Konfigurowanie ochrony bota dla zapory aplikacji internetowej
Zapora aplikacji internetowej platformy Azure dla usługi Front Door udostępnia reguły botów umożliwiające identyfikowanie dobrych botów i ochronę przed złymi botami. Aby uzyskać więcej informacji na temat zestawu reguł ochrony botów, zobacz Zestaw reguł ochrony botów.
W tym artykule pokazano, jak włączyć reguły ochrony botów w warstwie Premium usługi Azure Front Door.
Wymagania wstępne
Utwórz podstawowe zasady zapory aplikacji internetowej dla usługi Front Door, postępując zgodnie z instrukcjami opisanymi w temacie Tworzenie zasad zapory aplikacji internetowej dla usługi Azure Front Door przy użyciu witryny Azure Portal.
Włączanie zestawu reguł ochrony botów
W witrynie Azure Portal przejdź do zasad zapory aplikacji internetowej.
Wybierz pozycję Reguły zarządzane, a następnie wybierz pozycję Przypisz.
Z listy rozwijanej Dodatkowy zestaw reguł wybierz wersję zestawu reguł ochrony bota, którego chcesz użyć. Zazwyczaj dobrym rozwiązaniem jest użycie najnowszej wersji zestawu reguł.
Wybierz pozycję Zapisz.
Pobieranie bieżącej konfiguracji zasad zapory aplikacji internetowej
Użyj polecenia cmdlet Get-AzFrontDoorWafPolicy, aby pobrać bieżącą konfigurację zasad zapory aplikacji internetowej. Upewnij się, że używasz poprawnej nazwy grupy zasobów i nazwy zasad zapory aplikacji internetowej dla własnego środowiska.
$frontDoorWafPolicy = Get-AzFrontDoorWafPolicy `
-ResourceGroupName 'FrontDoorWafPolicy' `
-Name 'WafPolicy'
Dodawanie zestawu reguł ochrony bota
Użyj polecenia cmdlet New-AzFrontDoorWafManagedRuleObject, aby wybrać zestaw reguł ochrony bota, w tym wersję zestawu reguł. Następnie dodaj zestaw reguł do konfiguracji zapory aplikacji internetowej.
W poniższym przykładzie dodano wersję 1.0 reguły ochrony bota ustawioną na konfigurację zapory aplikacji internetowej.
$botProtectionRuleSet = New-AzFrontDoorWafManagedRuleObject `
-Type 'Microsoft_BotManagerRuleSet' `
-Version '1.0'
$frontDoorWafPolicy.ManagedRules.Add($botProtectionRuleSet)
Stosowanie konfiguracji
Użyj polecenia cmdlet Update-AzFrontDoorWafPolicy, aby zaktualizować zasady zapory aplikacji internetowej, aby uwzględnić konfigurację utworzoną powyżej.
$frontDoorWafPolicy | Update-AzFrontDoorWafPolicy
Włączanie zestawu reguł ochrony botów
Użyj polecenia az network front-door waf-policy managed-rules add, aby zaktualizować zasady zapory aplikacji internetowej w celu dodania zestawu reguł ochrony bota.
W poniższym przykładzie dodano wersję 1.0 reguły ochrony bota ustawioną na zaporę aplikacji internetowej. Upewnij się, że używasz poprawnej nazwy grupy zasobów i nazwy zasad zapory aplikacji internetowej dla własnego środowiska.
az network front-door waf-policy managed-rules add \
--resource-group FrontDoorWafPolicy \
--policy-name WafPolicy \
--type Microsoft_BotManagerRuleSet \
--version 1.0
Poniższy przykładowy plik Bicep pokazuje, jak wykonać następujące czynności:
- Utwórz zasady zapory aplikacji internetowej usługi Front Door.
- Włącz wersję 1.0 zestawu reguł ochrony botów.
param wafPolicyName string = 'WafPolicy'
@description('The mode that the WAF should be deployed using. In "Prevention" mode, the WAF will block requests it detects as malicious. In "Detection" mode, the WAF will not block requests and will simply log the request.')
@allowed([
'Detection'
'Prevention'
])
param wafMode string = 'Prevention'
resource wafPolicy 'Microsoft.Network/frontDoorWebApplicationFirewallPolicies@2022-05-01' = {
name: wafPolicyName
location: 'Global'
sku: {
name: 'Premium_AzureFrontDoor'
}
properties: {
policySettings: {
enabledState: 'Enabled'
mode: wafMode
}
managedRules: {
managedRuleSets: [
{
ruleSetType: 'Microsoft_BotManagerRuleSet'
ruleSetVersion: '1.0'
}
]
}
}
}