Tutoriel : Adapter et protéger rapidement une application web à l’aide d’Azure Front Door et Azure Web Application Firewall (WAF)
Important
Azure Front Door (classique) va être mis hors service le 31 mars 2027. Pour éviter toute interruption de service, il est important de migrer vos profils Azure Front Door (classique) vers le niveau Azure Front Door Standard ou Premium au plus en mars 2027. Pour plus d’informations, consultez Mise hors service d’Azure Front Door (classique).
Les applications web rencontrent souvent des pics de trafic et des attaques malveillantes, telles que des attaques par déni de service. Azure Front Door avec Azure WAF peut aider à adapter votre application et à la protéger contre ces menaces. Ce tutoriel vous guide tout au long de la configuration d’Azure Front Door avec Azure WAF pour n’importe quelle application web, qu’elle s’exécute à l’intérieur ou à l’extérieur d’Azure.
Nous utilisons Azure CLI pour ce tutoriel. Vous pouvez aussi utiliser le portail Azure, Azure PowerShell, Azure Resource Manager ou des API REST Azure.
Ce didacticiel vous apprend à effectuer les opérations suivantes :
- Créer une instance Front Door
- Créer une stratégie Azure WAF
- Configurez des ensembles de règles pour une stratégie WAF.
- Associez une stratégie WAF à Front Door.
- Configurez un domaine personnalisé.
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.
Prérequis
Ce didacticiel utilise Azure CLI. Bien démarrer avec Azure CLI.
Conseil
Une méthode simple pour démarrer avec Azure CLI consiste à utiliser Bash dans Azure Cloud Shell.
Assurez-vous que l’extension
front-doorest ajoutée à Azure CLI :az extension add --name front-door
Remarque
Pour plus d’informations sur les commandes utilisées dans ce tutoriel, consultez les Informations de référence sur Azure CLI pour Front Door.
Créer une ressource Azure Front Door
az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
--backend-address: Nom de domaine complet (FQDN) de l’application que vous souhaitez protéger, par exemplemyapplication.contoso.com.--accepted-protocols: Protocoles pris en charge par Azure Front Door, par exemple--accepted-protocols Http Https.--name: Nom de votre ressource Azure Front Door.--resource-group: Groupe de ressources pour cette ressource Azure Front Door. Découvrez plus en détail la gestion des groupes de ressources.
Notez la valeur hostName de la réponse, car vous en aurez besoin ultérieurement. hostName correspond au nom DNS de la ressource Azure Front Door.
Créer un profil Azure WAF pour Azure Front Door
az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
--name: Nom de la nouvelle stratégie Azure WAF.--resource-group: Groupe de ressources pour cette ressource WAF.
La commande précédente crée une stratégie WAF en mode de prévention.
Remarque
Envisagez de créer d’abord la stratégie WAF en mode de détection pour observer et consigner des demandes malveillantes sans les bloquer avant de passer au mode de prévention.
Notez la valeur ID de la réponse, car vous en aurez besoin ultérieurement. L’ID doit être dans ce format :
/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>
Ajouter des ensembles de règles managés à la stratégie WAF
Ajouter l’ensemble de règles par défaut :
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0
Ajouter l’ensemble de règles de protection bot :
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
--policy-name: Nom de votre ressource Azure WAF.--resource-group: Groupe de ressources pour la ressource WAF.
Associer la stratégie WAF à la ressource Azure Front Door
az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
--name: Nom de votre ressource Azure Front Door.--resource-group: Groupe de ressources pour la ressource Azure Front Door.--set: Mettez à jour l’attributWebApplicationFirewallPolicyLinkpour lefrontendEndpointavec le nouvel ID de stratégie WAF.
Remarque
Si vous n’utilisez pas de domaine personnalisé, vous pouvez ignorer la section suivante. Donnez à vos clients le hostName obtenu une fois que vous avez créé la ressource Azure Front Door.
Configurer le domaine personnalisé pour votre application web
Mettez à jour vos enregistrements DNS pour pointer le domaine personnalisé vers le hostName Azure Front Door. Reportez-vous à la documentation de votre fournisseur de services DNS pour obtenir les étapes spécifiques. Si vous utilisez Azure DNS, consultez Mettre à jour un enregistrement DNS.
Pour les domaines apex de zone (par exemple, contoso.com), utilisez Azure DNS et son type d’enregistrement d’alias.
Mettez à jour votre configuration Azure Front Door pour ajouter le domaine personnalisé.
Pour activer HTTPS pour votre domaine personnalisé, configurez des certificats dans Azure Front Door.
Verrouiller votre application web
Assurez-vous que seules les périphéries Azure Front Door peuvent communiquer avec votre application web. Consultez Comment verrouiller l’accès à mon back-end uniquement à Azure Front Door.
Nettoyer les ressources
Lorsque vous n’en avez plus besoin, supprimez le groupe de ressources, Front Door et la stratégie WAF :
az group delete --name <resource-group>
--name: Nom du groupe de ressources de pour toutes les ressources utilisées dans ce tutoriel.
Étapes suivantes
Pour résoudre les problèmes de votre instance Front Door, consultez :