Udostępnij za pośrednictwem

Skonfiguruj zasady filtrowania geograficznego zapory aplikacji internetowej dla usługi Azure Front Door

  • Artykuł

W tym samouczku pokazano, jak za pomocą programu Azure PowerShell utworzyć przykładowe zasady filtrowania geograficznego i skojarzyć je z istniejącym hostem frontonu usługi Azure Front Door. Ta przykładowa zasada filtrowania geograficznego blokuje żądania ze wszystkich innych krajów lub regionów z wyjątkiem Stany Zjednoczone.

Jeśli nie masz subskrypcji platformy Azure, utwórz teraz bezpłatne konto.

Wymagania wstępne

Przed rozpoczęciem konfigurowania zasad filtrowania geograficznego skonfiguruj środowisko programu PowerShell i utwórz profil usługi Azure Front Door.

Konfigurowanie środowiska programu PowerShell

Program Azure PowerShell udostępnia zestaw poleceń cmdlet, które pozwalają zarządzać zasobami platformy Azure przy użyciu modelu usługi Azure Resource Manager.

Możesz zainstalować program Azure PowerShell w maszynie lokalnej i używać go w dowolnej sesji programu PowerShell. Postępuj zgodnie z instrukcjami na stronie, aby zalogować się przy użyciu poświadczeń platformy Azure. Następnie zainstaluj moduł Az programu PowerShell.

Nawiązywanie połączenia z platformą Azure za pomocą interaktywnego okna dialogowego logowania

Install-Module -Name Az
Connect-AzAccount

Upewnij się, że masz zainstalowaną bieżącą wersję modułu PowerShellGet. Uruchom następujące polecenie i otwórz ponownie program PowerShell.

Install-Module PowerShellGet -Force -AllowClobber

Instalowanie modułu Az.FrontDoor

Install-Module -Name Az.FrontDoor

Tworzenie profilu usługi Azure Front Door

Utwórz profil usługi Azure Front Door, postępując zgodnie z instrukcjami opisanymi w przewodniku Szybki start: tworzenie profilu usługi Azure Front Door.

Definiowanie warunku dopasowania filtrowania geograficznego

Utwórz przykładowy warunek dopasowania, który wybiera żądania, które nie pochodzą z "USA", używając polecenia New-AzFrontDoorWafMatchConditionObject dla parametrów podczas tworzenia warunku dopasowania.

Dwuliterowe kody kraju lub regionu do mapowania kraju lub regionu znajdują się w artykule Co to jest filtrowanie geograficzne w domenie dla usługi Azure Front Door?.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Dodawanie warunku dopasowania filtrowania geograficznego do reguły z akcją i priorytetem

CustomRule Utwórz obiekt nonUSBlockRule na podstawie warunku dopasowania, akcji i priorytetu przy użyciu polecenia New-AzFrontDoorWafCustomRuleObject. Reguła niestandardowa może mieć wiele warunków dopasowania. W tym przykładzie Action ustawiono wartość Block. Priority jest ustawiona na 1wartość , która jest najwyższym priorytetem.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Dodawanie reguł do zasad

Znajdź nazwę grupy zasobów zawierającej profil usługi Azure Front Door przy użyciu polecenia Get-AzResourceGroup. Następnie utwórz geoPolicy obiekt zawierający nonUSBlockRule polecenie New-AzFrontDoorWafPolicy w określonej grupie zasobów zawierającej profil usługi Azure Front Door. Musisz podać unikatową nazwę zasad geograficznych.

W poniższym przykładzie użyto nazwy myResourceGroupFD1 grupy zasobów z założeniem, że utworzono profil usługi Azure Front Door, korzystając z instrukcji podanych w przewodniku Szybki start: tworzenie usługi Azure Front Door. W poniższym przykładzie zastąp nazwę geoPolicyAllowUSOnly zasad unikatową nazwą zasad.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Połącz obiekt zasad zapory aplikacji internetowej z istniejącym hostem frontonu usługi Azure Front Door. Aktualizowanie właściwości usługi Azure Front Door.

W tym celu najpierw pobierz obiekt usługi Azure Front Door przy użyciu polecenia Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Następnie ustaw właściwość frontonu WebApplicationFirewallPolicyLink na identyfikator zasobu zasad geograficznych przy użyciu polecenia Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Uwaga

Właściwość należy ustawić WebApplicationFirewallPolicyLink tylko raz, aby połączyć zasady zapory aplikacji internetowej z hostem frontonu usługi Azure Front Door. Kolejne aktualizacje zasad są automatycznie stosowane do hosta frontonu.

Następne kroki