Tutorial: Escale e proteja rapidamente um aplicativo Web usando o Azure Front Door e o Firewall de Aplicativo Web (WAF) do Azure
Importante
O Azure Front Door (clássico) será desativado em 31 de março de 2027. Para evitar qualquer interrupção do serviço, é importante que você migre seus perfis do Azure Front Door (clássico) para a camada Azure Front Door Standard ou Premium até março de 2027. Para obter mais informações, consulte Desativação do Azure Front Door (clássico).
Os aplicativos Web costumam enfrentar picos de tráfego e ataques maliciosos, como ataques de negação de serviço. O Azure Front Door com o WAF do Azure pode ajudar a escalar seu aplicativo e protegê-la contra essas ameaças. Esse tutorial orienta você pela configuração do Azure Front Door com o WAF do Azure para qualquer aplicativo Web, seja ele executado dentro ou fora do Azure.
Usamos o CLI do Azure neste tutorial. Você também pode usar o portal do Azure, o Azure PowerShell, o Azure Resource Manager ou as APIs REST do Azure.
Neste tutorial, você aprenderá a:
- Criar um Front Door.
- Criar uma política de WAF do Azure.
- Configurar conjuntos de regras para uma política de WAF.
- Associar uma política de WAF ao Front Door.
- Configurar um domínio personalizado.
Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.
Pré-requisitos
Este tutorial usa a CLI do Azure. Comece com o CLI do Azure.
Dica
Uma maneira fácil de começar com a CLI do Azure é usar Bash no Azure Cloud Shell.
Certifique-se de que a extensão
front-doorseja adicionada ao CLI do Azure:az extension add --name front-door
Observação
Para obter mais informações sobre os comandos usados neste tutorial, veja a referência do CLI do Azure para o Front Door.
Criar um recurso do Azure Front Door
az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
--backend-address: O nome de domínio totalmente qualificado (FQDN) do aplicativo que você deseja proteger, por exemplo,myapplication.contoso.com.--accepted-protocols: Protocolos com suporte pelo Azure Front Door, por exemplo,--accepted-protocols Http Https.--name: o nome do recurso do Azure Front Door.--resource-group: o grupo de recursos para esse recurso do Azure Front Door. Saiba mais sobre gerenciar grupos de recursos.
Anote o valor hostName da resposta, pois você precisará dele mais tarde. O hostName é o nome DNS do recurso Azure Front Door.
Crie um perfil do WAF do Azure para o Azure Front Door
az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
--name: o nome da nova política de WAF do Azure.--resource-group: O grupo de recursos para esse recurso do WAF.
O comando anterior cria uma política do WAF no modo de prevenção.
Observação
Considere criar a política do WAF primeiro no modo de detecção para observar e registrar solicitações maliciosas sem bloqueá-las antes de alternar para o modo de prevenção.
Anote o valor ID da resposta, pois você precisará dele mais tarde. O ID deve estar neste formato:
/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>
Adicionar conjuntos de regras gerenciados à política de WAF
Adicione o conjunto de regras padrão:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0
Adicione o conjunto de regras de proteção contra bots:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
--policy-name: O nome do seu recurso do WAF do Azure.--resource-group: O grupo de recursos para o recurso do WAF.
Associar a política de WAF ao recurso do Azure Front Door
az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
--name: o nome do recurso do Azure Front Door.--resource-group: O grupo de recursos para o recurso do Azure Front Door.--set: Atualize o atributoWebApplicationFirewallPolicyLinkpara ofrontendEndpointcom a nova ID da política do WAF.
Observação
Se você não estiver usando um domínio personalizado, poderá pular para a próxima seção. Forneça aos seus clientes o hostName obtido ao criar o recurso do Azure Front Door.
Configurar o domínio personalizado para seu aplicativo Web
Atualize seus registros DNS para apontar o domínio personalizado para o hostName do Azure Front Door. Consulte a documentação do seu provedor de serviços DNS para etapas específicas. Se você usar o DNS do Azure, confia atualizar um registro DNS.
Para domínios de ápice de zona (por exemplo, contoso.com), use o DNS do Azure e seu tipo de registro de alias.
Atualize sua configuração do Azure Front Door para adicionar o domínio personalizado.
Para habilitar o HTTPS no seu domínio personalizado, configure certificados no Azure Front Door.
Bloquear seu aplicativo Web
Garanta que apenas as bordas do Azure Front Door possam se comunicar com seu aplicativo Web. Confira Como bloquear o acesso ao meu back-end apenas para o Azure Front Door.
Limpar os recursos
Quando não for mais necessário, exclua o grupo de recursos, o Front Door e a política do WAF:
az group delete --name <resource-group>
--name: o nome do grupo de recursos de todos os recursos usados neste tutorial.
Próximas etapas
Para solucionar problemas do seu Front Door, confira: