Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a: ✔️ Porta da frente (clássico)
Importante
O Azure Front Door (clássico) será desativado em 31 de março de 2027. Para evitar qualquer interrupção do serviço, é importante que você migrar seus perfis do Azure Front Door (clássico) para a camada Azure Front Door Standard ou Premium até março de 2027. Para obter mais informações, consulte Aposentadoria (clássica) do Azure Front Door.
Os aplicativos Web geralmente sofrem picos de tráfego e ataques mal-intencionados, como ataques de negação de serviço. O Azure Front Door com o Azure WAF pode ajudar a dimensionar seu aplicativo e protegê-lo contra essas ameaças. Este tutorial orienta você na configuração do Azure Front Door com o Azure WAF para qualquer aplicativo Web, seja ele executado dentro ou fora do Azure.
Usamos a CLI do Azure para este tutorial. Você também pode usar o portal do Azure, o Azure PowerShell, o Gerenciador de Recursos do Azure ou as APIs REST do Azure.
Neste tutorial, irá aprender a:
- Crie uma porta da frente.
- Crie uma política WAF do Azure.
- Configure conjuntos de regras para uma política WAF.
- Associe uma política WAF ao Front Door.
- Configure um domínio personalizado.
Pré-requisitos
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Este tutorial usa a CLI do Azure. Introdução à CLI do Azure.
Gorjeta
Uma maneira fácil de começar a usar a CLI do Azure é usar o Bash no Azure Cloud Shell.
Verifique se a
front-doorextensão foi adicionada à CLI do Azure:az extension add --name front-door
Nota
Para obter mais informações sobre os comandos usados neste tutorial, consulte a referência da CLI do Azure para Front Door.
Criar um recurso do Azure Front Door
az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
-
--backend-address: O nome de domínio totalmente qualificado (FQDN) do aplicativo que você deseja proteger, por exemplo,myapplication.contoso.com. -
--accepted-protocols: Protocolos suportados pelo Azure Front Door, por exemplo,--accepted-protocols Http Https. -
--name: O nome do seu recurso Azure Front Door. -
--resource-group: O grupo de recursos para este recurso Azure Front Door. Saiba mais sobre como gerenciar grupos de recursos.
Anote o valor hostName da resposta, já que irá precisar dele mais tarde. O hostName é o nome DNS do recurso Azure Front Door.
Criar um perfil WAF do Azure para o Azure Front Door
az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
-
--name: O nome da nova política WAF do Azure. -
--resource-group: O grupo de recursos para este recurso WAF.
O comando anterior cria uma política WAF no modo de prevenção.
Nota
Considere criar a política WAF no modo de deteção primeiro para observar e registrar solicitações maliciosas sem bloqueá-las antes de mudar para o modo de prevenção.
Anote o valor ID da resposta, já que irá precisar dele mais tarde. O ID deve estar neste formato:
/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>
Adicionar conjuntos de regras gerenciadas à política WAF
Adicione o conjunto de regras padrão:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0
Adicione o conjunto de regras de proteção de bot:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
-
--policy-name: O nome do seu recurso WAF do Azure. -
--resource-group: O grupo de recursos para o recurso WAF.
Associar a política WAF ao recurso Azure Front Door
az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
-
--name: O nome do seu recurso Azure Front Door. -
--resource-group: O grupo de recursos para o recurso Azure Front Door. -
--set: Atualize o atributoWebApplicationFirewallPolicyLinkdofrontendEndpointcom o novo ID de política WAF.
Nota
Se não estiver a utilizar um domínio personalizado, pode ignorar a secção seguinte. Forneça aos seus clientes o hostName obtido quando criou o recurso Azure Front Door.
Configurar o domínio personalizado para seu aplicativo Web
Atualize os seus registos DNS para apontar o domínio personalizado para o Azure Front Door hostName. Consulte a documentação do seu provedor de serviços DNS para obter etapas específicas. Se você usa o DNS do Azure, consulte Atualizar um registro DNS.
Para domínios de ápice de zona (por exemplo, contoso.com), use o DNS do Azure e seu tipo de registro de alias.
Atualize sua configuração do Azure Front Door para adicionar o domínio personalizado.
Para habilitar HTTPS para seu domínio personalizado, configure certificados no Azure Front Door.
Bloqueie seu aplicativo Web
Certifique-se de que apenas as edges do Azure Front Door possam comunicar-se com a sua aplicação web. Consulte Como bloquear o acesso ao meu back-end apenas para o Azure Front Door.
Limpar recursos
Quando não for mais necessário, elimine o grupo de recursos, o Front Door e a política WAF.
az group delete --name <resource-group>
-
--name: O nome do grupo de recursos para todos os recursos usados neste tutorial.
Próximos passos
Para solucionar problemas com a porta da frente, consulte: