Nastavení zásad WAF geografického filtrování pro službu Azure Front Door
V tomto kurzu se dozvíte, jak pomocí Azure PowerShell vytvořit ukázkovou zásadu geografického filtrování a přidružit ji k existujícímu hostiteli front-endu služby Azure Front Door. Tato ukázková zásada geografického filtrování blokuje požadavky ze všech ostatních zemí nebo oblastí s výjimkou USA.
Pokud ještě nemáte předplatné Azure, vytvořte si teď bezplatný účet.
Požadavky
Než začnete nastavovat zásady geografického filtrování, nastavte prostředí PowerShellu a vytvořte profil služby Azure Front Door.
Nastavení prostředí PowerShell
Prostředí Azure PowerShell poskytuje sadu rutin, které ke správě vašich prostředků Azure využívají model Azure Resource Manager.
Azure PowerShell můžete nainstalovat na místní počítač a používat v jakékoli relaci PowerShellu. Postupujte podle pokynů na stránce a přihlaste se pomocí svých přihlašovacích údajů Azure. Pak nainstalujte modul Az PowerShell.
Připojení k Azure pomocí interaktivního dialogového okna pro přihlášení
Install-Module -Name Az
Connect-AzAccount
Ujistěte se, že máte nainstalovanou aktuální verzi modulu PowerShellGet. Spusťte následující příkaz a znovu otevřete PowerShell.
Install-Module PowerShellGet -Force -AllowClobber
Instalace modulu Az.FrontDoor
Install-Module -Name Az.FrontDoor
Vytvoření profilu služby Azure Front Door
Vytvořte profil služby Azure Front Door podle pokynů popsaných v tématu Rychlý start: Vytvoření profilu služby Azure Front Door.
Definování podmínky shody geografického filtrování
Vytvořte ukázkovou podmínku shody, která vybere požadavky nepocházející z USA, pomocí rutiny New-AzFrontDoorWafMatchConditionObject u parametrů při vytváření podmínky shody.
Dvoumísmenné kódy zemí nebo oblastí s mapováním na zemi nebo oblast najdete v tématu Co je geografické filtrování v doméně pro službu Azure Front Door?.
$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"
Přidání podmínky shody geografického filtrování do pravidla s akcí a prioritou
Vytvořte CustomRule objekt nonUSBlockRule na základě podmínky shody, akce a priority pomocí rutiny New-AzFrontDoorWafCustomRuleObject. Vlastní pravidlo může mít několik podmínek shody. V tomto příkladu Action je nastavená na Blockhodnotu .
Priority je nastavená na 1, což je nejvyšší priorita.
$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1
Přidání pravidel do zásad
Pomocí příkazu vyhledejte název skupiny prostředků, která obsahuje profil Get-AzResourceGroupslužby Azure Front Door. Dále pomocí rutiny New-AzFrontDoorWafPolicy v zadané skupině prostředků, která obsahuje profil služby Azure Front Door, vytvořte geoPolicy objekt, který nonUSBlockRule obsahuje. Musíte zadat jedinečný název geografické zásady.
Následující příklad používá název myResourceGroupFD1 skupiny prostředků s předpokladem, že jste profil služby Azure Front Door vytvořili podle pokynů uvedených v tématu Rychlý start: Vytvoření služby Azure Front Door. V následujícím příkladu nahraďte název geoPolicyAllowUSOnly zásady jedinečným názvem zásady.
$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule `
-Mode Prevention `
-EnabledState Enabled
Propojení zásad WAF s hostitelem front-endu služby Azure Front Door
Propojte objekt zásad WAF s existujícím hostitelem front-endu služby Azure Front Door. Aktualizujte vlastnosti služby Azure Front Door.
Provedete to tak, že nejprve načtete objekt služby Azure Front Door pomocí rutiny Get-AzFrontDoor.
$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id
Dále pomocí rutiny Set-AzFrontDoor nastavte vlastnost front-endu WebApplicationFirewallPolicyLink na ID prostředku geografické zásady.
Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]
Poznámka
K propojení zásad WAF s front-endovým hostitelem služby Azure Front Door stačí vlastnost nastavit WebApplicationFirewallPolicyLink jenom jednou. Následné aktualizace zásad se automaticky použijí na hostitele front-endu.
Další kroky
- Přečtěte si o azure Web Application Firewall.
- Zjistěte, jak vytvořit instanci služby Azure Front Door.