189 8069 5689

AzureFirewall和AppliationGateway实现双重防护的方法

Azure firewall简介

创新互联公司拥有一支富有激情的企业网站制作团队,在互联网网站建设行业深耕10年,专业且经验丰富。10年网站优化营销经验,我们已为上1000+中小企业提供了成都网站建设、做网站解决方案,按需求定制开发,设计满意,售后服务无忧。所有客户皆提供一年免费网站维护!

Azure firewall就是Azure 防火墙,是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址,使外部防火墙能够识别来自你的虚拟网络的流量。 该服务与用于日志记录和分析的 Azure Monitor 完全集成。

Application Gateway简介

Application Gateway,提供OSI Layer 7的负载均衡器。Application Gateway类似反向代理服务,把客户端请求发送到后端的服务器

Application Gateway的特性:

1.Web Application Firewall (预览)

Web Application Firewall (WAF),可以保护Web应用程序面授常见的Web攻击,比如SQL注入,跨站点脚本攻击和会话劫持

2.HTTP负载均衡

提供7层负载均衡

3.基于Cookie的会话保持

当我们希望将用户会话保持在同一个Azure后端服务器上,这个功能就非常有用

4.Secure Socket Layer(SSL) Offload

如果我们不使用SSL Offload,SSL加密/解密是最消耗服务器资源的应用,从HTTP到HTTPS部署后,很可能发现服务器的性能和处理能力大幅下降。

当我们使用SSL Offload的时候,Internet用户访问Azure Application Gateway的流量是HTTPS加密的。

5.端到端的SSL加密

6.基于URL的路由

7.多站点路由

8.支持Websocket

9.健康侦测

10.支持高级诊断功能

整体的架构就是Internet->Azure WAF->Azure Firewall->WEB

首先来建一个Azure的waf,并配置好规则,我们只有一个简单的http listenerAzure Firewall和Appliation Gateway实现双重防护的方法

在HTTP这里,我们将端口设置为100,这是为了区分其他应用

Azure Firewall和Appliation Gateway实现双重防护的方法

要注意的是这个WAF的backend,这里后端池因为没办法直接添加firewall,所以指定的是firewall的公网IP

Azure Firewall和Appliation Gateway实现双重防护的方法

接下来,需要在Azure firewall上配置好NAT的规则,注意我们这里配置的端口之所以是100,是因为前端Azure WAF会把收到的请求转到100端口,因此在FW这里我们就需要为100的端口来做NAT,但是NAT之后还是会转到web服务器的80端口,所以这个过程对于应用来说是透明的,也不需要修改应用的配置

Azure Firewall和Appliation Gateway实现双重防护的方法

接下来,可以在app gw里看到后端池的状态是healthy的

Azure Firewall和Appliation Gateway实现双重防护的方法

同时我们访问的时候也能看到确实是可以看到正确结果的

Azure Firewall和Appliation Gateway实现双重防护的方法

这个架构的好处就在于可以同时利用Azure WAF和firewall的功能,在不同层面,同时保护安全


当前文章:AzureFirewall和AppliationGateway实现双重防护的方法
网站URL:http://cdxtjz.com/article/ppheig.html

其他资讯