Поделиться через

Настройка защиты от ботов для Брандмауэра веб-приложений

  • Статья

Azure Брандмауэр веб-приложений (WAF) для Front Door предоставляет правила бота для выявления хороших ботов и защиты от плохих ботов. Дополнительные сведения о наборе правил защиты ботов см. в разделе "Набор правил защиты ботов".

В этой статье показано, как включить правила защиты ботов на уровне Azure Front Door Premium.

Необходимые компоненты

Создайте базовую политику WAF для Front Door, выполнив инструкции из статьи Создание политики WAF для Azure Front Door с помощью портала Azure.

Включение набора правил защиты бота

  1. В портал Azure перейдите к политике WAF.

  2. Выберите управляемые правила, а затем нажмите кнопку "Назначить".

    Снимок экрана: портал Azure с конфигурацией управляемых правил политики WAF и выделенной кнопкой

  3. В раскрывающемся списке "Дополнительные наборы правил" выберите версию набора правил защиты бота, который требуется использовать. Обычно рекомендуется использовать последнюю версию набора правил.

    Снимок экрана: страница назначения управляемых правил портал Azure с выделенным раскрывающимся полем

  4. Выберите Сохранить.

Получение текущей конфигурации политики WAF

Используйте командлет Get-AzFrontDoorWafPolicy для получения текущей конфигурации политики WAF. Убедитесь, что для вашей среды используется правильное имя группы ресурсов и имя политики WAF.

$frontDoorWafPolicy = Get-AzFrontDoorWafPolicy `
  -ResourceGroupName 'FrontDoorWafPolicy' `
  -Name 'WafPolicy'

Добавление набора правил защиты бота

Используйте командлет New-AzFrontDoorWafManagedRuleObject, чтобы выбрать набор правил защиты бота, включая версию набора правил. Затем добавьте правило в конфигурацию WAF.

В приведенном ниже примере добавляется версия 1.0 правила защиты бота, заданная в конфигурацию WAF.

$botProtectionRuleSet = New-AzFrontDoorWafManagedRuleObject `
  -Type 'Microsoft_BotManagerRuleSet' `
  -Version '1.0'

$frontDoorWafPolicy.ManagedRules.Add($botProtectionRuleSet)

Применение конфигурации

Используйте командлет Update-AzFrontDoorWafPolicy, чтобы обновить политику WAF, чтобы включить созданную выше конфигурацию.

$frontDoorWafPolicy | Update-AzFrontDoorWafPolicy

Включение набора правил защиты бота

Используйте команду az network front-door waf-policy managed-rules, чтобы обновить политику WAF, чтобы добавить набор правил защиты бота.

В приведенном ниже примере добавляется версия 1.0 правила защиты бота, заданная в WAF. Убедитесь, что для вашей среды используется правильное имя группы ресурсов и имя политики WAF.

az network front-door waf-policy managed-rules add \
  --resource-group FrontDoorWafPolicy \
  --policy-name WafPolicy \
  --type Microsoft_BotManagerRuleSet \
  --version 1.0

В следующем примере Bicep-файла показано, как выполнить следующие действия.

  • Создайте политику WAF Front Door.
  • Включите версию 1.0 набора правил защиты бота.
param wafPolicyName string = 'WafPolicy'

@description('The mode that the WAF should be deployed using. In "Prevention" mode, the WAF will block requests it detects as malicious. In "Detection" mode, the WAF will not block requests and will simply log the request.')
@allowed([
  'Detection'
  'Prevention'
])
param wafMode string = 'Prevention'

resource wafPolicy 'Microsoft.Network/frontDoorWebApplicationFirewallPolicies@2022-05-01' = {
  name: wafPolicyName
  location: 'Global'
  sku: {
    name: 'Premium_AzureFrontDoor'
  }
  properties: {
    policySettings: {
      enabledState: 'Enabled'
      mode: wafMode
    }
    managedRules: {
      managedRuleSets: [
        {
          ruleSetType: 'Microsoft_BotManagerRuleSet'
          ruleSetVersion: '1.0'
        }
      ]
    }
  }
}

Следующие шаги