Azure WAF 如何設置只允許 HTTP Method - GET 訪問

 

需求：

1、只要方法不是 GET

2、Then 就全部 【拒绝流量】

 

 

建立及設定流程：

 

1.      點選建立WAF 　　

2.     依需求選擇WAF種類--全域WAF(FrontDoor)／區域WAF(應用程式閘道) 

　　

3.     新增自訂規則 

　　

4.     自行填寫規則名稱及優先順序後，接著設定規則條件 

　　

比對類型：字串

比對變數：RequestMethod

運算：判斷是否符合運算子

運算子：等於 (此例的比對變數為RequestMethod，所以只有”等於”)

比對值：GET*

（中間 ┼ 號可新增多重條件）

最後為符合條件的執行動作（此例為拒絕流量）

 

*支援HTTP Method的比對值

GET

POST

PUT

HEAD

刪除

LOCK

UNLOCK

設定檔

OPTIONS

PROPFIND

PROPPATCH

MKCOL

複製

MOVE

PATCH

CONNECT

https://learn.microsoft.com/zh-tw/azure/web-application-firewall/afds/waf-front-door-custom-rules#priority-action-types-and-match-conditions

 

  

參考資料： 

應用程式閘道WAF

https://learn.microsoft.com/zh-tw/azure/web-application-firewall/ag/ag-overview

 FrontDoor WAF

https://learn.microsoft.com/zh-tw/azure/web-application-firewall/afds/afds-overview

GCP 兩台機器 外部IP 對調方法?

 GCP  兩台機器 外部IP 對調

方法一
確保2組IP不是浮動IP(因設備關閉，重調設定重啟原本IP會變更)，因此參照下圖把要變更2組IP，先變成靜態外部IP，這樣對調就不受影響

方法二
可參照下圖用升級為靜態，在做對調

參考文檔:https://cloud.google.com/compute/docs/ip-addresses/reserve-static-external-ip-address?hl=zh-cn#IP_assign

在Azure裡，若域名可以加入DNS，但無法加入Front Door的原因

 在Azure實際操作時，遇上了可以加入DNS的域名，卻不一定能加入Frontdoor的原因，

是與FQDN相關，即"完全合格網域名稱"：一個完全合格的域名應包含根標籤在內的每個標籤（label），因為每個域名最終都具有共同的根源。舉例，如www.abc.gov.tw以及 www.def.edu.tw 這兩個各自是政府與教育部的WWW 伺服器主機名稱。

但有一種域名可以加入DNS的，那就是Punycode 國際化域名編碼。

這是一種表示Unicode碼和ASCII碼的有限的字符集。為了防止非國際域名中的連字符被Punycode解碼，會在在國際化域名中的Punycode序列前加上字符串 xn-- 。這被稱為ACE（ASCII Compatible Encoding）。

若在特殊語系國家(如阿拉伯、印度等特殊地區)，雖然可以使用 Internationalized Domain Names，但根據Azure當前產品設計，Azure Front Door 目前并不支援 Punycode characters，對於AFD Standard/Premium 以及 Classic 均不支援。(可查看技術文件連結3)。

所以這種狀況下，在使用者想將未轉換的"Punycode 國際化域名編碼"的域名，加入"目前尚未支援"的Azure Frontdoor裡，就會出現提示錯誤的訊息。錯誤如圖：

 

 

參考技術文件
1、Azure DNS 支援管理 IDN
     https://learn.microsoft.com/zh-cn/azure/dns/dns-faq

2、Azure Frontdoor 目前尚不支援有 PunyCode的域名(FQDN)
     https://learn.microsoft.com/zh-cn/azure/frontdoor/front-door-custom-domain

3、Azure learn
     https://learn.microsoft.com/en-us/azure/frontdoor/front-door-custom-domain

阿里云关闭API與配置云联网專線

客戶云联网平台下单

用于开启和关闭API 方式开通，目前仅腾讯云（国内）支持 API 方式开通，阿里暂不支持，

所以需要默认关闭阿里云 API 开关调用

新开 VPN 新增 阿里 云节点

1、 云专线接入 添加

2、 选择公有云 阿里云

① 选择接入区域

② 选择接入区域上联类型、接入区域带宽、起止时间

③ 选择更多操作， 可指定 CE/PE 端互联 IP

④ 点击保存

3、 提交业务申请提交业务申请

4、 提单后告知客户经理，联系发起省运营管理员进行订单审核。

已有VPN 新增 阿里 云节点

如果在存量VPN 中添加 阿里云节 点，则点击“变更接入”添加 阿里云 节点即可，操作基本

同上

1、 点击变更接入区域

2、 选择需要添加新节点的 VPN ，根据实际情况点击办公点专线接入和云商专线接入后面的添加按钮进行新节点添加操作

3、 选择需要添加节点的信息点击保存

4、 提单后告知客户经理，联系发起省运营管理员进行订单审核。

用户账号ID的获取（客户操作）

客户提供主账户ID 给联通云联网运营中心分配 专线通道

高速通道配置（客户操作）

业务审核通过后中国联通云联网产品运营中心会分配客户云商侧专线对接产品到客户

云企业网

1、 搜索并进入阿里云高速通道产品。搜索并进入阿里云高速通道产品。

2、 登录客户账号 开通出方向流量费点击“立即开通”

3、 领取出方向流量资源包 点击“立即领取”

4、 点击接受并支付

5、 按客户实际需求情况选择购买时长及续费方式并支付

6、 点击实例 ID 创建 VBR

7、 填写相关网络参数，阿里云 客户侧互联 IP 地址如客户未规划则按云联网分配进行配置

8、 创建 VBR 成功

9、 点击实例 ID 名称前面的超链接名字进入配置

备注：如果出现BGP 邻居和 BGP 组无法创建的情况需要用客户账户阿里提工单解决 （如下图所示）

10、 创建 BGP 组， peer as 号： 9929 。

11、 创建 BGP 邻居， BGP 邻居 IP 填写 物理专线接口中 “客户侧 IPv4 互联 IP

12、 打通 VBR 和 VPC

旧版云企业网

搜索并进入阿里云高速通道产品。

备注：如选择“开通转发路由器服务”和现有手册操作不一致可选择切到旧版（如下图）

注意：如果VBR 加入云企业网时提示该实例不允许加入云企业网，请向阿里提工

单，请求将该 VBR 实例加白，需要向阿里提供网络组网拓扑。

注意：建议第一次建立得时候加入云企业网得实例类型优先选择VPC,VBR 在创建完云企业网之后在做加入

创建完成如下图：

将VBR/VPC 加入云企业网实例

点击云企业网具体实例

加载网络实例

完成网络实例加载

加载完成后，可在云企业网实例中看到加载得具体网络实例得ID ，类型，所属地域

ASUS-Z790-P WIFI 安裝Linux Ubuntu 安裝

前置準備(製作 Ubuntu USB)

• 隨身碟x1
• 軟體使用:Rufus

1.到Ubuntu官網下載 iso檔

2.前往 Rufus 官方網站，並下載 Rufus 軟體。

USB 上的資料都會被刪除，如果有重要資料請先備份！

3.選擇映像檔，最後執行

 

Rufus 製作隨身碟完成

開始安裝設定

1.先登入主機帳密(主機原本就有安裝作業系統)

先確認登入帳密權限是否開通(這裡登入帳號為:test)

換成root帳號:sudo su - root

參考文件: Linux 的 su 與 sudo 指令教學

2.確認硬碟哪個對應哪個是sda、sdb (以下列為例)

part/boot/ 代表安裝成功 輸入指令:lsblk(顯示硬碟裡的安裝內容訊息)

參考文件: 檢視列出 Block Device

3.輸入指令:hdparm -i /dev/sda，去找尋sda硬碟序號，因後續要對應序號

參考文件:hdparm

---------------確認資訊直接重啟，輸入機器重啟指令:reboot--------------------

1.主機插上製作隨身碟開機按F2，進Bios重灌選取這裡選Partition 2

2.USB開機進入重灌頁面，第一步選取:English

3.Keyboard configuration (鍵盤配置)

Layout: Taiwanese

Variant: Taiwanese – saisuyat (Taiwan)

11122

1222

3333

4.Chose type of install (選擇安裝類型)

5.Network connections (網路連線)

Subnet:

Address: (尾數對應第幾台設備，比如:2就是對應第2台設備)

Gateway:

Name servers:  (ip中間記得是加逗號)

輸入完畢要等他稍微更新，如直接下一步系統抓不到網路參數設定

6.configure ubuntu archive mirror(配置ubuntu歸檔鏡像)

按下Enter等跑更新

7.Installer update available (安裝程式更新可用)

Continue witjout updating,這裡可選是否更新繼續下一步

8.Guided storage configuration(引導儲存配置)

這邊要注意的是硬碟序號跟一開始看的是否一樣

9.Storage configuration(儲存配置)

這邊不做任何改動，直接繼續執行

10.這裡創建使用者(以帳號:test123、密碼:123456)

Your name: test123 

Your server’s name: sgc-ai-02 (機器名稱)

Pick a username: test123

Cjoose a password: 123456(第一次密碼驗證)

Your password: 123456(第二次密碼驗證)

445

222

5555

5555

55541.

415151

11.Third-party drivers (第三方驅動程式)

12.ssh setup

13.整個過程設定玩重啟按F2，重新進到BIOS介面開機順序選擇硬碟:安裝作業系統硬碟

14.驗證環節(先登入帳:test123密:123456)

輸入指令:ping 8.8.8.8,確認網路流量正常按ctrl+z結束

在來輸入指令:ip addr show: 10.100.1.2(看顯示設備上ip是否對應主機上ip)