Partilhar via

Tutorial: Dimensione e proteja rapidamente um aplicativo Web usando o Azure Front Door e o Azure Web Application Firewall (WAF)

  • Artigo

Importante

O Azure Front Door (clássico) será desativado em 31 de março de 2027. Para evitar qualquer interrupção do serviço, é importante migrar seus perfis do Azure Front Door (clássico) para a camada Azure Front Door Standard ou Premium até março de 2027. Para obter mais informações, consulte Aposentadoria (clássica) do Azure Front Door.

Os aplicativos Web geralmente sofrem picos de tráfego e ataques mal-intencionados, como ataques de negação de serviço. O Azure Front Door com o Azure WAF pode ajudar a dimensionar seu aplicativo e protegê-lo contra essas ameaças. Este tutorial orienta você na configuração do Azure Front Door com o Azure WAF para qualquer aplicativo Web, seja ele executado dentro ou fora do Azure.

Usamos a CLI do Azure para este tutorial. Você também pode usar o portal do Azure, o Azure PowerShell, o Gerenciador de Recursos do Azure ou as APIs REST do Azure.

Neste tutorial, irá aprender a:

  • Crie uma porta da frente.
  • Crie uma política WAF do Azure.
  • Configure conjuntos de regras para uma política WAF.
  • Associe uma política WAF ao Front Door.
  • Configure um domínio personalizado.

Se não tiver uma subscrição do Azure, crie uma conta gratuita do Azure antes de começar.

Pré-requisitos

  • Este tutorial usa a CLI do Azure. Introdução à CLI do Azure.

    Gorjeta

    Uma maneira fácil de começar a usar a CLI do Azure é usar o Bash no Azure Cloud Shell.

  • Verifique se a front-door extensão foi adicionada à CLI do Azure:

    az extension add --name front-door

Nota

Para obter mais informações sobre os comandos usados neste tutorial, consulte a referência da CLI do Azure para Front Door.

Criar um recurso do Azure Front Door

az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
  • --backend-address: O nome de domínio totalmente qualificado (FQDN) do aplicativo que você deseja proteger, por exemplo, myapplication.contoso.com.
  • --accepted-protocols: Protocolos suportados pelo Azure Front Door, por exemplo, --accepted-protocols Http Https.
  • --name: O nome do seu recurso Azure Front Door.
  • --resource-group: O grupo de recursos para este recurso da Porta da Frente do Azure. Saiba mais sobre como gerenciar grupos de recursos.

Anote o hostName valor da resposta, conforme você precisar dele mais tarde. O hostName é o nome DNS do recurso Azure Front Door.

Criar um perfil WAF do Azure para o Azure Front Door

az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
  • --name: O nome da nova política WAF do Azure.
  • --resource-group: O grupo de recursos para este recurso WAF.

O comando anterior cria uma política WAF no modo de prevenção.

Nota

Considere criar a política WAF no modo de deteção primeiro para observar e registrar solicitações maliciosas sem bloqueá-las antes de mudar para o modo de prevenção.

Anote o ID valor da resposta, conforme você precisar dele mais tarde. O ID deve estar neste formato:

/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>

Adicionar conjuntos de regras gerenciadas à política WAF

Adicione o conjunto de regras padrão:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0

Adicione o conjunto de regras de proteção de bot:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
  • --policy-name: O nome do seu recurso WAF do Azure.
  • --resource-group: O grupo de recursos para o recurso WAF.

Associar a política WAF ao recurso Azure Front Door

az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
  • --name: O nome do seu recurso Azure Front Door.
  • --resource-group: O grupo de recursos para o recurso Azure Front Door.
  • --set: Atualize o WebApplicationFirewallPolicyLink atributo para o frontendEndpoint com o novo ID de política WAF.

Nota

Se não estiver a utilizar um domínio personalizado, pode ignorar a secção seguinte. Forneça aos seus clientes o hostName obtido quando criou o recurso Azure Front Door.

Configurar o domínio personalizado para seu aplicativo Web

Atualize seus registros DNS para apontar o domínio personalizado para a Porta da Frente hostNamedo Azure . Consulte a documentação do seu provedor de serviços DNS para obter etapas específicas. Se você usa o DNS do Azure, consulte Atualizar um registro DNS.

Para domínios de ápice de zona (por exemplo, contoso.com), use o DNS do Azure e seu tipo de registro de alias.

Atualize sua configuração do Azure Front Door para adicionar o domínio personalizado.

Para habilitar HTTPS para seu domínio personalizado, configure certificados no Azure Front Door.

Bloqueie seu aplicativo Web

Certifique-se de que apenas as bordas da Porta da Frente do Azure possam se comunicar com seu aplicativo Web. Consulte Como bloquear o acesso ao meu back-end apenas para o Azure Front Door.

Clean up resources (Limpar recursos)

Quando não for mais necessário, exclua o grupo de recursos, a porta da frente e a política WAF:

az group delete --name <resource-group>
  • --name: O nome do grupo de recursos para todos os recursos usados neste tutorial.

Próximos passos

Para solucionar problemas com a porta da frente, consulte:

Solução de problemas comuns de roteamento