Delen via

Het WAF-beleid voor geofilters instellen voor Azure Front Door

  • Artikel

In deze zelfstudie ziet u hoe u Azure PowerShell gebruikt om een voorbeeldbeleid voor geofiltering te maken en het beleid te koppelen aan uw bestaande Front Door-front-endhost van Azure. Met dit voorbeeldbeleid voor geofiltering worden aanvragen van alle andere landen of regio's geblokkeerd, met uitzondering van de Verenigde Staten.

Als u nog geen abonnement op Azure hebt, maak dan nu een gratis account.

Vereisten

Voordat u een geofilterbeleid gaat instellen, stelt u uw PowerShell-omgeving in en maakt u een Azure Front Door-profiel.

Uw PowerShell-omgeving instellen

Azure PowerShell voorziet in een set van cmdlets die gebruikmaken van het Azure Resource Manager-model om uw Azure-resources te beheren.

U kunt Azure PowerShell op uw lokale computer installeren en in elke PowerShell-sessie gebruiken. Volg de instructies op de pagina om u aan te melden met uw Azure-referenties. Installeer vervolgens de Az PowerShell-module.

Verbinding maken met Azure met een interactief dialoogvenster voor aanmelden

Install-Module -Name Az
Connect-AzAccount

Zorg ervoor dat bij u de huidige versie van PowerShellGet is geïnstalleerd. Voer de volgende opdracht uit en open PowerShell opnieuw.

Install-Module PowerShellGet -Force -AllowClobber

De Az.FrontDoor-module installeren

Install-Module -Name Az.FrontDoor

Een Azure Front Door-profiel maken

Maak een Azure Front Door-profiel door de instructies te volgen die worden beschreven in quickstart: Een Azure Front Door-profiel maken.

Een voorwaarde voor een overeenkomst voor geofiltering definiëren

Maak een voorbeeld van een overeenkomstvoorwaarde die aanvragen selecteert die niet afkomstig zijn van 'VS' met behulp van New-AzFrontDoorWafMatchConditionObject op parameters wanneer u een overeenkomstvoorwaarde maakt.

Land- of regiocodes in twee letters voor land- of regiotoewijzing worden opgegeven in Wat is geofiltering op een domein voor Azure Front Door?.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Een voorwaarde voor geofilteringsovereenkomst toevoegen aan een regel met een actie en een prioriteit

Maak een CustomRule object nonUSBlockRule op basis van de voorwaarde voor overeenkomst, een actie en een prioriteit met behulp van New-AzFrontDoorWafCustomRuleObject. Een aangepaste regel kan meerdere overeenkomstvoorwaarden hebben. In dit voorbeeld Action is ingesteld op Block. Priority is ingesteld op 1, wat de hoogste prioriteit is.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Regels toevoegen aan een beleid

Zoek de naam van de resourcegroep die het Azure Front Door-profiel bevat met behulp van Get-AzResourceGroup. Maak vervolgens een geoPolicy object dat bevat nonUSBlockRule met behulp van New-AzFrontDoorWafPolicy in de opgegeven resourcegroep die het Azure Front Door-profiel bevat. U moet een unieke naam opgeven voor het geo-beleid.

In het volgende voorbeeld wordt de naam myResourceGroupFD1 van de resourcegroep gebruikt met de aanname dat u het Azure Front Door-profiel hebt gemaakt met behulp van instructies in quickstart: Een Azure Front Door maken. Vervang in het volgende voorbeeld de beleidsnaam geoPolicyAllowUSOnly door een unieke beleidsnaam.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Koppel het WAF-beleidsobject aan de bestaande front-endhost van Azure Front Door. Azure Front Door-eigenschappen bijwerken.

Hiervoor moet u eerst uw Azure Front Door-object ophalen met behulp van Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Stel vervolgens de front-endeigenschap WebApplicationFirewallPolicyLink in op de resource-id van het geo-beleid met behulp van Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Notitie

U hoeft de WebApplicationFirewallPolicyLink eigenschap slechts eenmaal in te stellen om een WAF-beleid te koppelen aan een front-endhost van Azure Front Door. Volgende beleidsupdates worden automatisch toegepast op de front-endhost.

Volgende stappen