Microsoft.Network FrontDoorWebApplicationFirewallPolicies 2022-05-01
Bicep-Ressourcendefinition
Der FrontDoorWebApplicationFirewallPolicies-Ressourcentyp kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/FrontDoorWebApplicationFirewallPolicies-Ressource zu erstellen, fügen Sie ihrer Vorlage die folgende Bicep hinzu.
resource symbolicname 'Microsoft.Network/FrontDoorWebApplicationFirewallPolicies@2022-05-01' = {
etag: 'string'
location: 'string'
name: 'string'
properties: {
customRules: {
rules: [
{
action: 'string'
enabledState: 'string'
matchConditions: [
{
matchValue: [
'string'
]
matchVariable: 'string'
negateCondition: bool
operator: 'string'
selector: 'string'
transforms: [
'string'
]
}
]
name: 'string'
priority: int
rateLimitDurationInMinutes: int
rateLimitThreshold: int
ruleType: 'string'
}
]
}
managedRules: {
managedRuleSets: [
{
exclusions: [
{
matchVariable: 'string'
selector: 'string'
selectorMatchOperator: 'string'
}
]
ruleGroupOverrides: [
{
exclusions: [
{
matchVariable: 'string'
selector: 'string'
selectorMatchOperator: 'string'
}
]
ruleGroupName: 'string'
rules: [
{
action: 'string'
enabledState: 'string'
exclusions: [
{
matchVariable: 'string'
selector: 'string'
selectorMatchOperator: 'string'
}
]
ruleId: 'string'
}
]
}
]
ruleSetAction: 'string'
ruleSetType: 'string'
ruleSetVersion: 'string'
}
]
}
policySettings: {
customBlockResponseBody: 'string'
customBlockResponseStatusCode: int
enabledState: 'string'
mode: 'string'
redirectUrl: 'string'
requestBodyCheck: 'string'
}
}
sku: {
name: 'string'
}
tags: {
{customized property}: 'string'
}
}
Eigenschaftswerte
CustomRule
| Name | Beschreibung | Wert |
|---|---|---|
| Aktion | Beschreibt, welche Aktion angewendet werden soll, wenn die Regel übereinstimmt. | "Zulassen" "AnomalielyScoring" "Block" "Protokoll" 'Umleitung' (erforderlich) |
| enabledState | Beschreibt, ob sich die benutzerdefinierte Regel im aktivierten oder deaktivierten Zustand befindet. Wird standardmäßig aktiviert, falls nicht angegeben. | "Deaktiviert" "Aktiviert" |
| matchConditions | Liste der Übereinstimmungsbedingungen. | MatchCondition[] (erforderlich) |
| Name | Beschreibt den Namen der Regel. | Schnur Zwänge: Max. Länge = |
| Priorität | Beschreibt die Priorität der Regel. Regeln mit einem niedrigeren Wert werden vor Regeln mit einem höheren Wert ausgewertet. | int (erforderlich) |
| rateLimitDurationInMinutes | Zeitfenster zum Zurücksetzen der Anzahl der Ratelimits. Der Standardwert ist 1 Minute. | int Zwänge: Min.-Wert = 0 Max. Wert = 5 |
| rateLimitThreshold | Anzahl der zulässigen Anforderungen pro Client innerhalb des Zeitfensters. | int Zwänge: Min.-Wert = 0 |
| ruleType | Beschreibt den Regeltyp. | 'MatchRule' "RateLimitRule" (erforderlich) |
CustomRuleList
| Name | Beschreibung | Wert |
|---|---|---|
| Regeln | Liste der Regeln | CustomRule-[] |
ManagedRuleExclusion
| Name | Beschreibung | Wert |
|---|---|---|
| matchVariable | Der variable Typ, der ausgeschlossen werden soll. | 'QueryStringArgNames' 'RequestBodyJsonArgNames' 'RequestBodyPostArgNames' 'RequestCookieNames' 'RequestHeaderNames' (erforderlich) |
| Selektor | Selektorwert, für den elemente in der Auflistung dieser Ausschluss gilt. | Zeichenfolge (erforderlich) |
| selectorMatchOperator | Vergleichsoperator, der auf den Selektor angewendet werden soll, wenn angegeben wird, für welche Elemente in der Auflistung dieser Ausschluss gilt. | 'Contains' "EndsWith" "Gleich" 'EqualsAny' "StartsWith" (erforderlich) |
ManagedRuleGroupOverride
| Name | Beschreibung | Wert |
|---|---|---|
| Ausschlüsse | Beschreibt die Ausschlüsse, die auf alle Regeln in der Gruppe angewendet werden. | ManagedRuleExclusion[] |
| ruleGroupName | Beschreibt die zu überschreibende verwaltete Regelgruppe. | Zeichenfolge (erforderlich) |
| Regeln | Liste der Regeln, die deaktiviert werden. Wenn keine Angabe erfolgt, werden alle Regeln in der Gruppe deaktiviert. | ManagedRuleOverride[] |
ManagedRuleOverride
| Name | Beschreibung | Wert |
|---|---|---|
| Aktion | Beschreibt die Außerkraftsetzungsaktion, die angewendet werden soll, wenn regelüberschrieben wird. | "Zulassen" "AnomalielyScoring" "Block" "Protokoll" 'Umleitung' |
| enabledState | Beschreibt, ob sich die verwaltete Regel im aktivierten oder deaktivierten Zustand befindet. Wenn nicht angegeben, wird standardmäßig "Deaktiviert" festgelegt. | "Deaktiviert" "Aktiviert" |
| Ausschlüsse | Beschreibt die Ausschlüsse, die auf diese bestimmte Regel angewendet werden. | ManagedRuleExclusion[] |
| ruleId | Bezeichner für die verwaltete Regel. | Zeichenfolge (erforderlich) |
ManagedRuleSet
| Name | Beschreibung | Wert |
|---|---|---|
| Ausschlüsse | Beschreibt die Ausschlüsse, die auf alle Regeln im Satz angewendet werden. | ManagedRuleExclusion[] |
| ruleGroupOverrides | Definiert die Regelgruppenüberschreibungen, die auf den Regelsatz angewendet werden sollen. | ManagedRuleGroupOverride[] |
| ruleSetAction | Definiert die Regelsatzaktion. | "Block" "Protokoll" 'Umleitung' |
| ruleSetType | Definiert den zu verwendenden Regelsatztyp. | Zeichenfolge (erforderlich) |
| ruleSetVersion | Definiert die version des zu verwendenden Regelsatzes. | Zeichenfolge (erforderlich) |
ManagedRuleSetList
| Name | Beschreibung | Wert |
|---|---|---|
| managedRuleSets | Liste der Regelsätze. | ManagedRuleSet-[] |
MatchCondition
| Name | Beschreibung | Wert |
|---|---|---|
| matchValue | Liste möglicher Übereinstimmungswerte. | string[] (erforderlich) |
| matchVariable | Anforderungsvariable, mit der verglichen werden soll. | "Cookies" 'PostArgs' 'QueryString' 'RemoteAddr' 'RequestBody' 'RequestHeader' 'RequestMethod' 'RequestUri' "SocketAddr" (erforderlich) |
| negateCondition | Beschreibt, ob das Ergebnis dieser Bedingung negiert werden soll. | Bool |
| Operator | Vergleichstyp, der für den Abgleich mit dem Variablenwert verwendet werden soll. | "Beliebig" "BeginsWith" 'Contains' "EndsWith" "Gleich" "GeoMatch" "GreaterThan" "GreaterThanOrEqual" "IPMatch" "LessThan" "LessThanOrEqual" "RegEx" (erforderlich) |
| Selektor | Übereinstimmung mit einem bestimmten Schlüssel aus den Variablen QueryString, PostArgs, RequestHeader oder Cookies. Der Standardwert ist NULL. | Schnur |
| Verwandelt | Liste der Transformationen. | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "Kleinbuchstabe" 'RemoveNulls' "Kürzen" "Großbuchstaben" 'UrlDecode' 'UrlEncode' |
Microsoft.Network/FrontDoorWebApplicationFirewallPolicies
| Name | Beschreibung | Wert |
|---|---|---|
| etag | Ruft eine eindeutige schreibgeschützte Zeichenfolge ab, die sich ändert, wenn die Ressource aktualisiert wird. | Schnur |
| Ort | Ressourcenspeicherort. | Schnur |
| Name | Der Ressourcenname | Schnur Zwänge: Max. Länge = (erforderlich) |
| Eigenschaften | Eigenschaften der Webanwendungsfirewallrichtlinie. | WebApplicationFirewallPolicyProperties |
| Sku | Die Preisstufe der Webanwendungsfirewallrichtlinie. Wird standardmäßig Classic_AzureFrontDoor, falls nicht angegeben, festgelegt. | Sku- |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
PolicySettings
| Name | Beschreibung | Wert |
|---|---|---|
| customBlockResponseBody | Wenn der Aktionstyp blockiert ist, kann der Kunde den Antworttext außer Kraft setzen. Der Text muss in base64-Codierung angegeben werden. | Schnur Zwänge: Pattern = ^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})$ |
| customBlockResponseStatusCode | Wenn der Aktionstyp blockiert ist, kann der Kunde den Antwortstatuscode außer Kraft setzen. | Int |
| enabledState | Beschreibt, ob sich die Richtlinie im aktivierten oder deaktivierten Zustand befindet. Wird standardmäßig aktiviert, falls nicht angegeben. | "Deaktiviert" "Aktiviert" |
| Modus | Beschreibt, ob er sich im Erkennungsmodus oder im Präventionsmodus auf Richtlinienebene befindet. | "Erkennung" "Prävention" |
| redirectUrl | Wenn der Aktionstyp umgeleitet wird, stellt dieses Feld die Umleitungs-URL für den Client dar. | Schnur |
| requestBodyCheck | Beschreibt, ob vom Richtlinien verwaltete Regeln den Anforderungstextinhalt überprüfen. | "Deaktiviert" "Aktiviert" |
ResourceTags
| Name | Beschreibung | Wert |
|---|
Sku
| Name | Beschreibung | Wert |
|---|---|---|
| Name | Name des Preisniveaus. | "Classic_AzureFrontDoor" "Premium_AzureFrontDoor" "Standard_AzureFrontDoor" |
WebApplicationFirewallPolicyProperties
| Name | Beschreibung | Wert |
|---|---|---|
| customRules | Beschreibt benutzerdefinierte Regeln innerhalb der Richtlinie. | CustomRuleList- |
| managedRules | Beschreibt verwaltete Regeln innerhalb der Richtlinie. | ManagedRuleSetList- |
| policySettings | Beschreibt die Einstellungen für die Richtlinie. | PolicySettings- |
Schnellstartbeispiele
Die folgenden Schnellstartbeispiele stellen diesen Ressourcentyp bereit.
| Bicep-Datei | Beschreibung |
|---|---|
| Konfigurieren der verwalteten WAF-StandardeinstellungRuleSet für azure Front Door- | Diese Vorlage konfiguriert waF managed defaultRuleSet für Azure Front Door |
| Front Door Premium mit Blob-Ursprung und privatem Link- | Diese Vorlage erstellt einen Front Door Premium- und einen Azure Storage-BLOB-Container und verwendet einen privaten Endpunkt für Front Door, um Datenverkehr an das Speicherkonto zu senden. |
| Front Door Premium mit WAF- und von Microsoft verwalteten Regelsätzen | Diese Vorlage erstellt eine Front Door Premium einschließlich einer Webanwendungsfirewall mit den von Microsoft verwalteten Standard- und Bot-Schutzregelsätzen. |
| Front Door Standard/Premium mit Geofilterung | Diese Vorlage erstellt einen Front Door Standard/Premium einschließlich einer Webanwendungsfirewall mit einer Geofilterregel. |
| Front Door Standard/Premium mit | Diese Vorlage erstellt einen Front Door Standard/Premium einschließlich einer Webanwendungsfirewall mit einer Satzgrenzregel. |
| Front Door Standard/Premium mit WAF und benutzerdefinierter Regel | Diese Vorlage erstellt einen Front Door Standard/Premium einschließlich einer Webanwendungsfirewall mit einer benutzerdefinierten Regel. |
| Front Door mit BLOB-Ursprüngen für BLOB-Uploads | Diese Vorlage erstellt eine Front Door mit Ursprüngen, Routen und RuleSets und einem Azure Storage-Konto mit BLOB-Containern. Front Door sendet Datenverkehr an die Speicherkonten beim Hochladen von Dateien. |
| FrontDoor CDN mit WAF, Domänen und Protokollen an EventHub- | Diese Vorlage erstellt ein neues Azure FrontDoor CDN-Profil. Erstellen Sie WAF mit benutzerdefinierten und verwalteten Regeln, cdn-Routen, Ursprung und Gruppen mit ihrer Zuordnung zu WAF und Routen, konfiguriert benutzerdefinierte Domänen, erstellen Sie Event Hub- und Diagnoseeinstellungen zum Senden von CDN-Zugriffsprotokollen mithilfe des Event Hubs. |
| Funktions-App, gesichert durch Azure Frontdoor- | Mit dieser Vorlage können Sie eine azure Premium-Funktion bereitstellen, die durch Azure Frontdoor Premium geschützt und veröffentlicht wird. Die Verbindung zwischen Azure Frontdoor und Azure Functions ist durch azure Private Link geschützt. |
ARM-Vorlagenressourcendefinition
Der FrontDoorWebApplicationFirewallPolicies-Ressourcentyp kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen – Siehe Ressourcengruppenbereitstellungsbefehle
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/FrontDoorWebApplicationFirewallPolicies-Ressource zu erstellen, fügen Sie der Vorlage den folgenden JSON-Code hinzu.
{
"type": "Microsoft.Network/FrontDoorWebApplicationFirewallPolicies",
"apiVersion": "2022-05-01",
"name": "string",
"etag": "string",
"location": "string",
"properties": {
"customRules": {
"rules": [
{
"action": "string",
"enabledState": "string",
"matchConditions": [
{
"matchValue": [ "string" ],
"matchVariable": "string",
"negateCondition": "bool",
"operator": "string",
"selector": "string",
"transforms": [ "string" ]
}
],
"name": "string",
"priority": "int",
"rateLimitDurationInMinutes": "int",
"rateLimitThreshold": "int",
"ruleType": "string"
}
]
},
"managedRules": {
"managedRuleSets": [
{
"exclusions": [
{
"matchVariable": "string",
"selector": "string",
"selectorMatchOperator": "string"
}
],
"ruleGroupOverrides": [
{
"exclusions": [
{
"matchVariable": "string",
"selector": "string",
"selectorMatchOperator": "string"
}
],
"ruleGroupName": "string",
"rules": [
{
"action": "string",
"enabledState": "string",
"exclusions": [
{
"matchVariable": "string",
"selector": "string",
"selectorMatchOperator": "string"
}
],
"ruleId": "string"
}
]
}
],
"ruleSetAction": "string",
"ruleSetType": "string",
"ruleSetVersion": "string"
}
]
},
"policySettings": {
"customBlockResponseBody": "string",
"customBlockResponseStatusCode": "int",
"enabledState": "string",
"mode": "string",
"redirectUrl": "string",
"requestBodyCheck": "string"
}
},
"sku": {
"name": "string"
},
"tags": {
"{customized property}": "string"
}
}
Eigenschaftswerte
CustomRule
| Name | Beschreibung | Wert |
|---|---|---|
| Aktion | Beschreibt, welche Aktion angewendet werden soll, wenn die Regel übereinstimmt. | "Zulassen" "AnomalielyScoring" "Block" "Protokoll" 'Umleitung' (erforderlich) |
| enabledState | Beschreibt, ob sich die benutzerdefinierte Regel im aktivierten oder deaktivierten Zustand befindet. Wird standardmäßig aktiviert, falls nicht angegeben. | "Deaktiviert" "Aktiviert" |
| matchConditions | Liste der Übereinstimmungsbedingungen. | MatchCondition[] (erforderlich) |
| Name | Beschreibt den Namen der Regel. | Schnur Zwänge: Max. Länge = |
| Priorität | Beschreibt die Priorität der Regel. Regeln mit einem niedrigeren Wert werden vor Regeln mit einem höheren Wert ausgewertet. | int (erforderlich) |
| rateLimitDurationInMinutes | Zeitfenster zum Zurücksetzen der Anzahl der Ratelimits. Der Standardwert ist 1 Minute. | int Zwänge: Min.-Wert = 0 Max. Wert = 5 |
| rateLimitThreshold | Anzahl der zulässigen Anforderungen pro Client innerhalb des Zeitfensters. | int Zwänge: Min.-Wert = 0 |
| ruleType | Beschreibt den Regeltyp. | 'MatchRule' "RateLimitRule" (erforderlich) |
CustomRuleList
| Name | Beschreibung | Wert |
|---|---|---|
| Regeln | Liste der Regeln | CustomRule-[] |
ManagedRuleExclusion
| Name | Beschreibung | Wert |
|---|---|---|
| matchVariable | Der variable Typ, der ausgeschlossen werden soll. | 'QueryStringArgNames' 'RequestBodyJsonArgNames' 'RequestBodyPostArgNames' 'RequestCookieNames' 'RequestHeaderNames' (erforderlich) |
| Selektor | Selektorwert, für den elemente in der Auflistung dieser Ausschluss gilt. | Zeichenfolge (erforderlich) |
| selectorMatchOperator | Vergleichsoperator, der auf den Selektor angewendet werden soll, wenn angegeben wird, für welche Elemente in der Auflistung dieser Ausschluss gilt. | 'Contains' "EndsWith" "Gleich" 'EqualsAny' "StartsWith" (erforderlich) |
ManagedRuleGroupOverride
| Name | Beschreibung | Wert |
|---|---|---|
| Ausschlüsse | Beschreibt die Ausschlüsse, die auf alle Regeln in der Gruppe angewendet werden. | ManagedRuleExclusion[] |
| ruleGroupName | Beschreibt die zu überschreibende verwaltete Regelgruppe. | Zeichenfolge (erforderlich) |
| Regeln | Liste der Regeln, die deaktiviert werden. Wenn keine Angabe erfolgt, werden alle Regeln in der Gruppe deaktiviert. | ManagedRuleOverride[] |
ManagedRuleOverride
| Name | Beschreibung | Wert |
|---|---|---|
| Aktion | Beschreibt die Außerkraftsetzungsaktion, die angewendet werden soll, wenn regelüberschrieben wird. | "Zulassen" "AnomalielyScoring" "Block" "Protokoll" 'Umleitung' |
| enabledState | Beschreibt, ob sich die verwaltete Regel im aktivierten oder deaktivierten Zustand befindet. Wenn nicht angegeben, wird standardmäßig "Deaktiviert" festgelegt. | "Deaktiviert" "Aktiviert" |
| Ausschlüsse | Beschreibt die Ausschlüsse, die auf diese bestimmte Regel angewendet werden. | ManagedRuleExclusion[] |
| ruleId | Bezeichner für die verwaltete Regel. | Zeichenfolge (erforderlich) |
ManagedRuleSet
| Name | Beschreibung | Wert |
|---|---|---|
| Ausschlüsse | Beschreibt die Ausschlüsse, die auf alle Regeln im Satz angewendet werden. | ManagedRuleExclusion[] |
| ruleGroupOverrides | Definiert die Regelgruppenüberschreibungen, die auf den Regelsatz angewendet werden sollen. | ManagedRuleGroupOverride[] |
| ruleSetAction | Definiert die Regelsatzaktion. | "Block" "Protokoll" 'Umleitung' |
| ruleSetType | Definiert den zu verwendenden Regelsatztyp. | Zeichenfolge (erforderlich) |
| ruleSetVersion | Definiert die version des zu verwendenden Regelsatzes. | Zeichenfolge (erforderlich) |
ManagedRuleSetList
| Name | Beschreibung | Wert |
|---|---|---|
| managedRuleSets | Liste der Regelsätze. | ManagedRuleSet-[] |
MatchCondition
| Name | Beschreibung | Wert |
|---|---|---|
| matchValue | Liste möglicher Übereinstimmungswerte. | string[] (erforderlich) |
| matchVariable | Anforderungsvariable, mit der verglichen werden soll. | "Cookies" 'PostArgs' 'QueryString' 'RemoteAddr' 'RequestBody' 'RequestHeader' 'RequestMethod' 'RequestUri' "SocketAddr" (erforderlich) |
| negateCondition | Beschreibt, ob das Ergebnis dieser Bedingung negiert werden soll. | Bool |
| Operator | Vergleichstyp, der für den Abgleich mit dem Variablenwert verwendet werden soll. | "Beliebig" "BeginsWith" 'Contains' "EndsWith" "Gleich" "GeoMatch" "GreaterThan" "GreaterThanOrEqual" "IPMatch" "LessThan" "LessThanOrEqual" "RegEx" (erforderlich) |
| Selektor | Übereinstimmung mit einem bestimmten Schlüssel aus den Variablen QueryString, PostArgs, RequestHeader oder Cookies. Der Standardwert ist NULL. | Schnur |
| Verwandelt | Liste der Transformationen. | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "Kleinbuchstabe" 'RemoveNulls' "Kürzen" "Großbuchstaben" 'UrlDecode' 'UrlEncode' |
Microsoft.Network/FrontDoorWebApplicationFirewallPolicies
| Name | Beschreibung | Wert |
|---|---|---|
| apiVersion | Die API-Version | '2022-05-01' |
| etag | Ruft eine eindeutige schreibgeschützte Zeichenfolge ab, die sich ändert, wenn die Ressource aktualisiert wird. | Schnur |
| Ort | Ressourcenspeicherort. | Schnur |
| Name | Der Ressourcenname | Schnur Zwänge: Max. Länge = (erforderlich) |
| Eigenschaften | Eigenschaften der Webanwendungsfirewallrichtlinie. | WebApplicationFirewallPolicyProperties |
| Sku | Die Preisstufe der Webanwendungsfirewallrichtlinie. Wird standardmäßig Classic_AzureFrontDoor, falls nicht angegeben, festgelegt. | Sku- |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. Siehe Tags in Vorlagen |
| Art | Der Ressourcentyp | 'Microsoft.Network/FrontDoorWebApplicationFirewallPolicies' |
PolicySettings
| Name | Beschreibung | Wert |
|---|---|---|
| customBlockResponseBody | Wenn der Aktionstyp blockiert ist, kann der Kunde den Antworttext außer Kraft setzen. Der Text muss in base64-Codierung angegeben werden. | Schnur Zwänge: Pattern = ^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})$ |
| customBlockResponseStatusCode | Wenn der Aktionstyp blockiert ist, kann der Kunde den Antwortstatuscode außer Kraft setzen. | Int |
| enabledState | Beschreibt, ob sich die Richtlinie im aktivierten oder deaktivierten Zustand befindet. Wird standardmäßig aktiviert, falls nicht angegeben. | "Deaktiviert" "Aktiviert" |
| Modus | Beschreibt, ob er sich im Erkennungsmodus oder im Präventionsmodus auf Richtlinienebene befindet. | "Erkennung" "Prävention" |
| redirectUrl | Wenn der Aktionstyp umgeleitet wird, stellt dieses Feld die Umleitungs-URL für den Client dar. | Schnur |
| requestBodyCheck | Beschreibt, ob vom Richtlinien verwaltete Regeln den Anforderungstextinhalt überprüfen. | "Deaktiviert" "Aktiviert" |
ResourceTags
| Name | Beschreibung | Wert |
|---|
Sku
| Name | Beschreibung | Wert |
|---|---|---|
| Name | Name des Preisniveaus. | "Classic_AzureFrontDoor" "Premium_AzureFrontDoor" "Standard_AzureFrontDoor" |
WebApplicationFirewallPolicyProperties
| Name | Beschreibung | Wert |
|---|---|---|
| customRules | Beschreibt benutzerdefinierte Regeln innerhalb der Richtlinie. | CustomRuleList- |
| managedRules | Beschreibt verwaltete Regeln innerhalb der Richtlinie. | ManagedRuleSetList- |
| policySettings | Beschreibt die Einstellungen für die Richtlinie. | PolicySettings- |
Schnellstartvorlagen
Die folgenden Schnellstartvorlagen stellen diesen Ressourcentyp bereit.
| Schablone | Beschreibung |
|---|---|
Konfigurieren der WAF-Client-IP-Einschränkung für Azure Front Door
|
Diese Vorlage konfiguriert die WAF-Client-IP-Einschränkung für den Azure Front Door-Endpunkt. |
|
Konfigurieren der verwalteten WAF-StandardeinstellungRuleSet für azure Front Door-
|
Diese Vorlage konfiguriert waF managed defaultRuleSet für Azure Front Door |
|
Konfigurieren der WAF-Rate-Limingregel für den Azure Front Door-Endpunkt
|
Diese Vorlage konfiguriert eine WAF-Regel für Azure Front Door, um eingehenden Datenverkehr für einen bestimmten Frontend-Host zu begrenzen. |
|
Konfigurieren von WAF-Regeln mit HTTP-Parametern für front door
|
Diese Vorlage konfiguriert WAF-benutzerdefinierte Regeln basierend auf bestimmten HTTP-Parametern für den Azure Front Door-Endpunkt. |
|
Erstellen von Azure Front Door vor der Azure API Management-
|
In diesem Beispiel wird die Verwendung von Azure Front Door als globaler Lastenausgleich vor der Azure-API-Verwaltung veranschaulicht. |
|
Erstellen einer WAF-Geofilterregel für den Azure Front Door-Endpunkt
|
Diese Vorlage erstellt eine WAF-Geofilterregel für Azure Front Door, die Datenverkehr aus bestimmten Ländern zulässt/blockiert. |
|
Front Door Premium mit Blob-Ursprung und privatem Link-
|
Diese Vorlage erstellt einen Front Door Premium- und einen Azure Storage-BLOB-Container und verwendet einen privaten Endpunkt für Front Door, um Datenverkehr an das Speicherkonto zu senden. |
|
Front Door Premium mit WAF- und von Microsoft verwalteten Regelsätzen
|
Diese Vorlage erstellt eine Front Door Premium einschließlich einer Webanwendungsfirewall mit den von Microsoft verwalteten Standard- und Bot-Schutzregelsätzen. |
|
Front Door Standard/Premium mit Geofilterung
|
Diese Vorlage erstellt einen Front Door Standard/Premium einschließlich einer Webanwendungsfirewall mit einer Geofilterregel. |
|
Front Door Standard/Premium mit
|
Diese Vorlage erstellt einen Front Door Standard/Premium einschließlich einer Webanwendungsfirewall mit einer Satzgrenzregel. |
|
Front Door Standard/Premium mit WAF und benutzerdefinierter Regel
|
Diese Vorlage erstellt einen Front Door Standard/Premium einschließlich einer Webanwendungsfirewall mit einer benutzerdefinierten Regel. |
|
Front Door mit BLOB-Ursprüngen für BLOB-Uploads
|
Diese Vorlage erstellt eine Front Door mit Ursprüngen, Routen und RuleSets und einem Azure Storage-Konto mit BLOB-Containern. Front Door sendet Datenverkehr an die Speicherkonten beim Hochladen von Dateien. |
|
FrontDoor CDN mit WAF, Domänen und Protokollen an EventHub-
|
Diese Vorlage erstellt ein neues Azure FrontDoor CDN-Profil. Erstellen Sie WAF mit benutzerdefinierten und verwalteten Regeln, cdn-Routen, Ursprung und Gruppen mit ihrer Zuordnung zu WAF und Routen, konfiguriert benutzerdefinierte Domänen, erstellen Sie Event Hub- und Diagnoseeinstellungen zum Senden von CDN-Zugriffsprotokollen mithilfe des Event Hubs. |
|
Funktions-App, gesichert durch Azure Frontdoor-
|
Mit dieser Vorlage können Sie eine azure Premium-Funktion bereitstellen, die durch Azure Frontdoor Premium geschützt und veröffentlicht wird. Die Verbindung zwischen Azure Frontdoor und Azure Functions ist durch azure Private Link geschützt. |
Terraform -Ressourcendefinition (AzAPI-Anbieter)
Der FrontDoorWebApplicationFirewallPolicies-Ressourcentyp kann mit Vorgängen bereitgestellt werden, die auf Folgendes abzielen:
- Ressourcengruppen
Eine Liste der geänderten Eigenschaften in jeder API-Version finden Sie unter Änderungsprotokoll.
Ressourcenformat
Um eine Microsoft.Network/FrontDoorWebApplicationFirewallPolicies-Ressource zu erstellen, fügen Sie Ihrer Vorlage die folgende Terraform hinzu.
resource "azapi_resource" "symbolicname" {
type = "Microsoft.Network/FrontDoorWebApplicationFirewallPolicies@2022-05-01"
name = "string"
etag = "string"
location = "string"
sku = {
name = "string"
}
tags = {
{customized property} = "string"
}
body = jsonencode({
properties = {
customRules = {
rules = [
{
action = "string"
enabledState = "string"
matchConditions = [
{
matchValue = [
"string"
]
matchVariable = "string"
negateCondition = bool
operator = "string"
selector = "string"
transforms = [
"string"
]
}
]
name = "string"
priority = int
rateLimitDurationInMinutes = int
rateLimitThreshold = int
ruleType = "string"
}
]
}
managedRules = {
managedRuleSets = [
{
exclusions = [
{
matchVariable = "string"
selector = "string"
selectorMatchOperator = "string"
}
]
ruleGroupOverrides = [
{
exclusions = [
{
matchVariable = "string"
selector = "string"
selectorMatchOperator = "string"
}
]
ruleGroupName = "string"
rules = [
{
action = "string"
enabledState = "string"
exclusions = [
{
matchVariable = "string"
selector = "string"
selectorMatchOperator = "string"
}
]
ruleId = "string"
}
]
}
]
ruleSetAction = "string"
ruleSetType = "string"
ruleSetVersion = "string"
}
]
}
policySettings = {
customBlockResponseBody = "string"
customBlockResponseStatusCode = int
enabledState = "string"
mode = "string"
redirectUrl = "string"
requestBodyCheck = "string"
}
}
})
}
Eigenschaftswerte
CustomRule
| Name | Beschreibung | Wert |
|---|---|---|
| Aktion | Beschreibt, welche Aktion angewendet werden soll, wenn die Regel übereinstimmt. | "Zulassen" "AnomalielyScoring" "Block" "Protokoll" 'Umleitung' (erforderlich) |
| enabledState | Beschreibt, ob sich die benutzerdefinierte Regel im aktivierten oder deaktivierten Zustand befindet. Wird standardmäßig aktiviert, falls nicht angegeben. | "Deaktiviert" "Aktiviert" |
| matchConditions | Liste der Übereinstimmungsbedingungen. | MatchCondition[] (erforderlich) |
| Name | Beschreibt den Namen der Regel. | Schnur Zwänge: Max. Länge = |
| Priorität | Beschreibt die Priorität der Regel. Regeln mit einem niedrigeren Wert werden vor Regeln mit einem höheren Wert ausgewertet. | int (erforderlich) |
| rateLimitDurationInMinutes | Zeitfenster zum Zurücksetzen der Anzahl der Ratelimits. Der Standardwert ist 1 Minute. | int Zwänge: Min.-Wert = 0 Max. Wert = 5 |
| rateLimitThreshold | Anzahl der zulässigen Anforderungen pro Client innerhalb des Zeitfensters. | int Zwänge: Min.-Wert = 0 |
| ruleType | Beschreibt den Regeltyp. | 'MatchRule' "RateLimitRule" (erforderlich) |
CustomRuleList
| Name | Beschreibung | Wert |
|---|---|---|
| Regeln | Liste der Regeln | CustomRule-[] |
ManagedRuleExclusion
| Name | Beschreibung | Wert |
|---|---|---|
| matchVariable | Der variable Typ, der ausgeschlossen werden soll. | 'QueryStringArgNames' 'RequestBodyJsonArgNames' 'RequestBodyPostArgNames' 'RequestCookieNames' 'RequestHeaderNames' (erforderlich) |
| Selektor | Selektorwert, für den elemente in der Auflistung dieser Ausschluss gilt. | Zeichenfolge (erforderlich) |
| selectorMatchOperator | Vergleichsoperator, der auf den Selektor angewendet werden soll, wenn angegeben wird, für welche Elemente in der Auflistung dieser Ausschluss gilt. | 'Contains' "EndsWith" "Gleich" 'EqualsAny' "StartsWith" (erforderlich) |
ManagedRuleGroupOverride
| Name | Beschreibung | Wert |
|---|---|---|
| Ausschlüsse | Beschreibt die Ausschlüsse, die auf alle Regeln in der Gruppe angewendet werden. | ManagedRuleExclusion[] |
| ruleGroupName | Beschreibt die zu überschreibende verwaltete Regelgruppe. | Zeichenfolge (erforderlich) |
| Regeln | Liste der Regeln, die deaktiviert werden. Wenn keine Angabe erfolgt, werden alle Regeln in der Gruppe deaktiviert. | ManagedRuleOverride[] |
ManagedRuleOverride
| Name | Beschreibung | Wert |
|---|---|---|
| Aktion | Beschreibt die Außerkraftsetzungsaktion, die angewendet werden soll, wenn regelüberschrieben wird. | "Zulassen" "AnomalielyScoring" "Block" "Protokoll" 'Umleitung' |
| enabledState | Beschreibt, ob sich die verwaltete Regel im aktivierten oder deaktivierten Zustand befindet. Wenn nicht angegeben, wird standardmäßig "Deaktiviert" festgelegt. | "Deaktiviert" "Aktiviert" |
| Ausschlüsse | Beschreibt die Ausschlüsse, die auf diese bestimmte Regel angewendet werden. | ManagedRuleExclusion[] |
| ruleId | Bezeichner für die verwaltete Regel. | Zeichenfolge (erforderlich) |
ManagedRuleSet
| Name | Beschreibung | Wert |
|---|---|---|
| Ausschlüsse | Beschreibt die Ausschlüsse, die auf alle Regeln im Satz angewendet werden. | ManagedRuleExclusion[] |
| ruleGroupOverrides | Definiert die Regelgruppenüberschreibungen, die auf den Regelsatz angewendet werden sollen. | ManagedRuleGroupOverride[] |
| ruleSetAction | Definiert die Regelsatzaktion. | "Block" "Protokoll" 'Umleitung' |
| ruleSetType | Definiert den zu verwendenden Regelsatztyp. | Zeichenfolge (erforderlich) |
| ruleSetVersion | Definiert die version des zu verwendenden Regelsatzes. | Zeichenfolge (erforderlich) |
ManagedRuleSetList
| Name | Beschreibung | Wert |
|---|---|---|
| managedRuleSets | Liste der Regelsätze. | ManagedRuleSet-[] |
MatchCondition
| Name | Beschreibung | Wert |
|---|---|---|
| matchValue | Liste möglicher Übereinstimmungswerte. | string[] (erforderlich) |
| matchVariable | Anforderungsvariable, mit der verglichen werden soll. | "Cookies" 'PostArgs' 'QueryString' 'RemoteAddr' 'RequestBody' 'RequestHeader' 'RequestMethod' 'RequestUri' "SocketAddr" (erforderlich) |
| negateCondition | Beschreibt, ob das Ergebnis dieser Bedingung negiert werden soll. | Bool |
| Operator | Vergleichstyp, der für den Abgleich mit dem Variablenwert verwendet werden soll. | "Beliebig" "BeginsWith" 'Contains' "EndsWith" "Gleich" "GeoMatch" "GreaterThan" "GreaterThanOrEqual" "IPMatch" "LessThan" "LessThanOrEqual" "RegEx" (erforderlich) |
| Selektor | Übereinstimmung mit einem bestimmten Schlüssel aus den Variablen QueryString, PostArgs, RequestHeader oder Cookies. Der Standardwert ist NULL. | Schnur |
| Verwandelt | Liste der Transformationen. | Zeichenfolgenarray, das eine der folgenden Elemente enthält: "Kleinbuchstabe" 'RemoveNulls' "Kürzen" "Großbuchstaben" 'UrlDecode' 'UrlEncode' |
Microsoft.Network/FrontDoorWebApplicationFirewallPolicies
| Name | Beschreibung | Wert |
|---|---|---|
| etag | Ruft eine eindeutige schreibgeschützte Zeichenfolge ab, die sich ändert, wenn die Ressource aktualisiert wird. | Schnur |
| Ort | Ressourcenspeicherort. | Schnur |
| Name | Der Ressourcenname | Schnur Zwänge: Max. Länge = (erforderlich) |
| Eigenschaften | Eigenschaften der Webanwendungsfirewallrichtlinie. | WebApplicationFirewallPolicyProperties |
| Sku | Die Preisstufe der Webanwendungsfirewallrichtlinie. Wird standardmäßig Classic_AzureFrontDoor, falls nicht angegeben, festgelegt. | Sku- |
| Schilder | Ressourcentags | Wörterbuch der Tagnamen und -werte. |
| Art | Der Ressourcentyp | "Microsoft.Network/FrontDoorWebApplicationFirewallPolicies@2022-05-01" |
PolicySettings
| Name | Beschreibung | Wert |
|---|---|---|
| customBlockResponseBody | Wenn der Aktionstyp blockiert ist, kann der Kunde den Antworttext außer Kraft setzen. Der Text muss in base64-Codierung angegeben werden. | Schnur Zwänge: Pattern = ^(?:[A-Za-z0-9+/]{4})*(?:[A-Za-z0-9+/]{2}==|[A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{4})$ |
| customBlockResponseStatusCode | Wenn der Aktionstyp blockiert ist, kann der Kunde den Antwortstatuscode außer Kraft setzen. | Int |
| enabledState | Beschreibt, ob sich die Richtlinie im aktivierten oder deaktivierten Zustand befindet. Wird standardmäßig aktiviert, falls nicht angegeben. | "Deaktiviert" "Aktiviert" |
| Modus | Beschreibt, ob er sich im Erkennungsmodus oder im Präventionsmodus auf Richtlinienebene befindet. | "Erkennung" "Prävention" |
| redirectUrl | Wenn der Aktionstyp umgeleitet wird, stellt dieses Feld die Umleitungs-URL für den Client dar. | Schnur |
| requestBodyCheck | Beschreibt, ob vom Richtlinien verwaltete Regeln den Anforderungstextinhalt überprüfen. | "Deaktiviert" "Aktiviert" |
ResourceTags
| Name | Beschreibung | Wert |
|---|
Sku
| Name | Beschreibung | Wert |
|---|---|---|
| Name | Name des Preisniveaus. | "Classic_AzureFrontDoor" "Premium_AzureFrontDoor" "Standard_AzureFrontDoor" |
WebApplicationFirewallPolicyProperties
| Name | Beschreibung | Wert |
|---|---|---|
| customRules | Beschreibt benutzerdefinierte Regeln innerhalb der Richtlinie. | CustomRuleList- |
| managedRules | Beschreibt verwaltete Regeln innerhalb der Richtlinie. | ManagedRuleSetList- |
| policySettings | Beschreibt die Einstellungen für die Richtlinie. | PolicySettings- |