共用方式為


使用 Azure Front Door 的 WAF 設定 IP 限制規則

本文說明如何使用 Azure 入口網站、Azure CLI、Azure PowerShell 或 Azure Resource Manager 範本,在適用於 Azure Front Door 的 Web 應用程式防火牆 (WAF) 中設定 IP 限制規則。

IP 位址型存取控制規則是一種自訂 WAF 規則,可讓您控制 Web 應用程式的存取。 此規則會以無類別網域間路由選擇 (CIDR) 格式指定 IP 位址或 IP 位址範圍的清單。

IP 位址比對中有兩種類型的比對變數:RemoteAddrSocketAddrRemoteAddr 變數通常為以 X-Forwarded-For 要求標頭傳送的原始用戶端 IP。 SocketAddr 變數是 WAF 會看到的來源 IP 位址。 如果您的使用者置於 Proxy 之後,SocketAddr 通常是 Proxy 伺服器位址。

根據預設,Web 應用程式可從網際網路存取。 如果您想要限制從已知 IP 位址或 IP 位址範圍清單存取用戶端,則可建立 IP 比對規則,其中包含 IP 位址清單做為相符值,並將運算子設定為「Not」(否定值為 true ) 並將動作設定為 Block。 套用 IP 限制規則之後,來自此允許清單外部地址的要求會收到「403 禁止」回應。

設定 WAF 原則

請遵循下列步驟,使用 Azure 入口網站設定 WAF 原則。

必要條件

請遵循快速入門:建立高可用性全域 Web 應用程式的 Azure Front Door 執行個體設定檔中所述的指示來建立 Azure Front Door 設定檔。

建立 WAF 原則

  1. 在 Azure 入口網站中,選取 [建立資源]。 在 [搜尋服務和市集] 搜尋方塊中輸入「Web 應用程式防火牆」 ,然後選取 Enter。 然後選取 [Web 應用程式防火牆 (WAF)]

  2. 選取 建立

  3. 在 [建立 WAF 原則] 頁面上,使用下列值來完成 [基本] 索引標籤。

    設定
    原則適用對象 全域 WAF (Front Door)。
    Front Door 分層 選取 [進階] 或 [標準] 以符合您的 Azure Front Door 分層。
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 Azure Front Door 執行個體所在的資源群組。
    原則名稱 輸入原則的名稱。
    原則狀態 Selected
    原則模式 預護
  4. 選取 [下一步:受控規則]

  5. 選取 [下一步:原則設定]

  6. 在 [原則設定] 索引標籤上,針對 [封鎖回應本文] 輸入「您已遭封鎖!」,使您可以看到自訂規則已經生效。

  7. 選取 [下一步:自訂規則]

  8. 選取 [新增自訂規則]

  9. 在 [新增自訂規則] 頁面上,請使用下列測試值來建立自訂規則。

    設定
    自訂規則名稱 FdWafCustRule
    狀態 已啟用
    規則類型 比對
    優先順序 100
    比對類型 IP 位址
    比對變數 SocketAddr
    作業 不包含
    IP 位址或範圍 10.10.10.0/24
    結果為 拒絕流量

    自訂規則

    選取 [新增]。

  10. 選取 [下一步:關聯]

  11. 選取 [與 Front Door 設定檔建立關聯]

  12. 針對 [前端設定檔],選取您的前端設定檔。

  13. 針對 [網域],選取網域。

  14. 選取 [新增]。

  15. 選取 [檢閱 + 建立]。

  16. 原則驗證完成後,選取 [建立]

測試 WAF 原則

  1. WAF 原則部署完成之後,瀏覽至 Azure Front Door 前端主機名稱。

  2. 您應會看見自訂封鎖訊息。

    WAF 規則測試

    注意

    自訂規則中會刻意使用私人 IP 位址,以確保觸發規則。 在實際部署中,針對您的特定情況,使用 IP 位址建立「允許」和「拒絕」規則。

下一步

了解如何建立 Azure Front Door 設定檔