カスタムルールを使用すると、Web Application Firewall (WAF) v2 を通過するリクエストごとに評価される独自のルールを作成できます。 これらの規則は、マネージド規則セット内の他の規則よりも高い優先度を持ちます。 カスタムルールには、アクション(許可またはブロック)、一致条件、および完全なカスタマイズを許可する演算子があります。
この記事では、カスタム規則を使用する Application Gateway WAF v2 を作成します。 要求ヘッダーに User-Agent evilbot が含まれている場合、カスタム規則はトラフィックをブロックします。
カスタムルールのその他の例については、「カスタム Web アプリケーションファイアウォールルールを作成して使用する」を参照してください
この記事の Azure PowerShell を 1 つの連続したスクリプトで実行し、コピー、貼り付け、実行する場合は、「 Azure Application Gateway PowerShell のサンプル」を参照してください。
[前提条件]
Azure PowerShell モジュール
Azure PowerShell をローカルにインストールして使用する場合、このスクリプトでは Azure PowerShell モジュール バージョン 2.1.0 以降が必要になります。
- バージョンを確認するには、
Get-Module -ListAvailable Azを実行します。 アップグレードが必要な場合は、Azure PowerShell モジュールをインストールを参照してください。 - Azure との接続を作成するには、
Connect-AzAccountを実行します。
Azure アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。
スクリプトの例
変数を設定する
$rgname = "CustomRulesTest"
$___location = "East US"
$appgwName = "WAFCustomRules"
リソース グループを作成する
$resourceGroup = New-AzResourceGroup -Name $rgname -Location $___location
VNet を作成する
$sub1 = New-AzVirtualNetworkSubnetConfig -Name "appgwSubnet" -AddressPrefix "10.0.0.0/24"
$sub2 = New-AzVirtualNetworkSubnetConfig -Name "backendSubnet" -AddressPrefix "10.0.1.0/24"
$vnet = New-AzvirtualNetwork -Name "Vnet1" -ResourceGroupName $rgname -Location $___location `
-AddressPrefix "10.0.0.0/16" -Subnet @($sub1, $sub2)
静的パブリック VIP を作成する
$publicip = New-AzPublicIpAddress -ResourceGroupName $rgname -name "AppGwIP" `
-___location $___location -AllocationMethod Static -Sku Standard
プールとフロントエンドポートの作成
$gwSubnet = Get-AzVirtualNetworkSubnetConfig -Name "appgwSubnet" -VirtualNetwork $vnet
$gipconfig = New-AzApplicationGatewayIPConfiguration -Name "AppGwIpConfig" -Subnet $gwSubnet
$fipconfig01 = New-AzApplicationGatewayFrontendIPConfig -Name "fipconfig" -PublicIPAddress $publicip
$pool = New-AzApplicationGatewayBackendAddressPool -Name "pool1" `
-BackendIPAddresses testbackend1.westus.cloudapp.azure.com, testbackend2.westus.cloudapp.azure.com
$fp01 = New-AzApplicationGatewayFrontendPort -Name "port1" -Port 80
リスナー、http 設定、ルール、自動スケールを作成する
$listener01 = New-AzApplicationGatewayHttpListener -Name "listener1" -Protocol Http `
-FrontendIPConfiguration $fipconfig01 -FrontendPort $fp01
$poolSetting01 = New-AzApplicationGatewayBackendHttpSettings -Name "setting1" -Port 80 `
-Protocol Http -CookieBasedAffinity Disabled
$rule01 = New-AzApplicationGatewayRequestRoutingRule -Name "rule1" -RuleType basic `
-BackendHttpSettings $poolSetting01 -HttpListener $listener01 -BackendAddressPool $pool -Priority 1000
$autoscaleConfig = New-AzApplicationGatewayAutoscaleConfiguration -MinCapacity 3
$sku = New-AzApplicationGatewaySku -Name WAF_v2 -Tier WAF_v2
2 つのカスタムルールを作成し、WAF ポリシーに適用します
# Create a User-Agent header custom rule
$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestHeaders -Selector User-Agent
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "evilbot" -Transform Lowercase -NegationCondition $False
$rule = New-AzApplicationGatewayFirewallCustomRule -Name blockEvilBot -Priority 2 -RuleType MatchRule -MatchCondition $condition -Action Block -State Enabled
# Create a geo-match custom rule
$var2 = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr
$condition2 = New-AzApplicationGatewayFirewallCondition -MatchVariable $var2 -Operator GeoMatch -MatchValue "US" -NegationCondition $False
$rule2 = New-AzApplicationGatewayFirewallCustomRule -Name allowUS -Priority 14 -RuleType MatchRule -MatchCondition $condition2 -Action Allow -State Enabled
# Create a firewall policy
$policySetting = New-AzApplicationGatewayFirewallPolicySetting -Mode Prevention -State Enabled
$wafPolicy = New-AzApplicationGatewayFirewallPolicy -Name wafpolicyNew -ResourceGroup $rgname -Location $___location -PolicySetting $PolicySetting -CustomRule $rule,$rule2
アプリケーション ゲートウェイの作成
$appgw = New-AzApplicationGateway -Name $appgwName -ResourceGroupName $rgname `
-Location $___location -BackendAddressPools $pool `
-BackendHttpSettingsCollection $poolSetting01 `
-GatewayIpConfigurations $gipconfig -FrontendIpConfigurations $fipconfig01 `
-FrontendPorts $fp01 -HttpListeners $listener01 `
-RequestRoutingRules $rule01 -Sku $sku -AutoscaleConfiguration $autoscaleConfig `
-FirewallPolicy $wafPolicy
WAFを更新する
WAF を作成したら、次のコードのような手順を使用して更新できます。
# Get the existing policy
$policy = Get-AzApplicationGatewayFirewallPolicy -Name $policyName -ResourceGroupName $RGname
# Add an existing rule named $rule
$policy.CustomRules.Add($rule)
# Update the policy
Set-AzApplicationGatewayFirewallPolicy -InputObject $policy