Sdílet prostřednictvím

Nastavení zásad geografického filtrování WAF pro službu Azure Front Door

  • Článek

V tomto kurzu se dozvíte, jak pomocí Azure PowerShellu vytvořit ukázkovou zásadu geografického filtrování a přidružit ji ke stávajícímu hostiteli front-endu služby Azure Front Door. Tato ukázková zásada geografického filtrování blokuje požadavky ze všech ostatních zemí nebo oblastí s výjimkou USA.

Pokud ještě nemáte předplatné Azure, vytvořte si teď bezplatný účet.

Požadavky

Než začnete vytvářet zásady geografického filtrování, nastavte prostředí PowerShellu a vytvořte profil služby Azure Front Door.

Nastavení prostředí PowerShell

Prostředí Azure PowerShell poskytuje sadu rutin, které ke správě vašich prostředků Azure využívají model Azure Resource Manager.

Azure PowerShell můžete nainstalovat na místní počítač a používat v jakékoli relaci PowerShellu. Podle pokynů na stránce se přihlaste pomocí přihlašovacích údajů Azure. Pak nainstalujte modul Az PowerShell.

Připojení k Azure pomocí interaktivního dialogového okna pro přihlášení

Install-Module -Name Az
Connect-AzAccount

Ujistěte se, že máte nainstalovanou aktuální verzi modulu PowerShellGet. Spusťte následující příkaz a znovu otevřete PowerShell.

Install-Module PowerShellGet -Force -AllowClobber

Instalace modulu Az.FrontDoor

Install-Module -Name Az.FrontDoor

Vytvoření profilu služby Azure Front Door

Vytvořte profil služby Azure Front Door podle pokynů popsaných v rychlém startu: Vytvořte profil služby Azure Front Door.

Definování podmínky shody geografického filtrování

Vytvořte ukázkovou podmínku shody, která při vytváření podmínky shody vybere požadavky, které nepocházejí z "USA" pomocí rutiny New-AzFrontDoorWafMatchConditionObject .

Dvoumísmenné kódy zemí nebo oblastí pro mapování zemí nebo oblastí jsou k dispozici v části Co je geografické filtrování v doméně pro Azure Front Door?.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Přidání podmínky shody geografického filtrování do pravidla s akcí a prioritou

Pomocí rutiny New-AzFrontDoorWafCustomRuleObject vytvořte CustomRule objekt nonUSBlockRule na základě podmínky shody, akce a priority. Vlastní pravidlo může mít více podmínek shody. V tomto příkladu Action je nastavena na Blockhodnotu . Priority je nastavena na 1hodnotu , což je nejvyšší priorita.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Přidání pravidel do zásady

Vyhledejte název skupiny prostředků, která obsahuje profil služby Azure Front Door pomocí Get-AzResourceGroup. Dále vytvořte geoPolicy objekt, který obsahuje nonUSBlockRule pomocí New-AzFrontDoorWafPolicy v zadané skupině prostředků, která obsahuje profil služby Azure Front Door. Musíte zadat jedinečný název geografické zásady.

Následující příklad používá název myResourceGroupFD1 skupiny prostředků s předpokladem, že jste vytvořili profil služby Azure Front Door pomocí pokynů uvedených v rychlém startu: Vytvoření služby Azure Front Door. V následujícím příkladu nahraďte název geoPolicyAllowUSOnly zásady jedinečným názvem zásady.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Propojte objekt zásad WAF s existujícím front-endovým hostitelem služby Azure Front Door. Aktualizujte vlastnosti služby Azure Front Door.

Uděláte to tak, že nejprve načtete objekt Služby Azure Front Door pomocí rutiny Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Dále nastavte front-end WebApplicationFirewallPolicyLink vlastnost na ID prostředku geografické zásady pomocí Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Poznámka:

Vlastnost stačí nastavit WebApplicationFirewallPolicyLink jen jednou, aby se zásady WAF propojily s front-endovým hostitelem služby Azure Front Door. Další aktualizace zásad se automaticky použijí na hostitele front-endu.

Další kroky