Configurer une règle de restriction IP avec un WAF pour Azure Front Door

Cet article vous montre comment configurer des règles de restriction IP dans (WAF) pour Azure Front Door à l'aide du Portail Microsoft Azure, de l'interface de ligne de commande Azure, d'Azure PowerShell ou d'un modèle Azure Resource Manager.

Une règle de contrôle d’accès basé sur l’adresse IP est une règle WAF personnalisée qui vous permet de contrôler l’accès à vos applications web. La règle spécifie une liste d'adresses IP ou de plages d'adresses IP au format CIDR (Classless Inter-Domain Routing).

Il existe deux types de variables de correspondance dans une correspondance d'adresse IP : RemoteAddr et SocketAddr. La variable RemoteAddr est l’adresse IP du client d’origine qui est généralement envoyée au travers de l’en-tête de demande X-Forwarded-For. La variable SocketAddr est l'adresse IP source que le WAF voit. Si votre utilisateur est derrière un proxy, SocketAddr est souvent l'adresse du serveur proxy.

Par défaut, votre application web est accessible depuis Internet. Si vous souhaitez limiter l'accès aux clients à partir d'une liste d'adresses IP ou de plages d'adresses IP connues, vous pouvez créer une règle de correspondance IP qui contient la liste des adresses IP comme valeurs correspondantes et définit l'opérateur sur (nier est vrai) Not et l'action à Block. Une fois une règle de restriction IP appliquée, les demandes provenant d’adresses qui ne figurent pas dans cette liste autorisée recevront une réponse 403 Interdit.

Configurer une stratégie WAF

Suivez ces étapes pour configurer une stratégie WAF à l’aide du portail Azure.

Prérequis

Créez un profil Azure Front Door en suivant les instructions décrites dans Démarrage rapide : créer une instance Azure Front Door pour une application Web globale hautement disponible.

Créer une stratégie de pare-feu d’applications web (WAF).

  1. Dans le portail Azure, sélectionnez Créer une ressource. Saisissez Pare-feu d'application Web dans la zone de recherche des services de recherche et de la place de marché et sélectionnez Entrée. Sélectionnez ensuite Pare-feu d'application Web (WAF).

  2. Sélectionnez Créer.

  3. Sur la page Créer une stratégie WAF, utilisez les valeurs suivantes pour compléter l'onglet Général.

    Paramètre Valeur
    Stratégie pour WAF mondial (porte d'entrée).
    Niveau Front Door Sélectionnez Premium ou Standard pour correspondre à votre niveau Azure Front Door.
    Abonnement Sélectionnez votre abonnement.
    Groupe de ressources Sélectionnez le groupe de ressources où se trouve votre instance Azure Front Door.
    Nom de la stratégie Saisissez un nom pour votre stratégie.
    État de la stratégie Volumes sélectionnés
    Mode de stratégie Prévention
  4. Sélectionnez Suivant : Règles managées.

  5. Sélectionnez Suivant : Paramètres Azure Policy.

  6. Dans l'onglet Paramètres Azure Policy, entrez Vous avez été bloqué ! pour le corps de la réponse Block afin que vous puissiez voir que votre règle personnalisée est en vigueur.

  7. Sélectionnez Suivant : Règles personnalisées.

  8. Sélectionnez Ajouter une règle personnalisée.

  9. Sur la page Ajouter une règle personnalisée, utilisez les valeurs de test suivantes pour créer une règle personnalisée.

    Paramètre Valeur
    Nom de la règle personnalisée FdWafCustRule
    Statut activé
    Type de règle Faire correspondre
    Priority 100
    Type de correspondance Adresse IP
    Variable de correspondance SocketAddr
    Opération Ne contient pas
    Adresse IP ou plage d'adresses IP 10.10.10.0/24
    Alors Refuser le trafic

    Règle personnalisée

    Sélectionnez Ajouter.

  10. Sélectionnez Suivant : Association.

  11. Sélectionnez Associer un profil Front Door.

  12. Pour Profil frontal, sélectionnez votre profil frontal.

  13. Pour Domaine, sélectionnez le domaine.

  14. Sélectionnez Ajouter.

  15. Sélectionnez Revoir + créer.

  16. Une fois la validation de votre stratégie réussie, sélectionnez Créer.

Tester votre stratégie WAF

  1. Une fois le déploiement de votre stratégie WAF terminé, accédez à votre nom d'hôte frontal Azure Front Door.

  2. Vous devez voir votre message de bloc personnalisé.

    Test de règle WAF

    Notes

    Une adresse IP privée a été utilisée intentionnellement dans la règle personnalisée pour garantir le déclenchement de la règle. Dans un déploiement réel, créez des règles d'autorisation et de refus en utilisant des adresses IP adaptées à votre situation particulière.

Étapes suivantes

Découvrez comment Créer un profil Azure Front Door.