Sdílet prostřednictvím

Kurz: Vytvoření aplikační brány pomocí firewallu webových aplikací pomocí Azure Portal

V tomto kurzu se dozvíte, jak pomocí Azure Portal vytvořit Application Gateway s firewallem webových aplikací (WAF). WAF používá k ochraně aplikace pravidla OWASP. Tato pravidla zahrnují ochranu před útoky, jako je injektáž SQL, skriptování mezi weby a krádeže relací. Po vytvoření aplikační brány ji otestujete, abyste se ujistili, že funguje správně. S Azure Application Gateway směrujete webový provoz aplikace na konkrétní prostředky tím, že přiřadíte naslouchací procesy k portům, vytvoříte pravidla a přidáte prostředky do back-endového fondu. Pro zjednodušení používá tento kurz jednoduché nastavení s veřejnou front-endovou IP adresou, základním naslouchadlem pro hostování jedné lokality v této aplikační bráně, dvěma virtuálními počítači s Linuxem používanými pro back-endový pool a základním pravidlem směrování požadavků.

V tomto návodu se naučíte, jak:

  • Vytvořit aplikační bránu s aktivním WAF.
  • Vytvoření virtuálních počítačů používaných jako back-endové servery
  • Vytvořit účet úložiště a nakonfigurovat diagnostiku
  • Testování aplikační brány

Diagram příkladu firewallu webových aplikací

Poznámka:

K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Pokud nemáte předplatné Azure, vytvořte si bezplatný účet před zahájením.

Přihlásit se do Azure

Přihlaste se do Azure Portalu.

Vytvořte aplikační bránu

  1. V levé nabídce webu Azure Portal vyberte Vytvořit prostředek . Zobrazí se okno Vytvořit prostředek .

  2. Vyberte Sítě a pak v seznamu Oblíbené služby Azure vyberte Application Gateway.

Záložka Základy

  1. Na kartě Základy zadejte tyto hodnoty pro následující nastavení služby Application Gateway:

    • Skupina prostředků: Vyberte myResourceGroupAG pro skupinu prostředků. Pokud neexistuje, vyberte Vytvořit nový a vytvořte ho.

    • Název aplikační brány: Jako název aplikační brány zadejte myAppGateway .

    • Úroveň: vyberte WAF V2.

    • Zásady WAF: Vyberte Vytvořit novou, zadejte název nové zásady a pak vyberte OK. Tím se vytvoří základní zásada WAF se spravovanou sadou základních pravidel (CRS).

      Snímek obrazovky s vytvořením nové aplikační brány: karta Základy.

  2. Aby služba Azure mohla komunikovat mezi prostředky, které vytvoříte, potřebuje virtuální síť. Můžete buď vytvořit novou virtuální síť, nebo použít existující. V tomto příkladu vytvoříte novou virtuální síť ve stejnou dobu, kdy vytvoříte aplikační bránu. Instance služby Application Gateway se vytvářejí v samostatných podsítích. V tomto příkladu vytvoříte dvě podsítě: jednu pro aplikační bránu a později přidáte další pro back-endové servery.

    V části Konfigurovat virtuální síť vyberte Vytvořit novou a vytvořte novou virtuální síť. V okně Vytvořit virtuální síť , které se otevře, zadejte následující hodnoty pro vytvoření virtuální sítě a podsítě:

    • Název: Jako název virtuální sítě zadejte myVNet .

    • Adresní prostor : Přijměte rozsah adres 10.0.0.0/16 .

    • Název podsítě (podsít Application Gateway): V oblasti Podsítě se zobrazuje podsíť s názvem Default. Změňte název této podsítě na myAGSubnet a ponechte výchozí rozsah adres IPv4 10.0.0.0/24.
      Podsíť aplikační brány může obsahovat pouze aplikační brány. Nejsou povoleny žádné další prostředky.

      Výběrem možnosti OK zavřete okno Vytvořit virtuální síť a uložte nastavení virtuální sítě.

  3. Na kartě Základy přijměte výchozí hodnoty pro ostatní nastavení a pak vyberte Další: Front-endy.

Záložka Frontendy

  1. Na kartě Front-endy ověřte, že je typ IP adresy front-endu nastavený na Veřejný.
    IP adresu front-endu můžete nakonfigurovat jako veřejnou nebo obě podle vašeho případu použití. V tomto příkladu zvolíte IP adresu veřejného front-endu.

    Poznámka:

    Pro SKU Application Gateway v2 se dnes podporují typy IP adres Public a Both Front-end. Konfigurace IP adresy front-endu pouze pro privátní použití není v současnosti podporována.

  2. Zvolte Přidat novou pro veřejnou IP adresu a jako název veřejné IP adresy zadejte myAGPublicIPAddress a pak vyberte OK.

    Snímek obrazovky s názvem Vytvoření nové aplikační brány: Front-endy.

  3. Vyberte Další: Systémy na pozadí.

Karta Backendy

Sada back-endových serverů se používá ke směrování požadavků k back-endovým serverům, které požadavek obsluhují. Back-endové fondy se můžou skládat ze síťových adaptérů, škálovacích sad virtuálních počítačů, veřejných IP adres, interních IP adres, plně kvalifikovaných názvů domén (FQDN) a víceklientských back-endů, jako je Azure App Service. V tomto příkladu vytvoříte prázdný back-endový fond pomocí služby Application Gateway a později do něj přidáte back-endové cíle.

  1. Na kartě Backends vyberte Přidat pool backendů.

  2. V okně Přidat backendový pool, které se otevře, zadejte následující hodnoty pro vytvoření prázdného backendového poolu:

    • Název: Jako název back-endového fondu zadejte myBackendPool .
    • Přidání back-endového fondu bez cílů: Výběrem možnosti Ano vytvořte back-endový fond bez cílů. Po vytvoření aplikační brány přidáte backendové cíle.

  3. V okně Přidat back-endový fond vyberte Přidat, abyste uložili konfiguraci back-endového fondu a vrátili se na kartu Back-end.

  4. Na kartě Back-endy vyberte Další: Konfigurace.

Karta konfigurace

Na kartě Konfigurace připojíte frontendový a backendový fond, který jste vytvořili pomocí pravidla směrování.

  1. Ve sloupci Pravidla směrování vyberte Přidat pravidlo směrování.

  2. V okně Přidat pravidlo směrování, které se otevře, zadejte myRoutingRule pro název pravidla.

  3. Do pole Priorita zadejte číslo priority.

  4. Pravidlo směrování vyžaduje posluchače. Na kartě Naslouchací zařízení v okně Přidat pravidlo směrování zadejte následující hodnoty pro naslouchací zařízení:

    • Název naslouchacího procesu: Zadejte myListener pro název naslouchacího procesu.

    • Front-endový IP protokol: Vyberte Veřejný IPv4 a vyberte veřejnou IP adresu, kterou jste pro front-end vytvořili.

      Přijměte výchozí hodnoty pro ostatní nastavení na kartě Posluchač, poté vyberte kartu Backendové cíle a nakonfigurujte zbytek pravidla směrování.

  5. Na kartě Cíle back-endu vyberte pro cíl back-endu možnost myBackendPool.

  6. V části Nastavení back-endu vyberte Přidat nové a vytvořte nové nastavení back-endu. Toto nastavení určuje chování pravidla směrování. V okně Přidat nastavení back-endu , které se otevře, zadejte myBackendSetting jako název nastavení back-endu. Přijměte výchozí hodnoty pro ostatní nastavení v okně a poté vyberte Přidat, čímž se vraťte do Přidat pravidlo směrování.

  7. V okně Přidat pravidlo směrování vyberte Přidat , chcete-li pravidlo směrování uložit, a vraťte se na kartu Konfigurace .

  8. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

Záložka Zkontrolovat a vytvořit

Zkontrolujte nastavení na kartě Zkontrolovat a vytvořit a pak vyberte Vytvořit a vytvořte virtuální síť, veřejnou IP adresu a aplikační bránu. Vytvoření aplikační brány Azure může trvat několik minut.

Než přejdete k další části, počkejte, až se nasazení úspěšně dokončí.

Přidání podsítě back-endového serveru

  1. Otevřete virtuální síť myVNet.
  2. V části Nastavení vyberte Podsítě.
  3. Vyberte + Subnet.
  4. Do pole Název zadejte myBackendSubnet.
  5. Jako počáteční adresu zadejte 10.0.1.0.
  6. Vyberte Přidat a přidejte podsíť.

Přidejte backendové cíle

V tomto příkladu použijete jako cílový back-end virtuální počítače. Můžete použít existující virtuální počítače nebo vytvořit nové. Vytvoříte dva virtuální počítače, které Azure používá jako back-endové servery pro aplikační bránu.

Uděláte to takto:

  1. Vytvořte dva nové virtuální počítače se systémem Linux, myVM a myVM2, které se budou používat jako backendové servery.
  2. Nainstalujte NGINX na virtuální počítače a ověřte, že aplikační brána byla úspěšně vytvořena.
  3. Přidejte backendové servery do backendového fondu.

Vytvoření virtuálního počítače

  1. Na webu Azure Portal vyberte Vytvořit prostředek. Zobrazí se okno Vytvořit prostředek .

  2. V části Virtuální počítač vyberte Vytvořit.

  3. Na kartě Základy zadejte tyto hodnoty pro následující nastavení virtuálního počítače:

    • Skupina prostředků: Jako název skupiny prostředků vyberte myResourceGroupAG .
    • Název virtuálního počítače: Jako název virtuálního počítače zadejte myVM .
    • Obrázek: Ubuntu Server 20.04 LTS - Gen2.
    • Typ ověření: Heslo
    • Uživatelské jméno: Zadejte jméno pro uživatelské jméno správce.
    • Heslo: Zadejte heslo pro heslo správce.
    • Veřejné příchozí porty: Vyberte možnost Žádné.

  4. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Disky.

  5. Přijměte výchozí hodnoty na kartě Disky a pak vyberte Další: Sítě.

  6. Na kartě Sítě ověřte, že je pro virtuální síť vybraná síť myVNet a podsíť je nastavená na myBackendSubnet.

  7. Jako veřejnou IP adresu vyberte Žádné.

  8. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Správa.

  9. Vyberte Další: Monitorování, nastavte Diagnostiku spouštění na Zakázat. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení, opravte případné chyby ověření a pak vyberte Vytvořit.

  11. Než budete pokračovat, počkejte, než se vytvoření virtuálního počítače dokončí.

Nainstalujte NGINX pro testování

V tomto příkladu nainstalujete NGINX na virtuální počítače pouze za účelem ověření, že Azure úspěšně vytvořil aplikační bránu.

  1. Otevřete prostředí Bash Cloud Shell. Uděláte to tak, že na horním navigačním panelu Azure Portal vyberete ikonu Cloud Shell a pak v rozevíracím seznamu vyberete Bash .

  2. Ujistěte se, že bash relace je nastavena pro vaše předplatné.

    az account set --subscription "<your subscription name>"

  3. Spuštěním následujícího příkazu nainstalujte NGINX do virtuálního počítače:

     az vm extension set \
 --publisher Microsoft.Azure.Extensions \
 --version 2.0 \
 --name CustomScript \
 --resource-group myResourceGroupAG \
 --vm-name myVM \
 --settings '{ "fileUris": ["https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/install_nginx.sh"], "commandToExecute": "./install_nginx.sh" }'

  4. Vytvořte druhý virtuální počítač a nainstalujte NGINX pomocí těchto kroků, které jste dříve dokončili. Pro název virtuálního počítače a pro nastavení rutiny použijte --vm-name.

Přidání backendových serverů do backendového fondu

  1. Vyberte Všechny prostředky a pak vyberte myAppGateway.

  2. V nabídce vlevo vyberte Backend pools.

  3. Vyberte myBackendPool.

  4. V části Typ cíle vyberte v rozevíracím seznamu virtuální počítač.

  5. V části Cíl vyberte z rozevíracího seznamu přidružené síťové rozhraní pro myVM .

  6. Tento postup opakujte pro myVM2.

  7. Vyberte Uložit.

  8. Než budete pokračovat k dalšímu kroku, počkejte na dokončení nasazení.

Testování aplikační brány

I když NGINX není k vytvoření aplikační brány nutný, nainstalovali jste ho, abyste ověřili, jestli Azure úspěšně vytvořil aplikační bránu. Pomocí webové služby otestujte aplikační bránu:

  1. Veřejnou IP adresu služby Application Gateway najdete na stránce Přehled .

    Nebo můžete vybrat Všechny prostředky, do vyhledávacího pole zadat myAGPublicIPAddress a pak ho vybrat ve výsledcích hledání. Azure zobrazí veřejnou IP adresu na stránce Přehled .

  2. Zkopírujte veřejnou IP adresu a pak ji vložte do adresního řádku svého prohlížeče.

  3. Zkontrolujte odpověď. Platná odpověď ověří, že služba Application Gateway byla úspěšně vytvořena a může se úspěšně připojit k back-endu.

    Snímek obrazovky s testováním aplikační brány.

Vyčistěte zdroje

Pokud již nepotřebujete prostředky, které jste vytvořili pomocí aplikační brány, odeberte skupinu prostředků. Odebráním skupiny prostředků odeberete také aplikační bránu a všechny její související prostředky.

Chcete-li odstranit skupinu prostředků:

  1. V levé nabídce webu Azure Portal vyberte skupiny prostředků.
  2. Na stránce Skupiny prostředků vyhledejte myResourceGroupAG v seznamu a pak ho vyberte.
  3. Na stránce Skupina prostředků vyberte Odstranit skupinu prostředků.
  4. Zadejte myResourceGroupAG pro TYP NÁZEV SKUPINY PROSTŘEDKŮ a pak vyberte Odstranit.

Další krok

Další informace o Web Application Firewallu