Настройка правила ограничения IP-адресов с помощью WAF для Azure Front Door

Область применения: ✔️ Front Door Standard ✔️ Front Door Premium

В этой статье показано, как настроить правила ограничения IP-адресов в брандмауэре веб-приложения (WAF) для Azure Front Door с помощью портала Azure, Azure CLI, Azure PowerShell или шаблона Azure Resource Manager.

Правило управления доступом на основе IP-адресов — это пользовательское правило WAF, используемое для управления доступом к веб-приложениям. Правило задает список IP-адресов или диапазонов IP-адресов в формате бесклассовой маршрутизации Inter-Domain (CIDR).

Сопоставление IP-адресов имеет два типа переменных соответствия: RemoteAddr и SocketAddr. Переменная RemoteAddr — это исходный IP-адрес клиента, который обычно отправляется через X-Forwarded-For заголовок запроса. Переменная SocketAddr — это исходный IP-адрес, который видит WAF. Если ваш пользователь находится за прокси-сервером, SocketAddr часто это адрес прокси-сервера.

По умолчанию ваше веб-приложение доступно из Интернета. Если вы хотите ограничить доступ к клиентам из списка известных IP-адресов или диапазонов IP-адресов, создайте правило сопоставления IP-адресов, содержащее список IP-адресов в качестве соответствующих значений, задает оператору Not значение (негейт имеет значение true) и задает для действия значение Block. После применения правила ограничения IP-адресов запросы, исходящие из адресов за пределами этого разрешенного списка, получают ответ 403 Запрещено.

Настройка политики WAF

Выполните следующие действия, чтобы настроить политику WAF с помощью портала Azure.

Предпосылки

Создайте профиль Azure Front Door, следуя инструкциям, описанным в разделе Краткое руководство: создание экземпляра Azure Front Door для глобального веб-приложения с высоким уровнем доступности.

Создание политики WAF

  1. На портале Azure выберите Создать ресурс. Введите брандмауэр веб-приложения в поле поисковые службы и маркетплейс и нажмите клавишу Enter. Затем выберите Брандмауэр веб-приложений (WAF).

  2. Нажмите кнопку "Создать".

  3. На странице Создание политики WAF используйте следующие значения для заполнения вкладки Основы .

    Настройки Ценность
    Политика для Глобальный межсетевой экран веб-приложений (Front Door).
    Уровень передней двери Выберите "Премиум" или "Стандартный" в соответствии с вашим уровнем Azure Front Door.
    Подписка Выберите подписку.
    Группа ресурсов Выберите группу ресурсов, в которой находится экземпляр Azure Front Door.
    Имя политики Введите название полиса.
    Состояние политики Выбрано
    Режим политики Предотвращение
  4. Выберите Далее: Управляемые правила.

  5. Выберите Далее: Параметры политики.

  6. На вкладке Настройки политики введите Вы были заблокированы! в теле ответа Блокировать , чтобы вы могли видеть, что ваше пользовательское правило вступило в силу.

  7. Выберите Далее: Пользовательские правила.

  8. Выберите Добавить пользовательское правило.

  9. На странице Добавление пользовательского правила используйте следующие тестовые значения для создания настраиваемого правила.

    Настройки Ценность
    Имя пользовательского правила Правило FdWafCustRule
    Состояние Включен
    Тип правила Матч
    Приоритет 100
    Тип сопоставления IP-адрес
    Сопоставление переменных SocketAddr
    Операция Не содержит
    IP-адрес или диапазон 10.10.10.0/24
    Затем Запретить трафик

    Пользовательское правило

    Нажмите кнопку "Добавить".

  10. Выберите Далее: Ассоциация.

  11. Выберите Связать профиль входной двери.

  12. В поле Профиль фронтенда выберите профиль фронтенда.

  13. В поле Домен выберите домен.

  14. Нажмите кнопку "Добавить".

  15. Выберите Review + create.

  16. После того как проверка политики пройдет успешно, нажмите кнопку Создать.

Протестируйте политику WAF

  1. После того, как развертывание политики WAF завершится, перейдите к адресу хоста Azure Front Door.

  2. Вы должны увидеть сообщение о пользовательской блокировке.

    Тест правил WAF

    Замечание

    Частный IP-адрес используется в пользовательском правиле, чтобы гарантировать срабатывание правила. В реальном развертывании создайте разрешающие и запрещающие правила, используя IP-адреса для конкретной ситуации.

Дальнейшие шаги

Узнайте, как создать профиль Azure Front Door.