嗨,各位路過的探險家!今天來聊聊我們網站的超級門神 ── WAF 防火牆。
這個系統就像是一個戒備森嚴的城堡,為了不讓壞人進來搗亂,門神阿福手上有一張點名簿,也就是所謂的白名單。只要你的 IP 位址不在這張點名簿上,阿福就會直接把你塞進小黑屋,連大門口都進不來。
最厲害的是,阿福非常有個性,他只保護特定的城堡。就算隔壁的系統不小心被圍攻,我們 Project Name 這邊依然穩如泰山。
阿福的點名簿現況
目前只有拿到特別通行證的網段才能順利通行:
- 某神秘機房專區: 192.168.1.0/24
- 核心團隊的秘密基地: 192.168.2.0/24
- 測試專用通道: 192.168.3.0/24
- 管理員的個人特權 IP: 203.0.113.89
前置作業:請出管理員鑰匙
在指揮阿福修改點名簿之前,請先確認你已經切換到正確的管理帳號,不然阿福是絕對不會理你的。
指令如下:
az account set –subscription “請輸入你的雲端帳號萬用鑰匙代碼”
新增特權 IP 的四大步驟
假設今天有兩組好朋友,一組是 192.168.99.0/24 的新同學,另一組是 198.51.100.6 的外包夥伴,想要加入點名簿。請跟著以下步驟做:
步驟 1:偷看目前的點名簿
先把阿福現在手上到底登記了誰調查清楚。
az network application-gateway waf-policy custom-rule show –policy-name 門神名稱 –resource-group 城堡名稱 –name 規則名稱 –query “matchConditions[0].matchValues” -o json
步驟 2:大家排排站,準備新名單
請把剛剛查出來的舊名單複製出來,然後把新朋友的名字加進去,排成一列。
步驟 3:大手一揮,整張蓋過去
超級重要: 阿福很健忘,你不能只跟他說我要加兩個人,你要給他一張全新的完整名單,否則舊的人會被他通通忘光光。
我們會用一個腳本把新舊名單綁在一起,然後直接覆蓋:
$allIPs = @(
“192.168.1.0/24”,
“192.168.2.0/24”,
“192.168.3.0/24”,
“203.0.113.89”,
“192.168.99.0/24”, # 這是新朋友一號
“198.51.100.6” # 這是新朋友二號
)
(接下來把這串名單打包成 JSON 格式後,用雲端指令送給阿福更新。因為指令比較長,這裡就不贅述,重點是名單要帶齊。)
步驟 4:檢查阿福有沒有認真工作
更新完之後,再次叫阿福把名單拿出來核對,看看剛才加的新朋友是不是都在上面了。
如果想踢掉某個 IP 呢
方法完全一樣。先去步驟 1 看名單,在步驟 2 的時候拿橡皮擦把不想看到的人擦掉,最後用步驟 3 的覆蓋大法,這個人就被阿福除名了。
實地測試:看看阿福有沒有偷懶
名單改完之後,我們一定要來測試看看阿福是不是真的有在認真抓壞人:
- 叫沒拿通行證的朋友點網址: 如果畫面跳出 403 錯誤,代表被阿福成功攔截,阿福好棒。
- 自己人從白名單點網址: 如果正常顯示網頁,代表通行無阻。
筆記小重點
- 隔壁鄰居很安全: 這個點名簿設定只針對我們 Project Name ,完全不會影響到同一個伺服器底下的其他系統。
- 覆蓋完請稍等: 阿福收到新名單後,大概需要 1 到 2 分鐘的時間來認熟面孔,請給他一點時間。
- 附贈隱形護盾: 除了不讓陌生人進來,阿福同時還開啟了國際防禦標準,一般的網路流氓就算換了白名單 IP 進來,只要手腳不乾淨一樣會被抓走喔。
