Konfigurieren einer IP-Einschränkungsregel mit einer WAF für Azure Front Door

In diesem Artikel wird erläutert, wie Sie IP-Einschränkungsregeln in einer Web Application Firewall (WAF) für Azure Front Door über das Azure-Portal, die Azure CLI, Azure PowerShell oder eine Azure Resource Manager-Vorlage konfigurieren.

Eine auf IP-Adressen basierende Zugriffssteuerungsregel ist eine benutzerdefinierte WAF-Regel, mit der Sie den Zugriff auf Ihre Webanwendungen steuern können. Die Regel gibt eine Liste mit IP-Adressen oder IP-Adressbereichen im CIDR-Format (Classless Inter-Domain Routing) an.

Es gibt zwei Arten von Abgleichsvariablen bei einem IP-Adressabgleich: RemoteAddr und SocketAddr. Die Variable RemoteAddr ist die ursprüngliche Client-IP, die normalerweise über den Header der Anforderung X-Forwarded-For gesendet wird. Die SocketAddr-Variable ist die Quell-IP-Adresse, die die WAF sieht. Wenn sich ein*e Benutzer*in hinter einem Proxy befindet, ist SocketAddr oft die Adresse des Proxyservers.

Standardmäßig kann auf Ihre Webanwendungen über das Internet zugegriffen werden. Wenn Sie den Zugriff auf Clients entsprechend einer Liste bekannter IP-Adressen oder IP-Adressbereiche einschränken möchten, können Sie eine IP-Vergleichsregel erstellen, die die Liste der IP-Adressen als abzugleichende Werte enthält und in der der Operator auf Not (Negation ist wahr) und die Aktion auf Block festgelegt wird. Nachdem eine IP-Einschränkungsregel angewandt wurde, erhalten Anforderungen von Adressen, die nicht in dieser Zulassungsliste enthalten sind, die Antwort „403 (Nicht zulässig)“.

Konfigurieren einer WAF-Richtlinie

Befolgen Sie diese Schritte, um eine WAF-Richtlinie mithilfe des Azure-Portals zu konfigurieren.

Voraussetzungen

Erstellen Sie ein Azure Front Door-Profil gemäß den Anweisungen unter Schnellstart: Erstellen einer Azure Front Door-Instanz für eine hochverfügbare globale Webanwendung.

Erstellen einer WAF-Richtlinie

  1. Klicken Sie im Azure-Portal auf Ressource erstellen. Geben Sie Web Application Firewall in das Suchfeld Dienste und Marketplace suchen ein, und drücken Sie die EINGABETASTE. Wählen Sie dann Web Application Firewall (WAF) aus.

  2. Klicken Sie auf Erstellen.

  3. Auf der Seite WAF-Richtlinie erstellen verwenden Sie die folgenden Werte, um die Registerkarte Grundlagen auszufüllen.

    Einstellung Wert
    Richtlinie für Globale WAF (Front Door)
    Front Door-Tarif Wählen Sie „Premium“ oder „Standard“ entsprechend Ihrem Azure Front Door-Tarif aus.
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie die Ressourcengruppe aus, in der sich Ihre Azure Front Door-Instanz befindet.
    Richtlinienname Geben Sie einen Namen für die Richtlinie ein.
    Richtlinienstatus Aktiviert
    Richtlinienmodus Prävention
  4. Wählen Sie Weiter: Verwaltete Regeln aus.

  5. Wählen Sie Weiter: Richtlinieneinstellungen aus.

  6. Geben Sie auf der Registerkarte Richtlinieneinstellungen für den Antworttext für blockierte Anforderungen den Text Sie wurden blockiert! ein, damit Sie testen können, ob Ihre benutzerdefinierte Regel in Kraft ist.

  7. Klicken Sie auf Weiter: Benutzerdefinierte Regeln.

  8. Wählen Sie Benutzerdefinierte Regel hinzufügen aus.

  9. Verwenden Sie auf der Seite Benutzerdefinierte Regel hinzufügen die folgenden Testwerte, um eine benutzerdefinierte Regel zu erstellen.

    Einstellung Wert
    Name der benutzerdefinierten Regel FdWafCustRule
    Status Aktiviert
    Regeltyp Match
    Priorität 100
    Übereinstimmungstyp IP-Adresse
    Übereinstimmungsvariable SocketAddr
    Vorgang Enthält nicht
    IP-Adresse oder Adressbereich 10.10.10.0/24
    Then Datenverkehr ablehnen

    Benutzerdefinierte Regel

    Wählen Sie Hinzufügen.

  10. Klicken Sie auf Weiter: Zuordnung.

  11. Wählen Sie Ein Front Door-Profil zuordnen aus.

  12. Wählen Sie für Front-End-Profil Ihr Front-End-Profil aus.

  13. Wählen Sie unter Domäne die Domäne aus.

  14. Wählen Sie Hinzufügen.

  15. Klicken Sie auf Überprüfen + erstellen.

  16. Nachdem Ihre Richtlinienüberprüfung bestanden ist, wählen Sie Erstellen aus.

Testen Ihrer WAF-Richtlinie

  1. Nachdem die Bereitstellung der WAF-Richtlinien abgeschlossen ist, navigieren Sie in Azure Front Door zu Ihrem Front-End-Hostnamen.

  2. Es sollte Ihre benutzerdefinierte Blockierungsmeldung angezeigt werden.

    WAF-Regeltest

    Hinweis

    In der benutzerdefinierten Regel wurde absichtlich eine private IP-Adresse verwendet, um die Auslösung der Regel sicherzustellen. Erstellen Sie bei einer tatsächlichen Bereitstellung Regeln für das Zulassen und Ablehnen mit IP-Adressen für die jeweilige Situation.

Nächste Schritte

Erfahren Sie, wie Sie ein Azure Front Door-Profil erstellen.