
嗨,各位路過的探險家!今天來聊聊我們網站的超級門神 ── WAF 防火牆。
這個系統就像是一個戒備森嚴的城堡,為了不讓壞人進來搗亂,門神阿福手上有一張點名簿,也就是所謂的白名單。只要你的 IP 位址不在這張點名簿上,阿福就會直接把你塞進小黑屋,連大門口都進不來。
最厲害的是,阿福非常有個性,他只保護特定的城堡。就算隔壁的系統不小心被圍攻,我們 Project Name 這邊依然穩如泰山。
阿福的點名簿現況
目前只有拿到特別通行證的網段才能順利通行:
- 某神秘機房專區: 192.168.1.0/24
- 核心團隊的秘密基地: 192.168.2.0/24
- 測試專用通道: 192.168.3.0/24
- 管理員的個人特權 IP: 203.0.113.89
前置作業:請出管理員鑰匙
在指揮阿福修改點名簿之前,請先確認你已經切換到正確的管理帳號,不然阿福是絕對不會理你的。
指令如下:
az account set –subscription “請輸入你的雲端帳號萬用鑰匙代碼”
新增特權 IP 的四大步驟
假設今天有兩組好朋友,一組是 192.168.99.0/24 的新同學,另一組是 198.51.100.6 的外包夥伴,想要加入點名簿。請跟著以下步驟做:
步驟 1:偷看目前的點名簿
先把阿福現在手上到底登記了誰調查清楚。
az network application-gateway waf-policy custom-rule show –policy-name 門神名稱 –resource-group 城堡名稱 –name 規則名稱 –query “matchConditions[0].matchValues” -o json
步驟 2:大家排排站,準備新名單
請把剛剛查出來的舊名單複製出來,然後把新朋友的名字加進去,排成一列。
步驟 3:大手一揮,整張蓋過去
超級重要: 阿福很健忘,你不能只跟他說我要加兩個人,你要給他一張全新的完整名單,否則舊的人會被他通通忘光光。
我們會用一個腳本把新舊名單綁在一起,然後直接覆蓋:
$allIPs = @(
“192.168.1.0/24”,
“192.168.2.0/24”,
“192.168.3.0/24”,
“203.0.113.89”,
“192.168.99.0/24”, # 這是新朋友一號
“198.51.100.6” # 這是新朋友二號
)
(接下來把這串名單打包成 JSON 格式後,用雲端指令送給阿福更新。因為指令比較長,這裡就不贅述,重點是名單要帶齊。)
步驟 4:檢查阿福有沒有認真工作
更新完之後,再次叫阿福把名單拿出來核對,看看剛才加的新朋友是不是都在上面了。
如果想踢掉某個 IP 呢
方法完全一樣。先去步驟 1 看名單,在步驟 2 的時候拿橡皮擦把不想看到的人擦掉,最後用步驟 3 的覆蓋大法,這個人就被阿福除名了。
實地測試:看看阿福有沒有偷懶
名單改完之後,我們一定要來測試看看阿福是不是真的有在認真抓壞人:
- 叫沒拿通行證的朋友點網址: 如果畫面跳出 403 錯誤,代表被阿福成功攔截,阿福好棒。
- 自己人從白名單點網址: 如果正常顯示網頁,代表通行無阻。
筆記小重點
- 隔壁鄰居很安全: 這個點名簿設定只針對我們 Project Name ,完全不會影響到同一個伺服器底下的其他系統。
- 覆蓋完請稍等: 阿福收到新名單後,大概需要 1 到 2 分鐘的時間來認熟面孔,請給他一點時間。
- 附贈隱形護盾: 除了不讓陌生人進來,阿福同時還開啟了國際防禦標準,一般的網路流氓就算換了白名單 IP 進來,只要手腳不乾淨一樣會被抓走喔。
如果你想使用 Azure Portal 網頁畫面來操作,步驟非常直覺,請跟著以下步驟點選。
第一步、登入與尋找策略
首先打開瀏覽器登入 Azure Portal 網站。在網頁最上方的搜尋欄輸入 Web Application Firewall policies 或是 WAF 策略,然後點選進入。

第二步、選擇特定的策略
在列表中找到並點選你正在使用的 WAF 策略名稱。
第三步、進入自訂規則
進入該策略的頁面後,查看左側的選單,在設定區塊中,點選自訂規則。
第四步、修改名單
在自訂規則的列表中,點選你用來管制 IP 的那一條規則。點開之後,你會看到比對條件,找到比對變數為 RemoteAddr 的那一項,你就可以直接在下方的數值列表中,新增或刪除你要異動的 IP 位址。

第五步、儲存更新
修改完成後,點選畫面最上方的儲存按鈕。系統大約需要 1 到 2 分鐘的時間將新名單同步到防火牆。
