Configurare un criterio WAF con filtro geografico per Frontdoor di Azure
Questa esercitazione illustra come usare Azure PowerShell per creare criteri di filtro geografico di esempio e associare i criteri all'host front-end di Frontdoor di Azure esistente. Questo criterio di filtro geografico di esempio blocca le richieste da tutti gli altri paesi o aree geografiche, ad eccezione del Stati Uniti.
Se non si ha una sottoscrizione di Azure, creare ora un account gratuito.
Prerequisiti
Prima di iniziare a configurare un criterio di filtro geografico, configurare l'ambiente di PowerShell e creare un profilo frontdoor di Azure.
Configurare l'ambiente PowerShell
Azure PowerShell offre un set di cmdlet che usano il modello Azure Resource Manager per la gestione delle risorse di Azure.
È possibile installare Azure PowerShell nel computer locale e usarlo in qualsiasi sessione di PowerShell. Seguire le istruzioni nella pagina per accedere con le credenziali di Azure. Installare quindi il modulo Az PowerShell.
Connettersi ad Azure con una finestra di dialogo interattiva per l'accesso
Install-Module -Name Az
Connect-AzAccount
Assicurarsi di avere la versione corrente di PowerShellGet installata. Eseguire il comando seguente e riaprire PowerShell.
Install-Module PowerShellGet -Force -AllowClobber
Installare il modulo Az.FrontDoor
Install-Module -Name Az.FrontDoor
Creare un profilo frontdoor di Azure
Creare un profilo frontdoor di Azure seguendo le istruzioni descritte in Avvio rapido: Creare un profilo frontdoor di Azure.
Definire una condizione di corrispondenza di filtro geografico
Creare una condizione di corrispondenza di esempio che seleziona le richieste non provenienti da "US" usando New-AzFrontDoorWafMatchConditionObject sui parametri quando si crea una condizione di corrispondenza.
Vengono forniti codici paese o area geografica a un paese o a un'area geografica in Che cos'è il filtro geografico in un dominio per Frontdoor di Azure?
$nonUSGeoMatchCondition = New-AzFrontDoorWafMatchConditionObject `
-MatchVariable SocketAddr `
-OperatorProperty GeoMatch `
-NegateCondition $true `
-MatchValue "US"
Aggiungere una condizione di corrispondenza di filtro geografico a una regola con un'azione e una priorità
Creare un CustomRule
oggetto nonUSBlockRule
basato sulla condizione di corrispondenza, un'azione e una priorità usando New-AzFrontDoorWafCustomRuleObject. Una regola personalizzata può avere più condizioni di corrispondenza. In questo esempio, Action
è impostato su Block
.
Priority
è impostato su 1
, che è la priorità più alta.
$nonUSBlockRule = New-AzFrontDoorWafCustomRuleObject `
-Name "geoFilterRule" `
-RuleType MatchRule `
-MatchCondition $nonUSGeoMatchCondition `
-Action Block `
-Priority 1
Aggiungere regole a un criterio
Trovare il nome del gruppo di risorse che contiene il profilo frontdoor di Azure usando Get-AzResourceGroup
. Creare quindi un geoPolicy
oggetto che contiene nonUSBlockRule
usando New-AzFrontDoorWafPolicy nel gruppo di risorse specificato che contiene il profilo frontdoor di Azure. È necessario specificare un nome univoco per il criterio geografico.
Nell'esempio seguente viene usato il nome myResourceGroupFD1
del gruppo di risorse con il presupposto che sia stato creato il profilo frontdoor di Azure usando le istruzioni fornite in Avvio rapido: Creare una frontdoor di Azure. Nell'esempio seguente sostituire il nome del criterio con un nome geoPolicyAllowUSOnly
di criterio univoco.
$geoPolicy = New-AzFrontDoorWafPolicy `
-Name "geoPolicyAllowUSOnly" `
-resourceGroupName myResourceGroupFD1 `
-Customrule $nonUSBlockRule `
-Mode Prevention `
-EnabledState Enabled
Collegare un criterio WAF a un host front-end di Azure Frontdoor
Collegare l'oggetto criteri WAF all'host front-end di Frontdoor di Azure esistente. Aggiornare le proprietà di Frontdoor di Azure.
A tale scopo, recuperare prima di tutto l'oggetto Frontdoor di Azure usando Get-AzFrontDoor.
$geoFrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName myResourceGroupFD1
$geoFrontDoorObjectExample[0].FrontendEndpoints[0].WebApplicationFirewallPolicyLink = $geoPolicy.Id
Impostare quindi la proprietà front-end WebApplicationFirewallPolicyLink
sull'ID risorsa dei criteri geografici usando Set-AzFrontDoor.
Set-AzFrontDoor -InputObject $geoFrontDoorObjectExample[0]
Nota
È necessario impostare la WebApplicationFirewallPolicyLink
proprietà una sola volta per collegare un criterio WAF a un host front-end di Azure Frontdoor. Gli aggiornamenti dei criteri successivi vengono applicati automaticamente all'host front-end.
Passaggi successivi
- Informazioni sul web application firewall di Azure.
- Informazioni su come creare un'istanza di Frontdoor di Azure.