Partilhar via


Configurar uma regra de restrição de IP com um WAF para o Azure Front Door

Este artigo mostra como configurar regras de restrição de IP em um firewall de aplicativo Web (WAF) para o Azure Front Door usando o portal do Azure, a CLI do Azure, o Azure PowerShell ou um modelo do Azure Resource Manager.

Uma regra de controle de acesso baseada em endereço IP é uma regra WAF personalizada que permite controlar o acesso aos seus aplicativos Web. A regra especifica uma lista de endereços IP ou intervalos de endereços IP no formato CIDR (Roteamento entre Domínios sem Classe).

Há dois tipos de variáveis de correspondência em uma correspondência de endereço IP: RemoteAddr e SocketAddr. A RemoteAddr variável é o IP original do cliente que geralmente é enviado através do cabeçalho da X-Forwarded-For solicitação. A SocketAddr variável é o endereço IP de origem que o WAF vê. Se o seu usuário está atrás de um proxy, SocketAddr geralmente é o endereço do servidor proxy.

Por padrão, seu aplicativo Web é acessível pela Internet. Se quiser limitar o acesso a clientes a partir de uma lista de endereços IP conhecidos ou intervalos de endereços IP, você pode criar uma regra de correspondência de IP que contenha a lista de endereços IP como valores correspondentes e defina o operador como Not (negar é verdadeiro) e a ação como Block. Depois que uma regra de restrição de IP é aplicada, as solicitações originadas de endereços fora dessa lista permitida recebem uma resposta 403 Proibido.

Configurar uma política WAF

Siga estas etapas para configurar uma política WAF usando o portal do Azure.

Pré-requisitos

Crie um perfil do Azure Front Door seguindo as instruções descritas em Guia de início rápido: crie uma instância do Azure Front Door para um aplicativo Web global altamente disponível.

Criar uma política WAF

  1. No portal do Azure, selecione Criar um recurso. Insira o firewall do aplicativo Web na caixa de pesquisa Serviços de pesquisa e marketplace e selecione Enter. Em seguida, selecione Web Application Firewall (WAF).

  2. Selecione Criar.

  3. Na página Criar uma política WAF, use os seguintes valores para concluir a guia Noções básicas.

    Definição Value
    Política para WAF Global (Porta da frente).
    Camada da porta da frente Selecione Premium ou Standard para corresponder à sua camada da Porta da Frente do Azure.
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione o grupo de recursos onde sua instância do Azure Front Door está localizada.
    Nome da política Introduza um nome para a sua política.
    Estado da política Selecionado
    Modo de política Prevenção
  4. Selecione Next: Managed rules.

  5. Selecione Avançar : Configurações de política.

  6. Na guia Configurações de política, digite Você foi bloqueado! para o corpo de resposta Bloquear para que você possa ver que sua regra personalizada está em vigor.

  7. Selecione Next: Regras personalizadas.

  8. Selecione Adicionar regra personalizada.

  9. Na página Adicionar regra personalizada, use os seguintes valores de teste para criar uma regra personalizada.

    Definição Value
    Nome da regra personalizada FdWafCustRule
    Status Ativado(a)
    Tipo de regra Match
    Prioridade 100
    Tipo de correspondência Endereço IP
    Variável de correspondência SocketAddr
    Operação Não contém
    Endereço IP ou intervalo 10.10.10.0/24
    Então Negar tráfego

    Regra personalizada

    Selecione Adicionar.

  10. Selecione Next: Association.

  11. Selecione Associar um perfil de porta da frente.

  12. Para Perfil de front-end, selecione seu perfil de front-end.

  13. Em Domínio, selecione o domínio.

  14. Selecione Adicionar.

  15. Selecione Rever + criar.

  16. Depois que a validação da política for aprovada, selecione Criar.

Teste sua política WAF

  1. Após a conclusão da implantação da política do WAF, navegue até o nome do host front-end do Azure Front Door.

  2. Você verá sua mensagem de bloqueio personalizada.

    Teste de regra WAF

    Nota

    Um endereço IP privado foi intencionalmente usado na regra personalizada para garantir que a regra fosse acionada. Em uma implantação real, crie regras de permissão e negação usando endereços IP para sua situação específica.

Próximos passos

Saiba como criar um perfil do Azure Front Door.