Condividi tramite


Configurare una regola di restrizione IP con un WAF per Frontdoor di Azure

Questo articolo illustra come configurare le regole di restrizione IP in un web application firewall (WAF) per Frontdoor di Azure usando il portale di Azure, l'interfaccia della riga di comando di Azure, Azure PowerShell o un modello di Azure Resource Manager.

Una regola di controllo degli accessi in base all'indirizzo IP è una regola WAF personalizzata che consente di controllare l'accesso alle applicazioni Web. La regola specifica un elenco di indirizzi IP o intervalli di indirizzi IP in formato CIDR (Classless Inter-Domain Routing).

Esistono due tipi di variabili di corrispondenza in una corrispondenza dell'indirizzo IP: RemoteAddr e SocketAddr. La variabile RemoteAddr è l'indirizzo IP client originale che viene in genere inviato tramite l'intestazione della richiesta di X-Forwarded-For. La variabile SocketAddr è l'indirizzo IP di origine visualizzato dal WAF. Se l'utente si trova dietro un proxy, SocketAddr è spesso l'indirizzo del server proxy.

Per impostazione predefinita, l'applicazione Web è accessibile da Internet. Se si vuole limitare l'accesso ai client da un elenco di indirizzi IP noti o intervalli di indirizzi IP, è possibile creare una regola di corrispondenza IP contenente l'elenco di indirizzi IP come valori corrispondenti e imposta l'operatore su Not (nega è true) e l'azione su Block. Dopo l'applicazione di una regola di restrizione IP, le richieste provenienti da indirizzi esterni a questo elenco di indirizzi consentiti ricevono una risposta 403 Non consentito.

Configurare un criterio WAF

Seguire questa procedura per configurare un criterio WAF usando il portale di Azure.

Prerequisiti

Creare un profilo Frontdoor di Azure seguendo le istruzioni descritte in Avvio rapido: Creare un'istanza di Frontdoor di Azure per un'applicazione Web globale a disponibilità elevata.

Creare un criterio WAF

  1. Nel portale di Azure fare clic su Crea una risorsa. Immettere Web application firewall nella casella di ricerca Servizi di ricerca e marketplace e selezionare Invio. Selezionare quindi Web Application Firewall (WAF).

  2. Seleziona Crea.

  3. Nella pagina Crea un criterio WAF usare i valori seguenti per completare la scheda Informazioni di base.

    Impostazione Valore
    Criteri per WAF globale (Frontdoor).
    Livello Frontdoor Selezionare Premium o Standard per corrispondere al livello Frontdoor di Azure.
    Abbonamento Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare il gruppo di risorse in cui si trova l'istanza di Frontdoor di Azure.
    Nome del criterio Immettere un nome per il criterio.
    Stato criteri Selected
    Modalità criterio Prevenzione
  4. Selezionare Avanti: Regole gestite.

  5. Selezionare Avanti: Impostazioni dei criteri.

  6. Nella scheda Impostazioni criteri, immettere Sei stato bloccato! per il corpo della risposta blocco in modo da poter vedere che la regola personalizzata è attiva.

  7. Selezionare Avanti: Regole personalizzate.

  8. Selezionare Aggiungi regola personalizzata.

  9. Nella pagina Aggiungi regola personalizzata usare i valori di test seguenti per creare una regola personalizzata.

    Impostazione Valore
    Nome regola personalizzata FdWafCustRule
    Status Attivata
    Tipo di regola Corrispondenza
    Priorità 100
    Tipo di corrispondenza Indirizzo IP
    Variabile di corrispondenza SocketAddr
    Operazione Non contiene
    Indirizzo IP o intervallo 10.10.10.0/24
    Risultato Nega traffico

    Regola personalizzata

    Selezionare Aggiungi.

  10. Selezionare Avanti: Associazione.

  11. Selezionare Associa un profilo frontdoor.

  12. Per profilo front-end, selezionare il profilo front-end.

  13. In Dominio, selezionare il dominio.

  14. Selezionare Aggiungi.

  15. Selezionare Rivedi e crea.

  16. Dopo aver superato la convalida dei criteri, selezionare Crea.

Testare i criteri WAF

  1. Al termine della distribuzione dei criteri WAF, passare al nome host front-end di Frontdoor di Azure.

  2. Verrà visualizzato il messaggio di blocco personalizzato.

    Test delle regole WAF

    Nota

    Un indirizzo IP privato è stato usato intenzionalmente nella regola personalizzata per garantire che la regola venga attivata. In una distribuzione effettiva, creare le regole consenti e nega usando indirizzi IP per una situazione specifica.

Passaggi successivi

Informazioni su come creare un profilo Frontdoor di Azure.