Esercitazione: Ridimensionare e proteggere rapidamente un'applicazione Web usando Frontdoor di Azure e Web Application Firewall (WAF) di Azure
Importante
Frontdoor di Azure (classico) verrà ritirato il 31 marzo 2027. Per evitare interruzioni del servizio, è importante eseguire la migrazione dei profili di Frontdoor di Azure (classico) al livello Standard o Premium di Frontdoor di Azure entro marzo 2027. Per altre informazioni, vedere Ritiro di Frontdoor di Azure (classico).
Le applicazioni Web spesso riscontrano picchi di traffico e attacchi dannosi, ad esempio attacchi Denial of Service. Frontdoor di Azure con Azure WAF consente di ridimensionare l'applicazione e proteggerla da tali minacce. Questa esercitazione illustra la configurazione di Frontdoor di Azure con Azure WAF per qualsiasi app Web, indipendentemente dal fatto che venga eseguita all'interno o all'esterno di Azure.
Per questa esercitazione viene usata l'interfaccia della riga di comando di Azure. È anche possibile usare la portale di Azure, Azure PowerShell, Azure Resource Manager o le API REST di Azure.
Questa esercitazione apprendi come:
- Creare un frontdoor.
- Creare un criterio WAF di Azure.
- Configurare i set di regole per un criterio WAF.
- Associare un criterio WAF a una frontdoor.
- Configurare un dominio personalizzato.
Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.
Prerequisiti
Questa esercitazione usa l'interfaccia della riga di comando di Azure. Introduzione all'interfaccia della riga di comando di Azure.
Suggerimento
Un modo semplice per iniziare a usare l'interfaccia della riga di comando di Azure consiste nell'usare Bash in Azure Cloud Shell.
Assicurarsi che l'estensione
front-doorvenga aggiunta all'interfaccia della riga di comando di Azure:az extension add --name front-door
Nota
Per altre informazioni sui comandi usati in questa esercitazione, vedere le informazioni di riferimento sull'interfaccia della riga di comando di Azure per Frontdoor.
Creare una risorsa Frontdoor di Azure
az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
--backend-address: nome di dominio completo (FQDN) dell'applicazione da proteggere,myapplication.contoso.comad esempio .--accepted-protocols: protocolli supportati da Frontdoor di Azure,--accepted-protocols Http Httpsad esempio .--name: nome della risorsa frontdoor di Azure.--resource-group: gruppo di risorse per questa risorsa frontdoor di Azure. Altre informazioni sulla gestione dei gruppi di risorse.
Prendere nota del hostName valore della risposta, perché sarà necessario in un secondo momento. hostName è il nome DNS della risorsa Frontdoor di Azure.
Creare un profilo WAF di Azure per Frontdoor di Azure
az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
--name: nome del nuovo criterio waf di Azure.--resource-group: gruppo di risorse per questa risorsa WAF.
Il comando precedente crea un criterio WAF in modalità di prevenzione.
Nota
Provare a creare i criteri WAF in modalità di rilevamento per osservare e registrare le richieste dannose senza bloccarle prima di passare alla modalità di prevenzione.
Prendere nota del ID valore della risposta, perché sarà necessario in un secondo momento. Deve ID essere in questo formato:
/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>
Aggiungere set di regole gestiti al criterio WAF
Aggiungere il set di regole predefinito:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0
Aggiungere il set di regole di protezione dai bot:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
--policy-name: nome della risorsa WAF di Azure.--resource-group: gruppo di risorse per la risorsa WAF.
Associare il criterio WAF alla risorsa Frontdoor di Azure
az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
--name: nome della risorsa frontdoor di Azure.--resource-group: gruppo di risorse per la risorsa Frontdoor di Azure.--set: aggiornare l'attributoWebApplicationFirewallPolicyLinkperfrontendEndpointcon il nuovo ID criterio WAF.
Nota
Se non si usa un dominio personalizzato, è possibile ignorare la sezione successiva. Fornire ai clienti i hostName dati ottenuti al momento della creazione della risorsa Frontdoor di Azure.
Configurare il dominio personalizzato per l'applicazione Web
Aggiornare i record DNS per puntare il dominio personalizzato alla frontdoor hostNamedi Azure. Per i passaggi specifici, vedere la documentazione del provider di servizi DNS. Se si usa DNS di Azure, vedere Aggiornare un record DNS.
Per i domini apex della zona (ad esempio, contoso.com), usare DNS di Azure e il relativo tipo di record alias.
Aggiornare la configurazione di Frontdoor di Azure per aggiungere il dominio personalizzato.
Per abilitare HTTPS per il dominio personalizzato, configurare i certificati in Frontdoor di Azure.
Bloccare l'applicazione Web
Assicurarsi che solo gli archi frontdoor di Azure possano comunicare con l'applicazione Web. Vedere Come bloccare l'accesso al back-end solo in Frontdoor di Azure.
Pulire le risorse
Quando non sono più necessari, eliminare il gruppo di risorse, Frontdoor e i criteri WAF:
az group delete --name <resource-group>
--name: nome del gruppo di risorse per tutte le risorse usate in questa esercitazione.
Passaggi successivi
Per risolvere i problemi di Frontdoor, vedere: