Sdílet prostřednictvím

Kurz: Vytvoření služby Application Gateway s Firewallem webových aplikací pomocí webu Azure Portal

  • Článek

V tomto kurzu se dozvíte, jak pomocí webu Azure Portal vytvořit službu Application Gateway s firewallem webových aplikací (WAF). WAF používá k ochraně aplikace pravidla OWASP. Tato pravidla zahrnují ochranu před útoky, jako je injektáž SQL, skriptování mezi weby a krádeže relací. Po vytvoření aplikační brány ji otestujete, abyste měli jistotu, že funguje správně. S Aplikace Azure lication Gateway směrujete webový provoz aplikace na konkrétní prostředky tím, že přiřadíte naslouchací procesy k portům, vytvoříte pravidla a přidáte prostředky do back-endového fondu. Pro zjednodušení tento kurz používá jednoduché nastavení s veřejnou front-endovou IP adresou, základním naslouchacím procesem pro hostování jedné lokality v této aplikační bráně, dvěma virtuálními počítači s Linuxem používanými pro back-endový fond a základním pravidlem směrování požadavků.

V tomto kurzu se naučíte:

  • Vytvořit aplikační bránu se zapnutým Firewallem webových aplikací
  • Vytvoření virtuálních počítačů používaných jako back-endové servery
  • Vytvořit účet úložiště a nakonfigurovat diagnostiku
  • Otestování aplikační brány

Diagram příkladu firewallu webových aplikací

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Přihlášení k Azure

Přihlaste se k portálu Azure.

Vytvoření brány Application Gateway

  1. V levé nabídce webu Azure Portal vyberte Vytvořit prostředek . Zobrazí se okno Vytvořit prostředek .

  2. Vyberte Sítě a pak v seznamu oblíbených služeb Azure vyberte Application Gateway.

Karta Základní informace

  1. Na kartě Základy zadejte tyto hodnoty pro následující nastavení služby Application Gateway:

    • Skupina prostředků: Vyberte myResourceGroupAG pro skupinu prostředků. Pokud neexistuje, vyberte Vytvořit nový a vytvořte ho.

    • Název aplikační brány: Jako název aplikační brány zadejte myAppGateway .

    • Úroveň: Vyberte WAF V2.

    • Zásady WAF: Vyberte Vytvořit nový, zadejte název nové zásady a pak vyberte OK. Tím se vytvoří základní zásada WAF se spravovanou základní sadou pravidel (CRS).

      Snímek obrazovky s kartou Vytvořit novou aplikační bránu: Základní informace

  2. Aby Služba Azure komunikuje mezi prostředky, které vytvoříte, potřebuje virtuální síť. Můžete buď vytvořit novou virtuální síť, nebo použít existující. V tomto příkladu vytvoříte novou virtuální síť současně, ve které vytvoříte aplikační bránu. Instance služby Application Gateway se vytvářejí v samostatných podsítích. V tomto příkladu vytvoříte dvě podsítě: jednu pro aplikační bránu a později přidáte další pro back-endové servery.

    V části Konfigurovat virtuální síť vyberte Vytvořit novou a vytvořte novou virtuální síť. V okně Vytvořit virtuální síť , které se otevře, zadejte následující hodnoty pro vytvoření virtuální sítě a podsítě:

    • Název: Jako název virtuální sítě zadejte myVNet .

    • Adresní prostor : Přijměte rozsah adres 10.0.0.0/16 .

    • Název podsítě (podsíť služby Application Gateway): Oblast Podsítě zobrazuje podsíť s názvem Výchozí. Změňte název této podsítě na myAGSubnet a ponechte výchozí rozsah adres IPv4 10.0.0.0/24.
      Podsíť aplikační brány může obsahovat pouze aplikační brány. Nejsou povoleny žádné další prostředky.

      Výběrem možnosti OK zavřete okno Vytvořit virtuální síť a uložte nastavení virtuální sítě.

      Snímek obrazovky s možností Vytvořit novou aplikační bránu: Vytvořit virtuální síť

  3. Na kartě Základy přijměte výchozí hodnoty pro ostatní nastavení a pak vyberte Další: Front-endy.

Karta Front-endy

  1. Na kartě Front-endy ověřte, že je typ IP adresy front-endu nastavený na Veřejný.
    Front-endovou IP adresu můžete nakonfigurovat tak, aby byla veřejná nebo obě podle vašeho případu použití. V tomto příkladu zvolíte veřejnou IP adresu front-endu.

    Poznámka:

    Pro skladovou položku služby Application Gateway v2 se dnes podporují veřejné i obě typy IP adres front-endu. Konfigurace privátních front-endových IP adres se v současné době nepodporuje.

  2. Zvolte Přidat novou pro veřejnou IP adresu a jako název veřejné IP adresy zadejte myAGPublicIPAddress a pak vyberte OK.

    Snímek obrazovky s možností Vytvořit novou aplikační bránu: Front-endy

  3. Vyberte Další: Back-endy.

Karta Back-endy

Back-endový fond se používá ke směrování požadavků na back-endové servery, které požadavek obsluhují. Back-endové fondy se dají skládat z síťových karet, škálovacích sad virtuálních počítačů, veřejných IP adres, interních IP adres, plně kvalifikovaných názvů domén (FQDN) a víceklientských back-endů, jako je Aplikace Azure Service. V tomto příkladu vytvoříte prázdný back-endový fond se službou Application Gateway a později přidáte cíle back-endu do back-endového fondu.

  1. Na kartě Back-endy vyberte Přidat back-endový fond.

  2. V okně Přidat back-endový fond , které se otevře, zadejte následující hodnoty a vytvořte prázdný back-endový fond:

    • Název: Jako název back-endového fondu zadejte myBackendPool .
    • Přidání back-endového fondu bez cílů: Výběrem možnosti Ano vytvořte back-endový fond bez cílů. Po vytvoření aplikační brány přidáte cíle back-endu.

  3. V okně Přidat back-endový fond vyberte Přidat , abyste uložili konfiguraci back-endového fondu a vrátili se na kartu Back-endy .

    Snímek obrazovky s možností Vytvořit novou aplikační bránu: Back-endy

  4. Na kartě Back-endy vyberte Další: Konfigurace.

Karta konfigurace

Na kartě Konfigurace připojíte front-endový a back-endový fond, který jste vytvořili pomocí pravidla směrování.

  1. Ve sloupci Pravidla směrování vyberte Přidat pravidlo směrování.

  2. V okně Přidat pravidlo směrování, které se otevře, zadejte myRoutingRule pro název pravidla.

  3. Jako prioritu zadejte číslo priority.

  4. Pravidlo směrování vyžaduje naslouchací proces. Na kartě Naslouchací proces v okně Přidat pravidlo směrování zadejte následující hodnoty pro naslouchací proces:

    • Název naslouchacího procesu: Zadejte myListener pro název naslouchacího procesu.

    • Protokol IP front-endu: Vyberte veřejnou IPv4 a zvolte veřejnou IP adresu, kterou jste vytvořili pro front-end.

      Přijměte výchozí hodnoty pro ostatní nastavení na kartě Naslouchací proces a pak vyberte kartu Cíle back-endu a nakonfigurujte zbytek pravidla směrování.

    Snímek obrazovky znázorňující vytvoření nové aplikační brány: naslouchací proces

  5. Na kartě Cíle back-endu vyberte myBackendPool pro cíl back-endu.

  6. V nastavení back-endu vyberte Přidat nový a vytvořte nové nastavení back-endu. Toto nastavení určuje chování pravidla směrování. V okně nastavení Přidat back-end, které se otevře, zadejte myBackendSetting pro název nastavení back-endu. Přijměte výchozí hodnoty pro ostatní nastavení v okně a pak vyberte Přidat a vraťte se do okna Přidat pravidlo směrování.

    Snímek obrazovky znázorňující nastavení Vytvořit novou aplikační bránu v back-endu

  7. V okně Přidat pravidlo směrování vyberte Přidat , chcete-li pravidlo směrování uložit, a vraťte se na kartu Konfigurace .

    Snímek obrazovky znázorňující vytvoření nové aplikační brány: pravidlo směrování

  8. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

Karta Zkontrolovat a vytvořit

Zkontrolujte nastavení na kartě Zkontrolovat a vytvořit a pak vyberte Vytvořit a vytvořte virtuální síť, veřejnou IP adresu a aplikační bránu. Vytvoření aplikační brány v Azure může trvat několik minut.

Než přejdete k další části, počkejte, až se nasazení úspěšně dokončí.

Přidání podsítě back-endového serveru

  1. Otevřete virtuální síť myVNet.
  2. V části Nastavení vyberte Podsítě.
  3. Vyberte + podsíť.
  4. Jako název zadejte myBackendSubnet.
  5. Jako počáteční adresu zadejte 10.0.1.0.
  6. Vyberte Přidat a přidejte podsíť.

Přidání back-endových cílů

V tomto příkladu použijete virtuální počítače jako cílový back-end. Můžete použít existující virtuální počítače nebo vytvořit nové. Vytvoříte dva virtuální počítače, které Azure používá jako back-endové servery pro aplikační bránu.

Uděláte to takto:

  1. Vytvořte dva nové virtuální počítače s Linuxem, myVM a myVM2, které se použijí jako back-endové servery.
  2. Nainstalujte na virtuální počítače NGINX, abyste ověřili, že se aplikační brána úspěšně vytvořila.
  3. Přidejte back-endové servery do back-endového fondu.

Vytvoření virtuálního počítače

  1. Na webu Azure Portal vyberte Vytvořit prostředek. Zobrazí se okno Vytvořit prostředek .

  2. V části Virtuální počítač vyberte Vytvořit.

  3. Na kartě Základy zadejte tyto hodnoty pro následující nastavení virtuálního počítače:

    • Skupina prostředků: Jako název skupiny prostředků vyberte myResourceGroupAG .
    • Název virtuálního počítače: Jako název virtuálního počítače zadejte myVM .
    • Obrázek: Ubuntu Server 20.04 LTS - Gen2.
    • Typ ověřování: Heslo
    • Uživatelské jméno: Zadejte jméno pro uživatelské jméno správce.
    • Heslo: Zadejte heslo správce.
    • Veřejné příchozí porty: Vyberte Žádné.

  4. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Disky.

  5. Přijměte výchozí hodnoty na kartě Disky a pak vyberte Další: Sítě.

  6. Na kartě Sítě ověřte, že je pro virtuální síť vybraná síť myVNet a podsíť je nastavená na myBackendSubnet.

  7. Jako veřejnou IP adresu vyberte Žádné.

  8. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Správa.

  9. Vyberte Další: Monitorování, nastavte diagnostiku spouštění na Zakázat. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení, opravte případné chyby ověření a pak vyberte Vytvořit.

  11. Než budete pokračovat, počkejte, než se vytvoření virtuálního počítače dokončí.

Instalace serveru NGINX pro testování

V tomto příkladu nainstalujete NGINX na virtuální počítače pouze k ověření úspěšného vytvoření aplikační brány Azure.

  1. Otevřete Bash Cloud Shell. Uděláte to tak, že v horním navigačním panelu webu Azure Portal vyberete ikonu Cloud Shellu a pak v rozevíracím seznamu vyberete Bash .

    Snímek obrazovky s prostředím Bash Cloud Shell

  2. Ujistěte se, že je pro vaše předplatné nastavená relace Bash:

    account set --subscription "<your subscription name>"

  3. Spuštěním následujícího příkazu nainstalujte NGINX na virtuální počítač:

     az vm extension set \
 --publisher Microsoft.Azure.Extensions \
 --version 2.0 \
 --name CustomScript \
 --resource-group myResourceGroupAG \
 --vm-name myVM \
 --settings '{ "fileUris": ["https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/install_nginx.sh"], "commandToExecute": "./install_nginx.sh" }'

  4. Pomocí následujícího postupu vytvořte druhý virtuální počítač a nainstalujte NGINX. Jako název virtuálního počítače a nastavení --vm-name rutiny použijte myVM2.

Přidání back-endových serverů do back-endovém fondu

  1. Vyberte Všechny prostředky a pak vyberte myAppGateway.

  2. V nabídce vlevo vyberte back-endové fondy .

  3. Vyberte myBackendPool.

  4. V části Typ cíle vyberte v rozevíracím seznamu virtuální počítač.

  5. V části Cíl vyberte v rozevíracím seznamu přidružené síťové rozhraní virtuálního počítače myVM .

  6. Opakujte pro myVM2.

    Přidání back-endových serverů

  7. Zvolte Uložit.

  8. Než budete pokračovat k dalšímu kroku, počkejte na dokončení nasazení.

Otestování aplikační brány

I když se K vytvoření aplikační brány nevyžaduje NGINX, nainstalovali jste ji, abyste ověřili, jestli Azure úspěšně vytvořila aplikační bránu. K otestování aplikační brány použijte webovou službu:

  1. Na stránce Přehled najděte veřejnou IP adresu služby Application Gateway. Snímek obrazovky s veřejnou IP adresou služby Application Gateway na stránce Přehled

    Nebo můžete vybrat všechny prostředky, zadat myAGPublicIPAddress do vyhledávacího pole a pak ho vybrat ve výsledcích hledání. Azure zobrazí veřejnou IP adresu na stránce Přehled .

  2. Zkopírujte veřejnou IP adresu a pak ji vložte do adresního řádku svého prohlížeče.

  3. Zkontrolujte odpověď. Platná odpověď ověří úspěšné vytvoření aplikační brány a úspěšně se připojí k back-endu.

    Snímek obrazovky s testováním aplikační brány

Vyčištění prostředků

Pokud už nepotřebujete prostředky, které jste vytvořili pomocí aplikační brány, odeberte skupinu prostředků. Odebráním skupiny prostředků odeberete také aplikační bránu a všechny související prostředky.

Odebrání skupiny prostředků:

  1. V levé nabídce webu Azure Portal vyberte skupiny prostředků.
  2. Na stránce Skupiny prostředků vyhledejte v seznamu myResourceGroupAG a pak ho vyberte.
  3. Na stránce Skupina prostředků vyberte Odstranit skupinu prostředků.
  4. Zadejte myResourceGroupAG pro TYP NÁZEV SKUPINY PROSTŘEDKŮ a pak vyberte Odstranit.

Další kroky

Další informace o firewallu webových aplikací