البرنامج التعليمي: إنشاء بوابة تطبيق باستخدام Web Application Firewall باستخدام مدخل Microsoft Azure

يوضح لك هذا البرنامج التعليمي كيفية استخدام مدخل Microsoft Azure لإنشاء بوابة تطبيق بجدار حماية تطبيق ويب (WAF). يستخدم جدار حماية تطبيق الويب قواعد OWASP لحماية تطبيقك. تتضمن هذه القواعد الحماية من هجمات مثل حقن SQL، وهجمات البرمجة النصية عبر الموقع، واختطاف الجلسات. بعد إنشاء بوابة التطبيق، اختبرها للتأكد من أنها تعمل بشكل صحيح. باستخدام بوابة تطبيق Azure، قم بتوجيه حركة مرور تطبيقك على الويب إلى موارد معينة عن طريق تعيين المستمعين إلى المنافذ، وإنشاء القواعد، وإضافة الموارد إلى تجمع في الخلفية. من أجل البساطة، يستخدم هذا البرنامج التعليمي إعدادا بسيطا مع IP أمامي عام، ومستمع أساسي لاستضافة موقع واحد على بوابة التطبيق هذه، جهازين ظاهريين يعملان بنظام Linux يستخدمان لتجمع الواجهة الخلفية، وقاعدة توجيه الطلب الأساسية.

في هذا البرنامج التعليمي، تتعلم كيفية:

• إنشاء بوابة تطبيق مع تمكين جدار حماية تطبيق ويب
• إنشاء الأجهزة الظاهرية المستخدمة بصفتها خوادم خلفية
• إنشاء حساب تخزين وتكوين التشخيص
• اختبار بوابة التطبيق

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

تسجيل الدخول إلى Azure

قم بتسجيل الدخول إلى بوابة Azure.

إنشاء بوابة تطبيق

1. 00-حدد "Create a resource" في القائمة اليمنى مدخل Microsoft Azure. تظهر نافذة Create a resource.

2. حدد Networking ثم حدد Application Gateway في قائمة خدمات Azure الشائعة.

علامة تبويبBasics

1. في علامة التبويب "Basics"، أدخل هذه القيم لإعدادات بوابة التطبيق التالية:

   • "Resource group": حدد "myResourceGroupAG" لمجموعة الموارد. إذا لم يكن موجوداً، فحدد "Create new" لإنشائه.

   • "Application gateway name": أدخل "myAppGateway" لاسم بوابة التطبيق.

   • Tier: حدد WAF V2.

   • نهج WAF: حدد Create new، واكتب اسما للنهج الجديد، ثم حدد OK. يؤدي هذا إلى إنشاء نهج WAF أساسي مع مجموعة قواعد أساسية مدارة (CRS).

     

2. لكي يتواصل Azure بين الموارد التي تنشئها، فإنه يحتاج إلى شبكة ظاهرية. يمكنك إما إنشاء شبكة ظاهرية جديدة أو استخدام شبكة موجودة. في هذا المثال، يمكنك إنشاء شبكة ظاهرية جديدة في نفس الوقت الذي تقوم فيه بإنشاء بوابة التطبيق. يجري إنشاء مثيلات Application Gateway في شبكات فرعية منفصلة. يمكنك إنشاء شبكتين فرعيتين في هذا المثال: واحدة لبوابة التطبيق، ثم إضافة أخرى لاحقا لخوادم الواجهة الخلفية.

   ضمن Configure virtual network، حدد Create new لإنشاء شبكة افتراضية جديدة. في نافذة Create virtual network التي تفتح، أدخل القيم التالية لإنشاء شبكة ظاهرية وشبكة فرعية:

   • "Name": أدخل "myVNet" لاسم الشبكة الظاهرية.

   • مساحة العنوان: اقبل نطاق العنوان 10.0.0.0/16 .

   • اسم الشبكة الفرعية (الشبكة الفرعية لبوابة التطبيق): تعرض منطقة الشبكات الفرعية شبكة فرعية تسمى Default. قم بتغيير اسم هذه الشبكة الفرعية إلى myAGSubnet، واترك نطاق عناوين IPv4 الافتراضي 10.0.0.0/24.
     قد لا تحتوي الشبكة الفرعية لبوابة التطبيق إلا على بوابات تطبيق ما. لا يسمح بأي موارد أخرى.

     حدد "OK" لإغلاق نافذة "Create virtual network" وحفظ إعدادات الشبكة الظاهرية.

3. في علامة التبويب الأساسيات، وافق على القيم الافتراضية للإعدادات الأخرى ثم حدد "Next: Frontends".

علامة تبويب الواجهات

1. في علامة التبويب Frontends، تحقق من تعيين Frontend IP address type إلى Public.
   يمكنك تكوين عنوان IP للواجهة الأمامية ليكون عام أو كلاهما وفقا لحالة الاستخدام الخاصة بك. في هذا المثال، يمكنك اختيار عنوان IP للواجهة الأمامية العامة.

   إشعار

   بالنسبة إلى Application Gateway v2 SKU، يتم دعم أنواع عناوين IP العامة و كلا الواجهة الأمامية اليوم. تكوين IP للواجهة الأمامية الخاصة فقط غير مدعوم حاليا.

2. حدد "Add new" لـ عنوان IP العام وأدخل myAGPublicIPAddress لاسم عنوان IP العام، ثم حدد "OK".

   

3. حدد Next: Backends.

علامة تبويب "Backends"

يُستخدم التجمع الخلفي لتوجيه الطلبات إلى الخوادم الخلفية التي تخدم الطلب. يمكن أن تتكون تجمعات الواجهة الخلفية من NICs ومجموعات مقياس الجهاز الظاهري وعناوين IP العامة وعناوين IP الداخلية وأسماء المجال المؤهلة بالكامل (FQDN) والنهايات الخلفية متعددة المستأجرين مثل Azure App Service. في هذا المثال، يمكنك إنشاء تجمع خلفية فارغ مع بوابة التطبيق ثم إضافة أهداف الخلفية لاحقا إلى تجمع الخلفية.

1. في علامة التبويب Backends، حدد Add a backend pool.

2. في نافذة Add a backend pool التي تفتح، أدخِل القيم التالية لإنشاء تجمع خلفي فارغ:

   • "Name": أدخل myBackendPool لاسم تجمع الواجهة الخلفية.
   • إضافة تجمع واجهة خلفية بدون أهداف: حدد "Yes" لإنشاء تجمع واجهة خلفية بدون أهداف. تضيف أهداف الواجهة الخلفية بعد إنشاء بوابة التطبيق.

3. في نافذة Add a backend pool حدد Add لحفظ تكوين التجمع الخلفي والعودة إلى علامة التبويب Backends.

4. في علامة التبويب Backends حدد Next: Configuration.

علامة التبويب "التكوين"

في علامة التبويب Configuration ، يمكنك توصيل تجمع الواجهة الأمامية والخلفية الذي أنشأته باستخدام قاعدة توجيه.

1. حدد "Add a routing rule" من عمود "Routing rules".

2. من نافذة "Add a routing rule" التي تفتح، أدخل myRoutingRule في "Rule name".

3. بالنسبة لـ Priority، اكتب رقم الأولوية.

4. تتطلب قاعدة التوجيه وحدة إصغاء. من علامة التبويب "Listener" داخل نافذة "Add a routing rule"، أدخل القيم التالية لوحدة الإصغاء:

   • "Listener name": أدخل myListener لاسم وحدة الإصغاء.

   • بروتوكول IP للواجهة الأمامية: حدد IPv4 العام لاختيار IP العام الذي أنشأته للواجهة الأمامية.

     وافق على القيم الافتراضية للإعدادات الأخرى في علامة التبويب وحدة الإصغاء، ثم حدد علامة التبويب أهداف الواجهة الخلفية لتكوين بقية قاعدة التوجيه.

5. في علامة التبويب أهداف الواجهة الخلفية، حدد myBackendPoolلهدف الواجهة الخلفية.

6. بالنسبة لـ Backend settings، حدد Add new لإنشاء إعداد واجهة خلفية جديد. يحدد هذا الإعداد سلوك قاعدة التحويل. في نافذة Add Backend setting التي تفتح، أدخل myBackendSettingلاسم إعدادات الخلفية. وافق على القيم الافتراضية للإعدادات الأخرى في النافذة، ثم حدد Add للعودة إلى نافذة Add a routing rule.

7. من نافذة "Add a routing rule"، حدد "Add" لحفظ قاعدة التحويل والعودة إلى علامة التبويب "Configuration".

8. حدد Next: Tags ثم Next: Review + create.

مراجعة + إنشاء علامة التبويب

راجع الإعدادات في علامة التبويب "Review + create"، ثم حدد "Create" لإنشاء الشبكة الظاهرية وعنوان IP العام وبوابة التطبيق. قد يستغرق Azure عدة دقائق لإنشاء بوابة التطبيق.

انتظر حتى ينتهي التوزيع بنجاح قبل الانتقال إلى القسم التالي.

إضافة الشبكة الفرعية لخادم الواجهة الخلفية

1. افتح الشبكة الظاهرية myVNet.
2. ضمن Settings، اختر Subnets.
3. حدد + الشبكة الفرعية.
4. بالنسبة للاسم، اكتب myBackendSubnet.
5. بالنسبة إلى عنوان البدء، اكتب 10.0.1.0.
6. حدد إضافة لإضافة الشبكة الفرعية.

إضافة أهداف الخلفية

في هذا المثال، ستستخدم الأجهزة الظاهرية كخلفية هدف. يمكنك إمّا استخدام الأجهزة الظاهرية الموجودة وإمّا إنشاء أجهزة جديدة. يمكنك إنشاء جهازين ظاهريين يستخدمهما Azure كخوادم خلفية لبوابة التطبيق.

لفعل ذلك، ستقوم بما يلي:

1. إنشاء جهازين ظاهريين جديدين يعملان بنظام Linux، myVM وmyVM2، لاستخدامها كخوادم خلفية.
2. قم بتثبيت NGINX على الأجهزة الظاهرية للتحقق من إنشاء بوابة التطبيق بنجاح.
3. أضِف خوادم خلفية إلى التجمع الخلفي.

إنشاء جهاز ظاهري

1. في مدخل Microsoft Azure، حدد "Create a resource". تظهر نافذة Create a resource.

2. ضمن الجهاز الظاهري، حدد إنشاء.

3. أدخل هذه القيم في علامة التبويب "Basics" لإعدادات الجهاز الظاهري التالية:

   • مجموعة الموارد: حدد "myResourceGroupAG" لاسم مجموعة الموارد.
   • "Virtual machine name": أدخل myVM لاسم الجهاز الظاهري.
   • الصورة: Ubuntu Server 20.04 LTS - Gen2.
   • نوع المصادقة: كلمة المرور
   • اسم المستخدم: أدخل اسما لاسم مستخدم المسؤول.
   • "Password": عين كلمة مرور المسؤول.
   • المنافذ العامة الواردة: حدد بلا.

4. وافق على الإعدادات الافتراضية الأخرى ثم حدد "Next: Disks".

5. اقبل الإعدادات الافتراضية لعلامة التبويب "Disks" ثم حدد "Next: Networking".

6. في علامة التبويب "Networking"، تحقق من تحديد myVNet لـ "Virtual network" وتعيين "Subnet" على myBackendSubnet.

7. بالنسبة لـPublic IP، اخترNone.

8. اقبل الإعدادات الافتراضية الأخرى ثم حدد "Next: Management".

9. حدد Next: Monitoring، وقم بتعيين Boot diagnostics إلى Disable. اقبل الإعدادات الافتراضية، ثم حدد Review + create.

10. في علامة التبويب Review + create راجع الإعدادات، وصحح أي أخطاء في التحقق من السلامة، ثم حدد Create.

11. انتظر حتى يتكمل إنشاء الجهاز الظاهري قبل المتابعة.

تثبيت NGINX للاختبار

في هذا المثال، يمكنك تثبيت NGINX على الأجهزة الظاهرية فقط للتحقق من إنشاء Azure لبوابة التطبيق بنجاح.

1. افتح Bash Cloud Shell. للقيام بذلك، حدد أيقونة Cloud Shell من شريط التنقل العلوي لمدخل Microsoft Azure ثم حدد Bash من القائمة المنسدلة.

2. تأكد من تعيين جلسة bash لاشتراكك:

   az account set --subscription "<your subscription name>"

3. قم بتشغيل الأمر التالي لتثبيت NGINX على الجهاز الظاهري:

    az vm extension set \
    --publisher Microsoft.Azure.Extensions \
    --version 2.0 \
    --name CustomScript \
    --resource-group myResourceGroupAG \
    --vm-name myVM \
    --settings '{ "fileUris": ["https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/install_nginx.sh"], "commandToExecute": "./install_nginx.sh" }'
   

4. إنشاء جهاز ظاهري ثان وتثبيت NGINX باستخدام هذه الخطوات التي أكملتها مسبقا. استخدم myVM2 لاسم الجهاز الظاهري ولإعداد --vm-name cmdlet.

إضافة خوادم الواجهة الخلفية إلى تجمع الواجهة الخلفية

1. حدد "All resources"، ثم حدد myAppGateway.

2. حدد تجمعات الواجهة الخلفية من القائمة اليمنى.

3. حدد «myBackendPool».

4. من "Target type"، حدد "Virtual machine" من القائمة المنسدلة.

5. من "Target"، حدد واجهة الشبكة المرتبطة لـ myVM من القائمة المنسدلة.

6. كرر الأمر مع myVM2.

7. حدد حفظ.

8. انتظر حتى يكتمل التوزيع قبل المتابعة إلى الخطوة التالية.

اختبار بوابة التطبيق

على الرغم من أن NGINX غير مطلوب لإنشاء بوابة التطبيق، إلا أنك قمت بتثبيتها للتحقق مما إذا كان Azure قد أنشأ بوابة التطبيق بنجاح. استخدم خدمة الويب لاختبار بوابة التطبيق:

1. ابحث عن عنوان IP العام لـ application gateway في صفحته Overview.

   أو يمكنك تحديد All resources، وإدخال myAGPublicIPAddress في مربع البحث، ثم تحديد في نتائج البحث. يعرض Azure عنوان IP العام في الصفحة Overview.

2. نسخ عنوان IP العام، ثم ألصقه في شريط العنوان في متصفحك.

3. تحقق من الاستجابة. تتحقق الاستجابة الصالحة من إنشاء بوابة التطبيق بنجاح ويمكنها إجراء اتصال ناجح بالواجهة الخلفية.

   

تنظيف الموارد

عندما لم تعد بحاجة إلى الموارد التي قمت بإنشائها باستخدام بوابة التطبيق، فقم بإزالة مجموعة الموارد. بموجب إزالة مجموعة الموارد، فإنك تقوم أيضاً بإزالة بوابة التطبيق وجميع الموارد ذات الصلة.

لإزالة مجموعة الموارد:

1. في القائمة اليمنى مدخل Microsoft Azure، حدد "Resource groups".
2. في صفحة مجموعات الموارد، ابحث عن myResourceGroup في القائمة، ثم حددها.
3. في صفحة مجموعة الموارد، حدد "Delete resource group".
4. أدخل myResourceGroupAG لـ TYPE THE RESOURCE GROUP NAME ثم حدد "Delete".

الخطوة التالية

معرفة المزيد حول Web Application Firewall