Tutorial: Creación de una directiva WAF en Azure Front Door con Azure Portal

En este tutorial se muestra cómo crear una directiva de firewall de aplicaciones web (WAF) básica y aplicarla a un host de front-end en Azure Front Door.

En este tutorial, aprenderá a:

  • Creación de una directiva WAF.
  • Asociarla a un host de front-end.
  • Configurar las reglas de WAF.

Requisitos previos

Cree una instancia de Azure Front Door o un perfil de Azure Front Door Estándar o Premium.

Creación de una directiva WAF

En primer lugar, cree una directiva básica de WAF con el conjunto de reglas predeterminado (DRS) administrado con Azure Portal.

  1. En la parte superior izquierda de la pantalla, seleccione Crear un recurso. Busque WAF, seleccione firewall de aplicaciones web (WAF), y seleccione Crear.

  2. En la pestaña Aspectos básicos de la página Crear directiva de WAF, escriba o seleccione la siguiente información y acepte los valores predeterminados para el resto de la configuración.

    Configuración Value
    Directiva de Seleccione WAF global (Front Door) .
    Nivel de Front Door Seleccione entre los niveles Clásico, Estándar y Premium.
    Suscripción Seleccione su suscripción a Azure.
    Resource group Seleccione el nombre del grupo de recursos de Azure Front Door.
    Nombre de la directiva Escriba un nombre único para la directiva WAF.
    Estado de directiva Establézcalo como Habilitado.

    Captura de pantalla que muestra la página Crear una directiva de W A F, con el botón Revisar y crear, y cuadros de lista para la suscripción, el grupo de recursos y el nombre de la directiva.

  3. En la pestaña Asociación, seleccione Asociar un perfil de Front Door, escriba la siguiente configuración y seleccione Agregar.

    Configuración Valor
    Perfil de Front Door Seleccione el nombre de su perfil de Azure Front Door.
    Dominios Seleccione los dominios a los que desea asociar la directiva WAF y, a continuación, seleccione Agregar.

    Captura de pantalla que muestra la página para asociar un perfil de Front Door.

    Nota:

    Si el dominio está asociado a una directiva WAF, se muestra como atenuado. Debe quitar primero el dominio de la directiva asociada y, a continuación, volver a asociarlo a una nueva directiva WAF.

  4. Seleccione Revisar y crear>Crear.

Configuración de reglas de WAF (opcional)

Siga estos pasos para configurar las reglas de WAF.

Cambio del modo

Cuando se crea una directiva WAF, de manera predeterminada está en modo Detección. En el modo Detección, la WAF no bloquea ninguna solicitud. En su lugar, las reglas de WAF coincidentes se registran en los registros de WAF. Para ver la WAF en acción, puede cambiar la configuración del modo Detección a Prevención. En el modo Prevención, las solicitudes que coinciden con las reglas definidas se bloquean y se registran en los registros de WAF.

Captura de pantalla que muestra la página Información general de la directiva WAF de Azure Front Door que muestra cómo cambiar al modo Prevención.

Reglas personalizadas

Para crear una regla personalizada, en la sección Reglas personalizadas, seleccione Agregar regla personalizada para abrir la página de configuración de reglas personalizadas.

Captura de pantalla que muestra la página Reglas personalizadas.

El siguiente ejemplo muestra cómo configurar una regla personalizada para bloquear una solicitud si la cadena de consulta contiene blockme.

Captura de pantalla que muestra la página de configuración de regla personalizada que muestra la configuración de una regla que comprueba si la variable QueryString contiene el valor blockme.

Conjunto de reglas predeterminado

El conjunto de reglas predeterminado administrado por Azure está habilitado de forma predeterminada en los niveles Premium y Clásico de Azure Front Door. El DRS actual para el nivel Premium de Azure Front Door es Microsoft_DefaultRuleSet_2.1. Microsoft_DefaultRuleSet_1.1 es el DRS actual para el nivel Clásico de Azure Front Door. En la página Reglas administradas, seleccione Asignar para asignar otro DRS.

Para deshabilitar una regla individual, active la casilla que se encuentra delante del número de regla y seleccione Deshabilitar en la parte superior de la página. Si desea cambiar los tipos de acción de las reglas individuales dentro del conjunto de reglas, active la casilla que se encuentra delante del número de regla y seleccione Cambiar acción en la parte superior de la página.

Captura de pantalla que muestra la página de reglas administradas que muestra un conjunto de reglas, grupos de reglas, reglas y los botones Habilitar, Deshabilitar y Cambiar acción.

Nota:

Las reglas administradas solo se admiten en las directivas Azure Front Door nivel Premium y Clásico.

Limpieza de recursos

Cuando ya no los necesite, elimine el grupo de recursos y todos los recursos relacionados.

Pasos siguientes