Megosztás a következőn keresztül:


Oktatóanyag: Webalkalmazás gyors méretezése és védelme az Azure Front Door és az Azure Web Application Firewall (WAF) használatával

Fontos

Az Azure Front Door (klasszikus) 2027. március 31-én megszűnik. A szolgáltatáskimaradás elkerülése érdekében fontos, hogy az Azure Front Door (klasszikus) profiljait 2027 márciusára migrálja az Azure Front Door Standard vagy Prémium szintre. További információkért lásd az Azure Front Door (klasszikus) kivonását.

A webalkalmazások gyakran tapasztalnak forgalomhullámokat és rosszindulatú támadásokat, például szolgáltatásmegtagadási támadásokat. Az Azure Front Door és az Azure WAF segítségével skálázhatja az alkalmazást, és megvédheti az ilyen fenyegetésektől. Ez az oktatóanyag végigvezeti az Azure Front Door és az Azure WAF konfigurálásának lépésein bármely webalkalmazáshoz, függetlenül attól, hogy az Azure-on belül vagy kívül fut- e.

Ehhez az oktatóanyaghoz az Azure CLI-t használjuk. Használhatja az Azure Portalt, az Azure PowerShellt, az Azure Resource Managert vagy az Azure REST API-kat is.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Hozzon létre egy bejárati ajtót.
  • Hozzon létre egy Azure WAF-szabályzatot.
  • Konfigurálja a WAF-szabályzatok szabálykészletét.
  • WAF-szabályzat társítása a Front Doorhoz.
  • Egyéni tartomány konfigurálása.

Ha nem rendelkezik Azure-előfizetéssel, első lépésként hozzon létre egy ingyenes Azure-fiókot.

Előfeltételek

  • Ez az oktatóanyag az Azure CLI-t használja. Ismerkedés az Azure CLI-vel.

    Tipp.

    Az Azure CLI használatának egyszerű módja a Bash használata az Azure Cloud Shellben.

  • Győződjön meg arról, hogy a front-door bővítmény hozzá van adva az Azure CLI-hez:

    az extension add --name front-door
    

Feljegyzés

Az oktatóanyagban használt parancsokkal kapcsolatos további információkért tekintse meg a Front Door Azure CLI-referenciáját.

Azure Front Door-erőforrás létrehozása

az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
  • --backend-address: A védeni kívánt alkalmazás teljes tartományneve (FQDN), például myapplication.contoso.com.
  • --accepted-protocols: Az Azure Front Door által támogatott protokollok, például --accepted-protocols Http Https.
  • --name: Az Azure Front Door-erőforrás neve.
  • --resource-group: Az Azure Front Door-erőforrás erőforráscsoportja. További információ az erőforráscsoportok kezeléséről.

Jegyezze fel a hostName válasz értékét, ahogy később szüksége lesz rá. Az hostName Azure Front Door-erőforrás DNS-neve.

Azure WAF-profil létrehozása az Azure Front Doorhoz

az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
  • --name: Az új Azure WAF-szabályzat neve.
  • --resource-group: A WAF-erőforrás erőforráscsoportja.

Az előző parancs létrehoz egy WAF-szabályzatot megelőzési módban.

Feljegyzés

Érdemes először észlelési módban létrehozni a WAF-szabályzatot a rosszindulatú kérések megfigyeléséhez és naplózásához anélkül, hogy blokkolni szeretné őket, mielőtt megelőzési módra váltana.

Jegyezze fel a ID válasz értékét, ahogy később szüksége lesz rá. A ID formátumnak a következőnek kell lennie:

/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>

Felügyelt szabálykészletek hozzáadása a WAF-szabályzathoz

Adja hozzá az alapértelmezett szabálykészletet:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0

Adja hozzá a robotvédelmi szabálykészletet:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
  • --policy-name: Az Azure WAF-erőforrás neve.
  • --resource-group: A WAF-erőforrás erőforráscsoportja.

A WAF-szabályzat társítása az Azure Front Door-erőforrással

az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
  • --name: Az Azure Front Door-erőforrás neve.
  • --resource-group: Az Azure Front Door-erőforrás erőforráscsoportja.
  • --set: Frissítse az WebApplicationFirewallPolicyLink attribútumot az frontendEndpoint új WAF-szabályzatazonosítóval.

Feljegyzés

Ha nem egyéni tartományt használ, kihagyhatja a következő szakaszt. Adja meg az ügyfeleknek az hostName Azure Front Door-erőforrás létrehozásakor beszerzett információkat.

A webalkalmazás egyéni tartományának konfigurálása

Frissítse a DNS-rekordokat, hogy az egyéni tartományt az Azure Front Doorra mutasson hostName. Konkrét lépésekért tekintse meg a DNS-szolgáltató dokumentációját. Ha Azure DNS-t használ, tekintse meg a DNS-rekord frissítését.

Zónacsúcstartományok (például contoso.com) esetében használja az Azure DNS-t és aliasrekordtípusát.

Frissítse az Azure Front Door konfigurációját az egyéni tartomány hozzáadásához.

A HTTPS egyéni tartományhoz való engedélyezéséhez állítson be tanúsítványokat az Azure Front Doorban.

A webalkalmazás zárolása

Győződjön meg arról, hogy csak az Azure Front Door-élek tudnak kommunikálni a webalkalmazással. Tekintse meg , hogyan zárolhatja a háttérrendszerem hozzáférését csak az Azure Front Doorhoz.

Az erőforrások eltávolítása

Ha már nincs rá szükség, törölje az erőforráscsoportot, a Front Doort és a WAF-házirendet:

az group delete --name <resource-group>
  • --name: Az oktatóanyagban használt összes erőforrás erőforráscsoportjának neve.

Következő lépések

A Front Door hibaelhárításához lásd: