Tutorial: Menskalakan dan melindungi aplikasi web dengan cepat menggunakan Azure Front Door dan Azure Web Application Firewall (WAF)
Penting
Azure Front Door (klasik) akan dihentikan pada 31 Maret 2027. Untuk menghindari gangguan layanan apa pun, penting untuk memigrasikan profil Azure Front Door (klasik) Anda ke Azure Front Door Standard atau tingkat Premium paling lambat Maret 2027. Untuk informasi selengkapnya, lihat Penghentian Azure Front Door (klasik).
Aplikasi web sering mengalami lonjakan lalu lintas dan serangan berbahaya, seperti serangan penolakan layanan. Azure Front Door dengan Azure WAF dapat membantu menskalakan aplikasi Anda dan melindunginya dari ancaman tersebut. Tutorial ini memandu Anda mengonfigurasi Azure Front Door dengan Azure WAF untuk aplikasi web apa pun, baik berjalan di dalam atau di luar Azure.
Kami menggunakan Azure CLI untuk tutorial ini. Anda juga dapat menggunakan API REST portal Azure, Azure PowerShell, Azure Resource Manager, atau Azure.
Dalam tutorial ini, Anda mempelajari caranya:
- Membuat Front Door.
- Membuat kebijakan Azure WAF.
- Mengonfigurasikan rangkaian aturan untuk kebijakan WAF.
- Mengaitkan kebijakan WAF dengan Front Door.
- Mengonfigurasikan domain kustom.
Jika Anda tidak memiliki Langganan Azure, buat Akun gratis Azure sebelum memulai.
Prasyarat
Tutorial ini menggunakan Azure CLI. Mulai menggunakan Azure CLI.
Tip
Cara mudah untuk mulai menggunakan Azure CLI adalah menggunakan Bash di Azure Cloud Shell.
front-doorPastikan ekstensi ditambahkan ke Azure CLI:az extension add --name front-door
Catatan
Untuk informasi selengkapnya tentang perintah yang digunakan dalam tutorial ini, lihat referensi Azure CLI untuk Front Door.
Membuat sumber daya Azure Front Door
az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
--backend-address: Nama domain yang sepenuhnya memenuhi syarat (FQDN) dari aplikasi yang ingin Anda lindungi, misalnya,myapplication.contoso.com.--accepted-protocols: Protokol yang didukung oleh Azure Front Door, misalnya,--accepted-protocols Http Https.--name: Nama sumber daya Azure Front Door Anda.--resource-group: Grup sumber daya untuk sumber daya Azure Front Door ini. Pelajari selengkapnya tentang mengelola grup sumber daya.
hostName Perhatikan nilai dari respons, karena Anda membutuhkannya nanti. hostName adalah nama DNS sumber daya Azure Front Door.
Membuat profil Azure WAF untuk Azure Front Door
az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
--name: Nama kebijakan Azure WAF baru.--resource-group: Grup sumber daya untuk sumber daya WAF ini.
Perintah sebelumnya membuat kebijakan WAF dalam mode pencegahan.
Catatan
Pertimbangkan untuk membuat kebijakan WAF dalam mode deteksi terlebih dahulu untuk mengamati dan mencatat permintaan berbahaya tanpa memblokirnya sebelum beralih ke mode pencegahan.
ID Perhatikan nilai dari respons, karena Anda membutuhkannya nanti. ID harus dalam format ini:
/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>
Menambahkan seperangkat aturan terkelola ke kebijakan WAF
Menambahkan seperangkat aturan default:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0
Menambahkan seperangkat aturan perlindungan bot:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
--policy-name: Nama sumber daya Azure WAF Anda.--resource-group: Grup sumber daya untuk sumber daya WAF.
Mengaitkan kebijakan WAF dengan sumber daya Azure Front Door
az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
--name: Nama sumber daya Azure Front Door Anda.--resource-group: Grup sumber daya untuk sumber daya Azure Front Door.--set: PerbaruiWebApplicationFirewallPolicyLinkatribut untukfrontendEndpointdengan ID kebijakan WAF baru.
Catatan
Jika Anda tidak menggunakan domain kustom, Anda dapat melewati bagian berikutnya. Berikan pelanggan Anda dengan yang hostName diperoleh saat Anda membuat sumber daya Azure Front Door.
Mengonfigurasi domain kustom untuk aplikasi web Anda
Perbarui catatan DNS Anda untuk mengarahkan domain kustom ke Azure Front Door hostName. Lihat dokumentasi penyedia layanan DNS Anda untuk langkah-langkah tertentu. Jika Anda menggunakan Azure DNS, lihat memperbarui catatan DNS.
Untuk domain apex zona (misalnya, contoso.com), gunakan Azure DNS dan jenis catatan aliasnya.
Perbarui konfigurasi Azure Front Door Anda untuk menambahkan domain kustom.
Untuk mengaktifkan HTTPS untuk domain kustom Anda, siapkan sertifikat di Azure Front Door.
Mengunci aplikasi web Anda
Pastikan hanya tepi Azure Front Door yang dapat berkomunikasi dengan aplikasi web Anda. Lihat Cara mengunci akses ke backend saya hanya ke Azure Front Door.
Membersihkan sumber daya
Jika tidak lagi diperlukan, hapus grup sumber daya, Front Door, dan kebijakan WAF:
az group delete --name <resource-group>
--name: Nama grup sumber daya untuk semua sumber daya yang digunakan dalam tutorial ini.
Langkah berikutnya
Untuk memecahkan masalah Front Door Anda, lihat: