Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: ✔️ Front Door (clássico)
Importante
Azure Front Door (clássico) não dá suporte à criação de perfil, à integração de novos domínios ou aos certificados gerenciados e será descontinuado em 31 de março de 2027. Para evitar a interrupção do serviço, igrate para Azure Front Door Standard ou Premium. Para obter mais informações, confira Desativação do Azure Front Door (clássico).
Os aplicativos Web costumam enfrentar picos de tráfego e ataques maliciosos, como ataques de negação de serviço. O Azure Front Door com o WAF do Azure pode ajudar a escalar seu aplicativo e protegê-la contra essas ameaças. Esse tutorial orienta você pela configuração do Azure Front Door com o WAF do Azure para qualquer aplicativo Web, seja ele executado dentro ou fora do Azure.
Usamos o CLI do Azure neste tutorial. Você também pode usar o portal do Azure, o Azure PowerShell, o Azure Resource Manager ou as APIs REST do Azure.
Neste tutorial, você aprenderá a:
- Criar um Front Door.
- Criar uma política de WAF do Azure.
- Configurar conjuntos de regras para uma política de WAF.
- Associar uma política de WAF com o Front Door.
- Configurar um domínio personalizado.
Pré-requisitos
Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Este tutorial usa a CLI do Azure. Comece com o CLI do Azure.
Dica
Uma maneira fácil de começar com a CLI do Azure é usar Bash no Azure Cloud Shell.
Certifique-se de que a extensão
front-doorseja adicionada ao CLI do Azure:az extension add --name front-door
Observação
Para obter mais informações sobre os comandos usados neste tutorial, veja a referência do CLI do Azure para o Front Door.
Criar um recurso do Azure Front Door
az network front-door create --backend-address <backend-address> --accepted-protocols <protocols> --name <name> --resource-group <resource-group>
-
--backend-address: O nome de domínio totalmente qualificado (FQDN) do aplicativo que você deseja proteger, por exemplo,myapplication.contoso.com. -
--accepted-protocols: Protocolos com suporte pelo Azure Front Door, por exemplo,--accepted-protocols Http Https. -
--name: o nome do seu recurso do Azure Front Door. -
--resource-group: Grupo de Recursos para este recurso do Azure Front Door. Saiba mais sobre gerenciar grupos de recursos.
Anote o valor hostName da resposta, pois você precisará dele mais tarde. O hostName é o nome DNS do recurso Azure Front Door.
Crie um perfil do WAF do Azure para o Azure Front Door
az network front-door waf-policy create --name <name> --resource-group <resource-group> --disabled false --mode Prevention
-
--name: o nome da nova política de WAF do Azure. -
--resource-group: O grupo de recursos para esse recurso do WAF.
O comando anterior cria uma política do WAF no modo de prevenção.
Observação
Considere criar a política do WAF primeiro no modo de detecção para observar e registrar solicitações maliciosas sem bloqueá-las antes de alternar para o modo de prevenção.
Anote o valor ID da resposta, pois você precisará dele mais tarde. O ID deve estar neste formato:
/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.Network/frontdoorwebapplicationfirewallpolicies/<WAF-policy-name>
Adicionar conjuntos de regras gerenciados à política de WAF
Adicione o conjunto de regras padrão:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type DefaultRuleSet --version 1.0
Adicione o conjunto de regras de proteção contra bots:
az network front-door waf-policy managed-rules add --policy-name <policy-name> --resource-group <resource-group> --type Microsoft_BotManagerRuleSet --version 1.0
-
--policy-name: O nome do seu recurso do WAF do Azure. -
--resource-group: o grupo de recursos para o recurso WAF.
Associar a política de WAF ao recurso do Azure Front Door
az network front-door update --name <name> --resource-group <resource-group> --set frontendEndpoints[0].webApplicationFirewallPolicyLink='{"id":"<ID>"}'
-
--name: o nome do seu recurso do Azure Front Door. -
--resource-group: O grupo de recursos para o recurso do Azure Front Door. -
--set: atualize o atributoWebApplicationFirewallPolicyLinkdofrontendEndpointcom a nova ID da política do WAF.
Observação
Se você não estiver usando um domínio personalizado, poderá pular para a próxima seção. Forneça aos seus clientes o hostName obtido ao criar o recurso do Azure Front Door.
Configurar o domínio personalizado para seu aplicativo Web
Atualize seus registros DNS para apontar o domínio personalizado para o hostName do Azure Front Door. Consulte a documentação do seu provedor de serviços DNS para etapas específicas. Se você usa o DNS do Azure, consulte atualizar um registro DNS.
Para domínios de nível superior de zona (por exemplo, contoso.com), use o DNS do Azure e seu tipo de registro de alias.
Atualize sua configuração do Azure Front Door para adicionar o domínio personalizado.
Para habilitar o HTTPS no seu domínio personalizado, configure certificados no Azure Front Door.
Bloquear seu aplicativo Web
Certifique-se de que apenas os nós do Azure Front Door possam se comunicar com sua aplicação web. Confira Como bloquear o acesso ao meu back-end apenas para o Azure Front Door.
Limpar os recursos
Quando não for mais necessário, exclua o grupo de recursos, o Front Door e a política do WAF:
az group delete --name <resource-group>
-
--name: o nome do grupo de recursos de todos os recursos usados neste tutorial.
Próximas etapas
Para solucionar problemas do seu Front Door, confira: