Compartir a través de


Configuración de una regla de restricción de IP con un WAF para Azure Front Door

Este artículo muestra cómo configurar las reglas de restricción de IP en un firewall de aplicaciones web (WAF) para Azure Front Door con Azure Portal, la CLI de Azure, Azure PowerShell o una plantilla de Azure Resource Manager.

Una regla de control de acceso basado en la dirección IP es una regla de WAF personalizada que permite controlar el acceso a las aplicaciones web. La regla especifica una lista de direcciones IP o rangos de direcciones IP en formato de Enrutamiento entre dominios sin clase (CIDR).

Hay dos tipos de variables de coincidencia en una coincidencia de dirección IP: RemoteAddr y SocketAddr. La variable RemoteAddr es la dirección IP del cliente original que se envía normalmente mediante el encabezado de solicitud X-Forwarded-For. La variable SocketAddr es la dirección IP de origen que ve WAF. Si el usuario está detrás de un proxy, SocketAddr suele ser la dirección del servidor proxy.

De forma predeterminada, a la aplicación web se puede acceder desde Internet. Si desea limitar el acceso a los clientes de una lista de direcciones IP conocidas o intervalos de direcciones IP, puede crear una regla de coincidencia de IP que contenga la lista de direcciones IP como valores coincidentes y establece el operador en Not (la negación es verdadera) y la acción en Block. Después de que se aplique una regla de restricción de IP, las solicitudes que provengan de direcciones que no se encuentren en esta lita de permitidos reciben una respuesta 403 Prohibido.

Configuración de una directiva de WAF

Siga estos pasos para configurar una directiva de WAF mediante Azure Portal.

Requisitos previos

Para crear un perfil de Azure Front Door, siga las instrucciones que se describen en Inicio rápido: Creación de una instancia de Front Door de Azure para una aplicación web global de alta disponibilidad.

Creación de una directiva WAF

  1. En Azure Portal, seleccione Crear un recurso. Escriba firewall de aplicaciones web en el cuadro de búsqueda de Servicios de búsqueda y Marketplace y seleccione Entrar. Luego seleccione Web Application Firewall (WAF).

  2. Seleccione Crear.

  3. En la página Crear una directiva WAF, use los valores siguientes para completar la pestaña Aspectos básicos.

    Configuración Value
    Directiva de WAF global (Front Door)
    Nivel de Front Door Seleccione Premium o Estándar para que coincida con el nivel de Front Door de Azure.
    Suscripción Selecciona tu suscripción.
    Resource group Seleccione el grupo de recursos en que se encuentra la instancia de Front Door de Azure.
    Nombre de la directiva Escriba un nombre para la directiva.
    Estado de directiva Seleccionada
    Modo de directiva Prevención
  4. Seleccione Siguiente: Reglas administradas.

  5. Seleccione Siguiente: Configuración de directivas

  6. En la pestaña Configuración de directiva, escriba ¡Le han bloqueado! en el elemento de respuesta, para que pueda ver que la regla personalizada está activada.

  7. Seleccione Siguiente: Reglas personalizadas.

  8. Seleccione Agregar regla personalizada.

  9. En la página Agregar regla personalizada, use los siguientes valores de prueba para crear una regla personalizada.

    Configuración Value
    Nombre de la regla personalizada FdWafCustRule
    Estado habilitado
    Tipo de regla Coincidir con
    Priority 100
    Tipo de coincidencia Dirección IP
    Variable de coincidencia SocketAddr
    Operación No contiene
    Dirección o intervalo de direcciones IP 10.10.10.0/24
    Entonces Deny traffic

    Regla personalizada

    Seleccione Agregar.

  10. Seleccione Siguiente: Asociación.

  11. Seleccione Asociar un perfil de Front Door.

  12. En Perfil de Frontend, seleccione el perfil de Frontend.

  13. En Dominio, seleccione el dominio.

  14. Seleccione Agregar.

  15. Seleccione Revisar + crear.

  16. Una vez pasada la validación de la directiva, seleccione Crear.

Prueba de la directiva WAF

  1. Una vez finalizada la implementación de la directiva WAF, busque el nombre del host de front-end de Front Door de Azure.

  2. Debería ver el mensaje de bloque personalizado.

    Prueba de regla de WAF

    Nota

    Se usó una dirección IP privada deliberadamente en la regla personalizada para garantizar que la regla se desencadene. En una implementación real, cree las reglas allow y deny mediante direcciones IP para su situación concreta.

Pasos siguientes

Aprenda a crear un perfil de Azure Front Door.