Delen via

Zelfstudie: Een webtoepassing snel schalen en beveiligen met behulp van Azure Front Door en Azure Web Application Firewall (WAF)

  • Artikel

Belangrijk

Azure Front Door (klassiek) wordt op 31 maart 2027 buiten gebruik gesteld. Om serviceonderbrekingen te voorkomen, is het belangrijk dat u uw Azure Front Door-profielen (klassiek) tegen maart 2027 migreert naar de Azure Front Door Standard- of Premium-laag. Zie De buitengebruikstelling van Azure Front Door (klassiek) voor meer informatie.

Webtoepassingen ervaren vaak verkeerspieken en schadelijke aanvallen, zoals denial-of-service-aanvallen. Azure Front Door met Azure WAF kan helpen uw toepassing te schalen en te beschermen tegen dergelijke bedreigingen. In deze zelfstudie wordt u begeleid bij het configureren van Azure Front Door met Azure WAF voor elke web-app, ongeacht of deze binnen of buiten Azure wordt uitgevoerd.

We gebruiken de Azure CLI voor deze zelfstudie. U kunt ook Azure Portal, Azure PowerShell, Azure Resource Manager of Azure REST API's gebruiken.

In deze zelfstudie leert u het volgende:

  • Een Front Door maken.
  • Een Azure WAF-beleid maken.
  • Regelsets configureren voor een WAF-beleid.
  • Een WAF-beleid koppelen aan Front Door.
  • Een aangepast domein configureren.

Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.

Vereisten

  • In deze zelfstudie wordt de Azure CLI gebruikt. Aan de slag met de Azure CLI.

    Tip

    Een eenvoudige manier om aan de slag te gaan met de Azure CLI is het gebruik van Bash in Azure Cloud Shell.

  • Zorg ervoor dat de front-door extensie is toegevoegd aan de Azure CLI:

    az extension add --name front-door

Notitie

Zie de Azure CLI-referentie voor Front Door voor meer informatie over de opdrachten die in deze zelfstudie worden gebruikt.

Een Azure Front Door-resource maken

az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
  • --backend-address: De FQDN (Fully Qualified Domain Name) van de toepassing die u wilt beveiligen, bijvoorbeeld myapplication.contoso.com.
  • --accepted-protocols: Protocollen die worden ondersteund door Azure Front Door, bijvoorbeeld --accepted-protocols Http Https.
  • --name: De naam van uw Azure Front Door-resource.
  • --resource-group: De resourcegroep voor deze Azure Front Door-resource. Meer informatie over het beheren van resourcegroepen.

Noteer de hostName waarde uit het antwoord, zoals u deze later nodig hebt. Dit hostName is de DNS-naam van de Azure Front Door-resource.

Een Azure WAF-profiel maken voor Azure Front Door

az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
  • --name: De naam van het nieuwe Azure WAF-beleid.
  • --resource-group: De resourcegroep voor deze WAF-resource.

Met de vorige opdracht maakt u een WAF-beleid in de preventiemodus.

Notitie

Overweeg eerst het WAF-beleid in de detectiemodus te maken om schadelijke aanvragen te observeren en te registreren zonder ze te blokkeren voordat u overschakelt naar de preventiemodus.

Noteer de ID waarde uit het antwoord, zoals u deze later nodig hebt. De ID indeling moet de volgende indeling hebben:

/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>

Beheerde regelsets toevoegen aan dit WAF-beleid

De standaardregelset toevoegen:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0

De regelset Bot Manager toevoegen:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
  • --policy-name: de naam van uw Azure WAF-resource.
  • --resource-group: De resourcegroep voor de WAF-resource.

Het WAF-beleid koppelen aan de Azure Front Door-resource

az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
  • --name: De naam van uw Azure Front Door-resource.
  • --resource-group: De resourcegroep voor de Azure Front Door-resource.
  • --set: Werk het WebApplicationFirewallPolicyLink kenmerk voor het frontendEndpoint kenmerk bij met de nieuwe WAF-beleids-id.

Notitie

Als u geen aangepast domein gebruikt, kunt u de volgende sectie overslaan. Geef uw klanten de verkregen gegevens op bij het hostName maken van de Azure Front Door-resource.

Aangepast domein configureren voor uw webtoepassing

Werk uw DNS-records bij om het aangepaste domein te laten verwijzen naar Azure Front Door hostName. Raadpleeg de documentatie van uw DNS-serviceprovider voor specifieke stappen. Als u Azure DNS gebruikt, raadpleegt u een DNS-record bijwerken.

Gebruik Azure DNS en het aliasrecordtype voor zone-apexdomeinen (bijvoorbeeld contoso.com).

Werk uw Azure Front Door-configuratie bij om het aangepaste domein toe te voegen.

Als u HTTPS wilt inschakelen voor uw aangepaste domein, moet u certificaten instellen in Azure Front Door.

Uw webtoepassing vergrendelen

Zorg ervoor dat alleen Azure Front Door-randen kunnen communiceren met uw webtoepassing. Zie Hoe u de toegang tot mijn back-end kunt vergrendelen naar alleen Azure Front Door.

Resources opschonen

Wanneer u de resourcegroep, Front Door en WAF-beleid niet meer nodig hebt, verwijdert u:

az group delete --name <resource-group>
  • --name: De naam van de resourcegroep voor alle resources die in deze zelfstudie worden gebruikt.

Volgende stappen

Als u problemen met uw Front Door wilt oplossen, raadpleegt u:

Algemene routeringsproblemen oplossen