Sdílet prostřednictvím

Kurz: Rychlé škálování a ochrana webové aplikace pomocí služby Azure Front Door a firewallu webových aplikací Azure (WAF)

  • Článek

Důležité

Služba Azure Front Door (Classic) bude vyřazena 31. března 2027. Abyste se vyhnuli přerušení služeb, je důležité do března 2027 migrovat profily služby Azure Front Door (Classic) na úroveň Azure Front Door Standard nebo Premium. Další informace najdete v části Vyřazení služby Azure Front Door (Classic).

U webových aplikací často dochází k nárůstům provozu a škodlivým útokům, jako jsou útoky na dostupnost služby. Azure Front Door s Azure WAF může pomoct škálovat aplikaci a chránit ji před těmito hrozbami. Tento kurz vás provede konfigurací služby Azure Front Door s Azure WAF pro libovolnou webovou aplikaci bez ohledu na to, jestli běží uvnitř Azure nebo mimo ni.

Pro účely tohoto kurzu používáme Azure CLI. Můžete také použít Azure Portal, Azure PowerShell, Azure Resource Manager nebo rozhraní Azure REST API.

V tomto kurzu se naučíte:

  • Vytvoření služby Front Door
  • Vytvořte zásadu Azure WAF.
  • Konfigurace sad pravidel pro zásady WAF
  • Přidružte zásady WAF ke službě Front Door.
  • Nakonfigurujte vlastní doménu.

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.

Požadavky

  • V tomto kurzu se používá Azure CLI. Začínáme s Azure CLI

    Tip

    Snadný způsob, jak začít s Azure CLI, je použití bashe v Azure Cloud Shellu.

  • Ujistěte se, front-door že je rozšíření přidané do Azure CLI:

    az extension add --name front-door

Poznámka:

Další informace o příkazech použitých v tomto kurzu najdete v referenčních informacích k Azure CLI pro službu Front Door.

Vytvoření prostředku Služby Azure Front Door

az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
  • --backend-address: Plně kvalifikovaný název domény (FQDN) aplikace, kterou chcete chránit, myapplication.contoso.comnapříklad .
  • --accepted-protocols: Protokoly podporované službou Azure Front Door, --accepted-protocols Http Httpsnapříklad .
  • --name: Název prostředku služby Azure Front Door.
  • --resource-group: Skupina prostředků pro tento prostředek Azure Front Door. Přečtěte si další informace o správě skupin prostředků.

hostName Poznamenejte si hodnotu z odpovědi, protože ji budete potřebovat později. Jedná se hostName o název DNS prostředku Služby Azure Front Door.

Vytvoření profilu Azure WAF pro Azure Front Door

az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
  • --name: Název nové zásady Azure WAF.
  • --resource-group: Skupina prostředků pro tento prostředek WAF.

Předchozí příkaz vytvoří zásadu WAF v režimu prevence.

Poznámka:

Nejprve zvažte vytvoření zásad WAF v režimu detekce, abyste mohli sledovat a protokolovat škodlivé požadavky, aniž byste je před přepnutím do režimu prevence blokovali.

ID Poznamenejte si hodnotu z odpovědi, protože ji budete potřebovat později. Měl ID by být v tomto formátu:

/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>

Přidání sad spravovaných pravidel do zásad WAF

Přidejte výchozí sadu pravidel:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0

Přidejte sadu pravidel ochrany robota:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
  • --policy-name: Název prostředku Azure WAF.
  • --resource-group: Skupina prostředků pro prostředek WAF.

Přidružení zásad WAF k prostředku Služby Azure Front Door

az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
  • --name: Název prostředku služby Azure Front Door.
  • --resource-group: Skupina prostředků pro prostředek Azure Front Door.
  • --set: Aktualizujte WebApplicationFirewallPolicyLink atribut pro frontendEndpoint nové ID zásad WAF.

Poznámka:

Pokud nepoužíváte vlastní doménu, můžete přeskočit další část. Poskytněte zákazníkům hostName získané prostředky při vytváření prostředku Azure Front Door.

Konfigurace vlastní domény pro webovou aplikaci

Aktualizujte záznamy DNS tak, aby odkazovat vlastní doménu na službu Azure Front Door hostName. Konkrétní kroky najdete v dokumentaci poskytovatele služeb DNS. Pokud používáte Azure DNS, přečtěte si téma Aktualizace záznamu DNS.

U domén vrcholu zóny (například contoso.com) použijte Azure DNS a typ záznamu aliasu.

Aktualizujte konfiguraci služby Azure Front Door a přidejte vlastní doménu.

Pokud chcete pro vlastní doménu povolit HTTPS, nastavte certifikáty ve službě Azure Front Door.

Uzamknutí webové aplikace

Ujistěte se, že s webovou aplikací můžou komunikovat jenom hrany služby Azure Front Door. Přečtěte si , jak uzamknout přístup k back-endu jenom ke službě Azure Front Door.

Vyčištění prostředků

Pokud už je nepotřebujete, odstraňte skupinu prostředků, front Door a zásadu WAF:

az group delete --name <resource-group>
  • --name: Název skupiny prostředků pro všechny prostředky použité v tomto kurzu.

Další kroky

Informace o řešení potíží se službou Front Door najdete tady:

Řešení běžných potíží se směrováním