Partilhar via

Configurar uma política WAF de filtragem geográfica para o Azure Front Door

  • Artigo

Este tutorial mostra como usar o Azure PowerShell para criar uma política de filtragem geográfica de exemplo e associá-la ao seu host front-end existente do Azure Front Door. Esta política de filtragem geográfica de exemplo bloqueia solicitações de todos os outros países ou regiões, exceto os Estados Unidos.

Se não tiver uma subscrição do Azure, crie uma conta gratuita agora.

Pré-requisitos

Antes de começar a configurar uma política de filtro geográfico, configure seu ambiente do PowerShell e crie um perfil do Azure Front Door.

Configurar o ambiente do PowerShell

O Azure PowerShell fornece um conjunto de cmdlets que utilizam o modelo do Azure Resource Manager para gerir os recursos do Azure.

Pode instalar o Azure PowerShell no seu computador local e utilizá-lo em qualquer sessão do PowerShell. Siga as instruções na página para entrar com suas credenciais do Azure. Em seguida, instale o módulo Az PowerShell.

Conectar-se ao Azure com uma caixa de diálogo interativa para entrar

Install-Module -Name Az
Connect-AzAccount

Verifique se você tem a versão atual do PowerShellGet instalada. Execute o seguinte comando e reabra o PowerShell.

Install-Module PowerShellGet -Force -AllowClobber

Instale o módulo Az.FrontDoor

Install-Module -Name Az.FrontDoor

Criar um perfil do Azure Front Door

Crie um perfil do Azure Front Door seguindo as instruções descritas em Guia de início rápido: criar um perfil do Azure Front Door.

Definir uma condição de correspondência de filtragem geográfica

Crie uma condição de correspondência de exemplo que selecione solicitações não provenientes de "US" usando New-AzFrontDoorWafMatchConditionObject em parâmetros quando você cria uma condição de correspondência.

Os códigos de país ou região de duas letras para mapeamento de país ou região são fornecidos em O que é filtragem geográfica em um domínio para o Azure Front Door?.

$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"

Adicionar uma condição de correspondência de filtragem geográfica a uma regra com uma ação e uma prioridade

Crie um CustomRule objeto nonUSBlockRule com base na condição de correspondência, uma ação e uma prioridade usando New-AzFrontDoorWafCustomRuleObject. Uma regra personalizada pode ter várias condições de correspondência. Neste exemplo, Action está definido como Block. Priority está definido como 1, que é a prioridade mais alta.

$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1

Adicionar regras a uma política

Localize o nome do grupo de recursos que contém o perfil da Porta da Frente do Azure usando Get-AzResourceGroup. Em seguida, crie um geoPolicy objeto que contenha nonUSBlockRule usando New-AzFrontDoorWafPolicy no grupo de recursos especificado que contém o perfil do Azure Front Door. Você deve fornecer um nome exclusivo para a política geográfica.

O exemplo a seguir usa o nome myResourceGroupFD1 do grupo de recursos com a suposição de que você criou o perfil da Porta da Frente do Azure usando as instruções fornecidas em Guia de início rápido: Criar uma Porta da Frente do Azure. No exemplo a seguir, substitua o nome geoPolicyAllowUSOnly da política por um nome de política exclusivo.

$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule  `
-Mode Prevention `
-EnabledState Enabled

Vincule o objeto de política WAF ao host front-end existente do Azure Front Door. Atualize as propriedades da Porta da Frente do Azure.

Para fazer isso, primeiro recupere seu objeto Front Door do Azure usando Get-AzFrontDoor.

$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id

Em seguida, defina a propriedade front-end WebApplicationFirewallPolicyLink como a ID do recurso da política geográfica usando Set-AzFrontDoor.

Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]

Nota

Você só precisa definir a WebApplicationFirewallPolicyLink propriedade uma vez para vincular uma política WAF a um host front-end do Azure Front Door. As atualizações de política subsequentes são aplicadas automaticamente ao host front-end.

Próximos passos