AzureFirewall和AppliationGateway实现双重防护的方法
Azure firewall简介
创新互联公司拥有一支富有激情的企业网站制作团队,在互联网网站建设行业深耕10年,专业且经验丰富。10年网站优化营销经验,我们已为上1000+中小企业提供了成都网站建设、做网站解决方案,按需求定制开发,设计满意,售后服务无忧。所有客户皆提供一年免费网站维护!
Azure firewall就是Azure 防火墙,是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址,使外部防火墙能够识别来自你的虚拟网络的流量。 该服务与用于日志记录和分析的 Azure Monitor 完全集成。
Application Gateway简介
Application Gateway,提供OSI Layer 7的负载均衡器。Application Gateway类似反向代理服务,把客户端请求发送到后端的服务器。
Application Gateway的特性:
1.Web Application Firewall (预览)
Web Application Firewall (WAF),可以保护Web应用程序面授常见的Web攻击,比如SQL注入,跨站点脚本攻击和会话劫持
2.HTTP负载均衡
提供7层负载均衡
3.基于Cookie的会话保持
当我们希望将用户会话保持在同一个Azure后端服务器上,这个功能就非常有用
4.Secure Socket Layer(SSL) Offload
如果我们不使用SSL Offload,SSL加密/解密是最消耗服务器资源的应用,从HTTP到HTTPS部署后,很可能发现服务器的性能和处理能力大幅下降。
当我们使用SSL Offload的时候,Internet用户访问Azure Application Gateway的流量是HTTPS加密的。
5.端到端的SSL加密
6.基于URL的路由
7.多站点路由
8.支持Websocket
9.健康侦测
10.支持高级诊断功能
整体的架构就是Internet->Azure WAF->Azure Firewall->WEB
首先来建一个Azure的waf,并配置好规则,我们只有一个简单的http listener
在HTTP这里,我们将端口设置为100,这是为了区分其他应用
要注意的是这个WAF的backend,这里后端池因为没办法直接添加firewall,所以指定的是firewall的公网IP
接下来,需要在Azure firewall上配置好NAT的规则,注意我们这里配置的端口之所以是100,是因为前端Azure WAF会把收到的请求转到100端口,因此在FW这里我们就需要为100的端口来做NAT,但是NAT之后还是会转到web服务器的80端口,所以这个过程对于应用来说是透明的,也不需要修改应用的配置
接下来,可以在app gw里看到后端池的状态是healthy的
同时我们访问的时候也能看到确实是可以看到正确结果的
这个架构的好处就在于可以同时利用Azure WAF和firewall的功能,在不同层面,同时保护安全
新闻名称:AzureFirewall和AppliationGateway实现双重防护的方法
链接分享:http://myzitong.com/article/ppheig.html