы хотите использовать. Обычно рекомендуется использовать самую последнюю версию набора правил.

    Снимок экрана: портал Azure со страницей назначения управляемых правил с выделенным полем раскрывающегося списка

  4. Щелкните Сохранить.

Получение текущей конфигурации политики WAF

Чтобы получить текущую конфигурацию политики WAF, используйте командлет Get-AzFrontDoorWafPolicy . Убедитесь, что вы используете правильное имя группы ресурсов и имя политики WAF для собственной среды.

$frontDoorWafPolicy = Get-AzFrontDoorWafPolicy `
  -ResourceGroupName 'FrontDoorWafPolicy' `
  -Name 'WafPolicy'

Добавление набора правил защиты от бота

Используйте командлет New-AzFrontDoorWafManagedRuleObject , чтобы выбрать набор правил защиты от бота, включая версию набора правил. Затем добавьте набор правил в конфигурацию WAF.

В приведенном ниже примере добавляется версия 1.0 набора правил защиты от бота в конфигурацию WAF.

$botProtectionRuleSet = New-AzFrontDoorWafManagedRuleObject `
  -Type 'Microsoft_BotManagerRuleSet' `
  -Version '1.0'

$frontDoorWafPolicy.ManagedRules.Add($botProtectionRuleSet)

Применение конфигурации

Используйте командлет Update-AzFrontDoorWafPolicy , чтобы обновить политику WAF, чтобы включить созданную выше конфигурацию.

$frontDoorWafPolicy | Update-AzFrontDoorWafPolicy

Включение набора правил защиты от ботов

Используйте команду az network front-door waf-policy managed-rules add, чтобы обновить политику WAF, чтобы добавить набор правил защиты бота.

В приведенном ниже примере к WAF добавляется версия 1.0 набора правил защиты от бота. Убедитесь, что вы используете правильное имя группы ресурсов и имя политики WAF для собственной среды.

az network front-door waf-policy managed-rules add \
  --resource-group FrontDoorWafPolicy \
  --policy-name WafPolicy \
  --type Microsoft_BotManagerRuleSet \
  --version 1.0

В следующем примере файла Bicep показано, как выполнить следующие действия:

  • Создайте политику WAF Front Door.
  • Включите версию 1.0 набора правил защиты от ботов.
param wafPolicyName string = 'WafPolicy'

@description('The mode that the WAF should be deployed using. In "Prevention" mode, the WAF will block requests it detects as malicious. In "Detection" mode, the WAF will not block requests and will simply log the request.')
@allowed([
  'Detection'
  'Prevention'
])
param wafMode string = 'Prevention'

resource wafPolicy 'Microsoft.Network/frontDoorWebApplicationFirewallPolicies@2022-05-01' = {
  name: wafPolicyName
  location: 'Global'
  sku: {
    name: 'Premium_AzureFrontDoor'
  }
  properties: {
    policySettings: {
      enabledState: 'Enabled'
      mode: wafMode
    }
    managedRules: {
      managedRuleSets: [
        {
          ruleSetType: 'Microsoft_BotManagerRuleSet'
          ruleSetVersion: '1.0'
        }
      ]
    }
  }
}

Дальнейшие действия