Поделиться через

Руководство. Быстрое масштабирование и защита веб-приложения с помощью Azure Front Door и Azure Брандмауэр веб-приложений (WAF)

  • Статья

Внимание

Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure Front Door (классический) на уровень Azure Front Door standard или Premium к марту 2027 года. Дополнительные сведения см. в статье azure Front Door (классическая версия) для выхода на пенсию.

Веб-приложения часто испытывают всплески трафика и вредоносные атаки, такие как атаки типа "отказ в обслуживании". Azure Front Door с Azure WAF может помочь масштабировать приложение и защитить его от таких угроз. В этом руководстве описано, как настроить Azure Front Door с помощью Azure WAF для любого веб-приложения, работающего внутри или за пределами Azure.

Мы используем Azure CLI для этого руководства. Вы также можете использовать портал Azure, Azure PowerShell, Azure Resource Manager или REST API Azure.

Из этого руководства вы узнаете, как:

  • создать профиль Front Door;
  • создать политику Azure WAF;
  • настроить набор правил для политики WAF;
  • связать политику WAF с Front Door;
  • настроить личный домен.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Необходимые компоненты

  • В этом руководстве используется Azure CLI. Начало работы с Azure CLI.

    Совет

    Простой способ начать работу с Azure CLI — использовать Bash в Azure Cloud Shell.

  • Убедитесь, front-door что расширение добавляется в Azure CLI:

    az extension add --name front-door

Примечание.

Дополнительные сведения о командах, используемых в этом руководстве, см . в справочнике по Azure CLI для Front Door.

Создание ресурса Azure Front Door

az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
  • --backend-address: полное доменное имя приложения, которое вы хотите защитить, например myapplication.contoso.com.
  • --accepted-protocols: протоколы, поддерживаемые Azure Front Door, например --accepted-protocols Http Https.
  • --name: имя ресурса Azure Front Door.
  • --resource-group: группа ресурсов для этого ресурса Azure Front Door. Дополнительные сведения об управлении группами ресурсов.

Обратите внимание на hostName значение ответа, так как вам потребуется позже. Dns-имя hostName ресурса Azure Front Door.

Создание профиля Azure WAF для Azure Front Door

az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
  • --name: имя новой политики Azure WAF.
  • --resource-group: группа ресурсов для этого ресурса WAF.

Предыдущая команда создает политику WAF в режиме предотвращения.

Примечание.

Сначала рекомендуется создавать политику WAF в режиме обнаружения, чтобы наблюдать и регистрировать вредоносные запросы, не блокируя их перед переходом на режим предотвращения.

Обратите внимание на ID значение ответа, так как вам потребуется позже. Значение ID должно быть в следующем формате:

/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>

Добавление управляемых наборов правил в политику WAF

Добавьте набор правил по умолчанию:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0

Добавьте набор правил защиты от ботов:

az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
  • --policy-name: имя ресурса Azure WAF.
  • --resource-group: группа ресурсов для ресурса WAF.

Привязка политики WAF к ресурсу Azure Front Door

az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
  • --name: имя ресурса Azure Front Door.
  • --resource-group: группа ресурсов для ресурса Azure Front Door.
  • --set: обновите WebApplicationFirewallPolicyLink атрибут для frontendEndpoint нового идентификатора политики WAF.

Примечание.

Если вы не используете личный домен, можно пропустить следующий раздел. Предоставьте клиентам полученные данные hostName при создании ресурса Azure Front Door.

Настройка личного домена для веб-приложения

Обновите записи DNS, чтобы указать личный домен в Azure Front Door hostName. Сведения о конкретных шагах см. в документации поставщика услуг DNS. Если вы используете Azure DNS, ознакомьтесь с обновлением записи DNS.

Для доменов вершин зоны (например, contoso.com), используйте Azure DNS и его тип записи псевдонима.

Обновите конфигурацию Azure Front Door, чтобы добавить личный домен.

Чтобы включить ПРОТОКОЛ HTTPS для личного домена, настройте сертификаты в Azure Front Door.

Блокировка веб-приложения

Убедитесь, что только края Azure Front Door могут взаимодействовать с веб-приложением. Узнайте , как заблокировать доступ к серверной части только Azure Front Door.

Очистка ресурсов

При отсутствии необходимости удалите группу ресурсов, политику Front Door и WAF:

az group delete --name <resource-group>
  • --name: имя группы ресурсов для всех ресурсов, используемых в этом руководстве.

Следующие шаги

Сведения об устранении неполадок с Front Door см. в статье:.

Устранение распространенных проблем маршрутизации