教學課程:使用 Azure 入口網站在 Azure Front Door 上建立 Web 應用程式防火牆原則

此教學課程說明如何建立基本的 Azure Web 應用程式防火牆 (WAF) 原則,並將其套用至 Azure Front Door 的前端主機。

在本教學課程中,您會了解如何:

  • 建立 WAF 原則
  • 將它與前端主機產生關聯
  • 設定 WAF 規則

Prerequisites

建立 Front DoorFront Door Standard/Premium 設定檔。

建立 Web 應用程式防火牆原則

首先,使用入口網站來建立具有受控預設規則集 (DRS) 的基本 WAF 原則。

  1. 在畫面的左上方,選取 [ 建立資源 ] > 搜尋 WAF > 選取 [ Web 應用程式防火牆] (WAF) > 選取 [ 建立]。

  2. 在 [建立 WAF 原則] 頁面的 [基本資料] 索引標籤中,輸入或選取下列資訊、接受其餘設定的預設值,然後選取 [檢閱 + 建立] :

    設定
    的原則 選取 [ GLOBAL WAF (Front Door)]。
    Front Door SKU 選取 [基本]、[標準] 和 [premium] SKU。
    訂用帳戶 選取您的 Front Door 訂用帳戶名稱。
    資源群組 選取您的 Front Door 資源群組名稱。
    原則名稱 輸入 WAF 原則的唯一名稱。
    原則狀態 設定為 [ 啟用]。

    [建立 WAF 原則] 頁面的螢幕擷取畫面,其中包含訂用帳戶、資源群組及原則名稱的 [檢閱 + 建立] 按鈕和清單方塊。

  3. 在 [建立 WAF 原則] 頁面的 [關聯] 索引標籤中,選取 [ + 關聯 Front Door 設定檔],輸入下列設定,然後選取 [新增]:

    設定
    前門設定檔 選取您的 Front Door 設定檔名稱。
    網域 選取您要與 WAF 原則建立關聯的網域,然後選取 [ 新增]。

    [關聯 Front Door 設定檔] 頁面的螢幕擷取畫面。

    注意

    如果網域與 WAF 原則相關聯,則會顯示為灰色。您必須先從相關聯的原則中移除網域,然後重新建立網域與新 WAF 原則的關聯。

  4. 選取 [檢閱 + 建立] ,然後選取 [建立] 。

設定 Web 應用程式防火牆規則 (選擇性)

變更模式

當您建立 WAF 原則時,預設的 WAF 原則會處於 [偵測] 模式。 在 [偵測] 模式中,WAF 不會封鎖任何要求,而是會將符合 WAF 規則的要求記錄在 WAF 記錄檔中。 若要查看 WAF 的實際效果,您可以將模式設定從 [偵測] 變更為 [預防] 。 在 [預防] 模式中,會封鎖與預設規則集 (DRS) 中定義之規則相符的要求,並記錄在 WAF 記錄檔中。

[原則設定] 區段的螢幕擷取畫面。[模式] 切換設定為 [預防]。

自訂規則

您可以選取 [自訂規則] 區段下的 [新增自訂規則] 來建立自訂規則。 這會啟動 [自訂規則設定] 頁面。

自訂規則頁面的螢幕擷取畫面。

以下範例說明如何設定自訂規則,以在查詢字串包含 blockme 時封鎖要求。

自訂規則組態頁面的螢幕擷取畫面,其中顯示檢查 QueryString 變數是否包含值 blockme 的規則設定。

預設規則集 (DRS)

預設會啟用 Azure 管理的預設規則集。 目前的預設版本為 DefaultRuleSet_1. 0。 從 WAF 的 受控規則,可在下拉式清單中, 指派 最近可用的規則集 Microsoft_DefaultRuleSet_1 .1。

若要停用個別規則,請選取規則編號前面的 核取方塊 ,然後選取頁面頂端的 [ 用]。 若要變更規則集內個別規則的動作類型,請選取規則編號前面的核取方塊,然後選取頁面頂端的 [ 變更] 動作

[受控規則] 頁面的螢幕擷取畫面,其中顯示規則集、規則群組、規則,以及啟用、停用及變更動作按鈕。

清除資源

當不再需要資源時,請移除資源群組及所有相關資源。

下一步