البرنامج التعليمي: توسيع نطاق تطبيق ويب وحمايته بسرعة باستخدام Azure Front Door وAzure Web Application Firewall (WAF)

غالبا ما تواجه تطبيقات الويب طفرات في حركة المرور وهجمات ضارة، مثل هجمات رفض الخدمة. يمكن أن يساعد Azure Front Door مع Azure WAF في توسيع نطاق تطبيقك وحمايته من مثل هذه التهديدات. يرشدك هذا البرنامج التعليمي خلال تكوين Azure Front Door باستخدام Azure WAF لأي تطبيق ويب، سواء كان يعمل داخل Azure أو خارجه.

نستخدم Azure CLI لهذا البرنامج التعليمي. يمكنك أيضا استخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure Resource Manager أو واجهات برمجة تطبيقات Azure REST.

ستتعرف في هذا البرنامج التعليمي على:

إذا لم يكن لديك اشتراك في Azure، فأنشئ حساب Azure مجاني قبل أن تبدأ.

المتطلبات الأساسية

• يستخدم هذا البرنامج التعليمي Azure CLI. ابدأ باستخدام Azure CLI.

  تلميح

  طريقة سهلة للبدء مع Azure CLI هي استخدام Bash في Azure Cloud Shell.

• تأكد من إضافة الملحق front-door إلى Azure CLI:

  az extension add --name front-door
  

إنشاء مورد Azure Front Door

az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>

• --backend-address: اسم المجال المؤهل بالكامل (FQDN) للتطبيق الذي تريد حمايته، على سبيل المثال، myapplication.contoso.com.
• --accepted-protocols: البروتوكولات التي يدعمها Azure Front Door، على سبيل المثال، --accepted-protocols Http Https.
• --name: اسم مورد Azure Front Door.
• --resource-group: مجموعة الموارد لمورد Azure Front Door هذا. تعرف على المزيد حول إدارة مجموعات الموارد.

hostName لاحظ القيمة من الاستجابة، كما تحتاج إليها لاحقا. hostName هو اسم DNS لمورد Azure Front Door.

إنشاء ملف تعريف Azure WAF ل Azure Front Door

az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention

• --name: اسم نهج Azure WAF الجديد.
• --resource-group: مجموعة الموارد لمورد WAF هذا.

يقوم الأمر السابق بإنشاء نهج WAF في وضع الوقاية.

ID لاحظ القيمة من الاستجابة، كما تحتاج إليها لاحقا. ID يجب أن يكون بهذا التنسيق:

/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>

إضافة مجموعات قواعد مدارة إلى نهج WAF

إضافة مجموعة القواعد الافتراضية:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0

إضافة مجموعة قواعد حماية الروبوت:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0

• --policy-name: اسم مورد Azure WAF الخاص بك.
• --resource-group: مجموعة الموارد لمورد WAF.

إقران نهج WAF بمورد Azure Front Door

az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'

• --name: اسم مورد Azure Front Door.
• --resource-group: مجموعة الموارد لمورد Azure Front Door.
• --set: قم بتحديث السمة WebApplicationFirewallPolicyLink ل frontendEndpoint مع معرف نهج WAF الجديد.

تكوين المجال المخصص لتطبيق الويب

قم بتحديث سجلات DNS لتوجيه المجال المخصص إلى Azure Front Door hostName. راجع وثائق موفر خدمة DNS للحصول على خطوات محددة. إذا كنت تستخدم Azure DNS، فشاهد تحديث سجل DNS.

بالنسبة لمجالات قمة المنطقة (على سبيل المثال، contoso.com)، استخدم Azure DNS ونوع سجل الاسم المستعار الخاص به.

قم بتحديث تكوين Azure Front Door لإضافة المجال المخصص.

لتمكين HTTPS لمجالك المخصص، قم بإعداد الشهادات في Azure Front Door.

تأمين تطبيق الويب

تأكد من أن حواف Azure Front Door فقط يمكنها الاتصال بتطبيق الويب الخاص بك. راجع كيفية تأمين الوصول إلى الواجهة الخلفية الخاصة بي إلى Azure Front Door فقط.

تنظيف الموارد

عند عدم الحاجة، احذف مجموعة الموارد والواجهة الأمامية ونهج WAF:

az group delete --name <resource-group>

• --name: اسم مجموعة الموارد لجميع الموارد المستخدمة في هذا البرنامج التعليمي.

الخطوات التالية

لاستكشاف أخطاء Front Door وإصلاحها، راجع: