Was ist Azure Front Door?
Azure Front Door (Standard/Premium) ist Microsofts Global Application Delivery Controller:
- CDN: Statische Assets aus 118 Edge-Standorten weltweit
- WAF: Web Application Firewall mit OWASP-Regeln
- Global Load Balancing: Traffic auf mehrere Regionen verteilen
- SSL Offloading: Zertifikate zentral verwalten
- Gesundheitsprüfungen: Automatischer Failover bei Origin-Ausfall
Front Door Profil erstellen
# Front Door Standard Profil
az afd profile create \
--profile-name afd-firma \
--resource-group rg-firma-prod \
--sku Standard_AzureFrontDoor
# Endpoint (erreichbar unter *.z01.azurefd.net)
az afd endpoint create \
--profile-name afd-firma \
--resource-group rg-firma-prod \
--endpoint-name firma-endpoint \
--enabled-state Enabled
# Origin Group (Backend-Pool)
az afd origin-group create \
--profile-name afd-firma \
--resource-group rg-firma-prod \
--origin-group-name backend-origins \
--probe-request-type HEAD \
--probe-protocol Https \
--probe-interval-in-seconds 30 \
--sample-size 4 \
--successful-samples-required 3
# Origin hinzufügen
az afd origin create \
--profile-name afd-firma \
--resource-group rg-firma-prod \
--origin-group-name backend-origins \
--origin-name webapp-germany \
--host-name webapp-germany.azurewebsites.net \
--origin-host-header webapp-germany.azurewebsites.net \
--priority 1 \
--weight 1000
Routing Rules
# Route: alle Anfragen → backend-origins
az afd route create \
--profile-name afd-firma \
--resource-group rg-firma-prod \
--endpoint-name firma-endpoint \
--route-name default-route \
--origin-group backend-origins \
--supported-protocols Https Http \
--forwarding-protocol HttpsOnly \
--https-redirect Enabled \
--link-to-default-domain Enabled
# Caching für statische Assets
az afd route update \
--profile-name afd-firma \
--resource-group rg-firma-prod \
--endpoint-name firma-endpoint \
--route-name default-route \
--enable-caching true \
--query-string-caching-behavior IgnoreQueryString
Custom Domain mit SSL
# Domain hinzufügen
az afd custom-domain create \
--profile-name afd-firma \
--resource-group rg-firma-prod \
--custom-domain-name www-firma \
--host-name www.firma.de \
--minimum-tls-version TLS12
# Managed Certificate (automatisch erneuert)
az afd custom-domain update \
--profile-name afd-firma \
--resource-group rg-firma-prod \
--custom-domain-name www-firma \
--certificate-type ManagedCertificate
WAF Policy aktivieren
# WAF Policy erstellen (Premium SKU)
az network front-door waf-policy create \
--name waf-firma \
--resource-group rg-firma-prod \
--sku Premium_AzureFrontDoor \
--mode Prevention
# OWASP 3.2 Regeln aktivieren
az network front-door waf-policy managed-rules add \
--policy-name waf-firma \
--resource-group rg-firma-prod \
--type DefaultRuleSet \
--version 2.1
# WAF mit Security Policy verbinden
az afd security-policy create \
--profile-name afd-firma \
--resource-group rg-firma-prod \
--security-policy-name waf-policy \
--domains /subscriptions/.../customDomains/www-firma \
--waf-policy /subscriptions/.../frontdoorwebapplicationfirewallpolicies/waf-firma
Geo-Blocking (länderspezifisch)
# Traffic aus bestimmten Ländern blockieren
az network front-door waf-policy rule create \
--policy-name waf-firma \
--resource-group rg-firma-prod \
--name block-countries \
--priority 100 \
--action Block \
--rule-type MatchRule \
--match-condition \
"matchVariable=RemoteAddr,operator=GeoMatch,matchValues=CN RU KP"
Kosten
| SKU | Preis/Monat |
|---|---|
| Standard | ~30 € Basis + Daten |
| Premium (mit WAF) | ~300 € Basis + Daten |
FAQ
Was ist der Unterschied zwischen Front Door und CDN Classic?
Azure CDN Classic ist veraltet. Azure Front Door Standard/Premium ist der Nachfolger mit WAF, Load Balancing und CDN kombiniert.
Fazit
Azure Front Door ist die empfohlene Lösung für öffentliche Web-Apps die global verfügbar sein müssen – mit eingebautem WAF-Schutz.
Azure CDN und Sicherheitslösungen für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.