Dela via

Självstudie: Skala och skydda snabbt ett webbprogram med Azure Front Door och Azure Web Application Firewall (WAF)

  • Artikel

Viktigt!

Azure Front Door (klassisk) dras tillbaka den 31 mars 2027. För att undvika avbrott i tjänsten är det viktigt att du migrerar dina Azure Front Door-profiler (klassiska) till Azure Front Door Standard- eller Premium-nivån senast i mars 2027. Mer information finns i Azure Front Door (klassisk) tillbakadragning.

Webbprogram upplever ofta trafiktoppar och skadliga attacker, till exempel överbelastningsattacker. Azure Front Door med Azure WAF kan hjälpa dig att skala ditt program och skydda det mot sådana hot. Den här självstudien vägleder dig genom att konfigurera Azure Front Door med Azure WAF för alla webbappar, oavsett om den körs i eller utanför Azure.

Vi använder Azure CLI för den här självstudien. Du kan också använda API:erna Azure Portal, Azure PowerShell, Azure Resource Manager eller Azure REST.

I den här självstudien får du lära dig att:

  • Skapa en Front Door.
  • Skapa en Azure WAF-princip.
  • Konfigurera regeluppsättningar för en WAF-princip.
  • Associera en WAF-princip med Front Door.
  • Konfigurera en anpassad domän.

Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt Azure-konto innan du börjar.

Förutsättningar

  • I den här självstudien används Azure CLI. Kom igång med Azure CLI.

    Dricks

    Ett enkelt sätt att komma igång med Azure CLI är att använda Bash i Azure Cloud Shell.

  • front-door Kontrollera att tillägget har lagts till i Azure CLI:

    az extension add --name front-door

Kommentar

Mer information om de kommandon som används i den här självstudien finns i Azure CLI-referensen för Front Door.

Skapa en Azure Front Door-resurs

az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
  • --backend-address: Det fullständigt kvalificerade domännamnet (FQDN) för det program som du vill skydda, till exempel myapplication.contoso.com.
  • --accepted-protocols: Protokoll som stöds av Azure Front Door, --accepted-protocols Http Httpstill exempel .
  • --name: Namnet på din Azure Front Door-resurs.
  • --resource-group: Resursgruppen för den här Azure Front Door-resursen. Läs mer om att hantera resursgrupper.

Observera värdet hostName från svaret, eftersom du behöver det senare. hostName är DNS-namnet på Azure Front Door-resursen.

Skapa en Azure WAF-profil för Azure Front Door

az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
  • --name: Namnet på den nya Azure WAF-principen.
  • --resource-group: Resursgruppen för den här WAF-resursen.

Föregående kommando skapar en WAF-princip i förebyggande läge.

Kommentar

Överväg att skapa WAF-principen i identifieringsläge först för att observera och logga skadliga begäranden utan att blockera dem innan du byter till förebyggande läge.

Observera värdet ID från svaret, eftersom du behöver det senare. ID Bör vara i det här formatet:

/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>

Lägga till hanterade regeluppsättningar i WAF-principen

Lägg till standardregeluppsättningen:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0

Lägg till regeluppsättningen för robotskydd:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
  • --policy-name: Namnet på din Azure WAF-resurs.
  • --resource-group: Resursgruppen för WAF-resursen.

Associera WAF-principen med Azure Front Door-resursen

az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
  • --name: Namnet på din Azure Front Door-resurs.
  • --resource-group: Resursgruppen för Azure Front Door-resursen.
  • --set: Uppdatera WebApplicationFirewallPolicyLink attributet för frontendEndpoint med det nya WAF-princip-ID:t.

Kommentar

Om du inte använder en anpassad domän kan du hoppa över nästa avsnitt. Ge dina kunder det hostName som erhölls när du skapade Azure Front Door-resursen.

Konfigurera den anpassade domänen för webbappen

Uppdatera dns-posterna så att den anpassade domänen pekar på Azure Front Door hostName. Se dokumentationen för DNS-tjänstleverantören för specifika steg. Om du använder Azure DNS läser du uppdatera en DNS-post.

För zonexdomäner (till exempel contoso.com) använder du Azure DNS och dess aliasposttyp.

Uppdatera Azure Front Door-konfigurationen för att lägga till den anpassade domänen.

Om du vill aktivera HTTPS för din anpassade domän konfigurerar du certifikat i Azure Front Door.

Lås webbappen

Se till att endast Azure Front Door-kanter kan kommunicera med ditt webbprogram. Se Så här låser du åtkomsten till min serverdel till endast Azure Front Door.

Rensa resurser

Ta bort resursgruppen, Front Door och WAF-principen när de inte längre behövs:

az group delete --name <resource-group>
  • --name: Namnet på resursgruppen för alla resurser som används i den här självstudien.

Nästa steg

Information om hur du felsöker frontdörren finns i:

Felsöka vanliga routningsproblem