Condividi tramite

Configurare un criterio web application firewall di filtro geografico per Frontdoor

  • Articolo

Questa esercitazione illustra come usare Azure PowerShell per creare un criterio di filtro geografico di esempio e associare i criteri all'host front-end di Frontdoor di Azure esistente. Questo criterio di filtro geografico di esempio blocca le richieste provenienti da tutti gli altri paesi o aree geografiche, ad eccezione del Stati Uniti.

Se non si ha una sottoscrizione di Azure, creare ora un account gratuito.

Prerequisiti

Prima di iniziare a configurare un criterio di filtro geografico, configurare l'ambiente PowerShell e creare un profilo frontdoor di Azure.

Configurare l'ambiente PowerShell

Azure PowerShell offre un set di cmdlet che usano il modello Azure Resource Manager per la gestione delle risorse di Azure.

È possibile installare Azure PowerShell nel computer locale e usarlo in qualsiasi sessione di PowerShell. Seguire le istruzioni nella pagina per accedere con le credenziali di Azure. Installare quindi il modulo Az PowerShell.

Connettersi ad Azure con una finestra di dialogo interattiva per l'accesso

Install-Module -Name Az
Connect-AzAccount

Assicurarsi di avere la versione corrente di PowerShellGet installata. Eseguire il comando seguente e riaprire PowerShell.

Install-Module PowerShellGet -Force -AllowClobber

Installare il modulo Az.FrontDoor

Install-Module -Name Az.FrontDoor

Creare una risorsa Frontdoor di Azure

Creare un profilo frontdoor di Azure seguendo le istruzioni descritte in Avvio rapido: Creare un profilo frontdoor di Azure.

Definire una condizione di corrispondenza di filtro geografico

Creare una condizione di corrispondenza di esempio che seleziona le richieste non provenienti da "US" usando New-AzFrontDoorWafMatchConditionObject sui parametri quando si crea una condizione di corrispondenza.

I codici paese o area geografica di due lettere per il mapping di paese o area geografica sono disponibili in Che cos'è il filtro geografico in un dominio per Frontdoor di Azure?.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Aggiungere una condizione di corrispondenza di filtro geografico a una regola con un'azione e una priorità

Creare un CustomRule oggetto nonUSBlockRule in base alla condizione di corrispondenza, a un'azione e a una priorità usando New-AzFrontDoorWafCustomRuleObject. Una regola personalizzata può avere più condizioni di corrispondenza. In questo esempio, Action è impostato su Block. Priority è impostato su 1, ovvero la priorità più alta.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Aggiungere regole a un criterio

Trovare il nome del gruppo di risorse che contiene il profilo frontdoor di Azure usando Get-AzResourceGroup. Creare quindi un geoPolicy oggetto che contiene nonUSBlockRule usando New-AzFrontDoorWafPolicy nel gruppo di risorse specificato che contiene il profilo frontdoor di Azure. È necessario specificare un nome univoco per il criterio geografico.

L'esempio seguente usa il nome del gruppo di risorse myResourceGroupFD1 presupponendo che sia stato creato il profilo frontdoor di Azure usando le istruzioni fornite in Avvio rapido: Creare un'istanza di Frontdoor di Azure. Nell'esempio seguente sostituire il nome geoPolicyAllowUSOnly del criterio con un nome di criterio univoco.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Collegare l'oggetto criteri WAF all'host front-end front-end di Frontdoor di Azure esistente. Aggiornare le proprietà di Frontdoor di Azure.

A tale scopo, recuperare prima di tutto l'oggetto Frontdoor di Azure usando Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Impostare quindi la proprietà front-end WebApplicationFirewallPolicyLink sull'ID risorsa dei criteri geografici usando Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Nota

È necessario impostare la WebApplicationFirewallPolicyLink proprietà una sola volta per collegare un criterio WAF a un host front-end front-end di Frontdoor di Azure. Gli aggiornamenti successivi dei criteri vengono applicati automaticamente all'host front-end.

Passaggi successivi