教程:使用 Azure 门户在 Azure Front Door 上创建 WAF 策略

本教程介绍如何创建基本的 Web 应用程序防火墙(WAF)策略并将其应用于 Azure Front Door 的前端主机。

本教程中,您将学习如何:

  • 创建 WAF 策略。
  • 将其与前端主机相关联。
  • 配置 WAF 规则。

先决条件

创建 Azure Front Door 标准版或高级 配置文件。

创建 WAF 策略

首先,使用 Azure 门户创建基本的 WAF 策略。

  1. 在屏幕左上角,选择“ 创建资源”。 搜索 WAF,选择 “Web 应用程序防火墙”(WAF),然后选择“ 创建”。

  2. 在“创建 WAF 策略”页的“基本信息”选项卡上,输入或选择以下信息并接受其余设置的默认值。

    设置 价值
    策略 选择全局 WAF (Front Door)。
    Front Door 层 标准层和 高级 层之间进行选择。
    Subscription 选择 Azure 订阅。
    资源组 选择 Azure Front Door 资源组名称。
    策略名称 输入 WAF 策略的唯一名称。
    策略状态 设置为 “已启用”。

    显示“创建 W A F 策略”页的屏幕截图,其中包含订阅、资源组和策略名称的“查看 + 创建”按钮和列表框。

  3. 在“ 关联 ”选项卡上,选择“ 关联 Front door 配置文件”,输入以下设置,然后选择“ 添加”。

    设置 价值
    Front Door 配置文件 选择 Azure Front Door 配置文件名称。
    域名 选择要将 WAF 策略关联到的域,然后选择“ 添加”。

    注释

    如果域与 WAF 策略相关联,则显示为灰色。必须先从关联的策略中删除域,然后将域重新关联到新的 WAF 策略。

  4. 选择“审核 + 创建”>创建

配置 WAF 规则(可选)

按照以下步骤配置 WAF 规则。

更改模式

创建 WAF 策略时,默认情况下,WAF 策略处于 检测 模式。 在 检测 模式下,WAF 不会阻止任何请求。 相反,匹配 WAF 规则的请求会在 WAF 日志中记录。 若要查看 WAF 的作,可以将模式设置从 检测 更改为 “预防”。 在 预防 模式下,与定义的规则匹配的请求将被阻止并在 WAF 日志中记录。

显示 Azure Front Door WAF 策略的“概述”页的屏幕截图,其中显示了如何切换到预防模式。

自定义规则

若要创建自定义规则,请在“ 自定义规则 ”部分下,选择“ 添加自定义规则 ”以打开自定义规则配置页。

显示“自定义规则”页的屏幕截图。

以下示例演示如何配置自定义规则以阻止请求(如果查询字符串包含 blockme)。

显示如何添加自定义规则的屏幕截图。

默认规则集

默认情况下,Azure Front Door 的高级层已启用 Azure 托管的默认规则集。 Azure Front Door 高级层的当前 DRS 为 Microsoft_DefaultRuleSet_2.1。 在 “托管规则 ”页上,选择“ 分配 ”以分配不同的 DRS。

若要禁用单个规则,请选择规则编号前的复选框,然后选择页面顶部的 “禁用 ”。 若要更改规则集中各个规则的作类型,请选择规则编号前面的复选框,然后选择页面顶部的 “更改”作

注释

托管规则仅在 Azure Front Door 高级层策略中受支持。

清理资源

如果不再需要资源组和所有相关资源,请将其删除。

后续步骤