温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Azure Firewall和Appliation Gateway实现双重防护的方法

发布时间:2020-06-16 16:46:11 来源:亿速云 阅读:463 作者:元一 栏目:云计算

Azure firewall简介

Azure firewall就是Azure 防火墙,是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址,使外部防火墙能够识别来自你的虚拟网络的流量。 该服务与用于日志记录和分析的 Azure Monitor 完全集成。

Application Gateway简介

Application Gateway,提供OSI Layer 7的负载均衡器。Application Gateway类似反向代理服务,把客户端请求发送到后端的服务器

Application Gateway的特性:

1.Web Application Firewall (预览)

Web Application Firewall (WAF),可以保护Web应用程序面授常见的Web攻击,比如SQL注入,跨站点脚本攻击和会话劫持

2.HTTP负载均衡

提供7层负载均衡

3.基于Cookie的会话保持

当我们希望将用户会话保持在同一个Azure后端服务器上,这个功能就非常有用

4.Secure Socket Layer(SSL) Offload

如果我们不使用SSL Offload,SSL加密/解密是最消耗服务器资源的应用,从HTTP到HTTPS部署后,很可能发现服务器的性能和处理能力大幅下降。

当我们使用SSL Offload的时候,Internet用户访问Azure Application Gateway的流量是HTTPS加密的。

5.端到端的SSL加密

6.基于URL的路由

7.多站点路由

8.支持Websocket

9.健康侦测

10.支持高级诊断功能

整体的架构就是Internet->Azure WAF->Azure Firewall->WEB

首先来建一个Azure的waf,并配置好规则,我们只有一个简单的http listenerAzure Firewall和Appliation Gateway实现双重防护的方法

在HTTP这里,我们将端口设置为100,这是为了区分其他应用

Azure Firewall和Appliation Gateway实现双重防护的方法

要注意的是这个WAF的backend,这里后端池因为没办法直接添加firewall,所以指定的是firewall的公网IP

Azure Firewall和Appliation Gateway实现双重防护的方法

接下来,需要在Azure firewall上配置好NAT的规则,注意我们这里配置的端口之所以是100,是因为前端Azure WAF会把收到的请求转到100端口,因此在FW这里我们就需要为100的端口来做NAT,但是NAT之后还是会转到web服务器的80端口,所以这个过程对于应用来说是透明的,也不需要修改应用的配置

Azure Firewall和Appliation Gateway实现双重防护的方法

接下来,可以在app gw里看到后端池的状态是healthy的

Azure Firewall和Appliation Gateway实现双重防护的方法

同时我们访问的时候也能看到确实是可以看到正确结果的

Azure Firewall和Appliation Gateway实现双重防护的方法

这个架构的好处就在于可以同时利用Azure WAF和firewall的功能,在不同层面,同时保护安全

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI