Oktatóanyag: Webalkalmazási tűzfallal rendelkező Application Gateway létrehozása az Azure Portal használatával

Ez az oktatóanyag bemutatja, hogyan hozhat létre Application Gatewayt webalkalmazási tűzfallal (WAF) az Azure Portal használatával. A WAF OWASP-szabályokkal védi az alkalmazást. Ezek a szabályok olyan támadások ellen nyújtanak védelmet, mint az SQL-injektálás, a Cross-Site Scripting támadások és a munkamenet-eltérítések. Az Application Gateway létrehozása után tesztelje, hogy megfelelően működik-e. Az Azure-alkalmazás Gateway használatával az alkalmazás webes forgalmát adott erőforrásokhoz irányíthatja: figyelőket rendelhet portokhoz, szabályokat hozhat létre, és erőforrásokat adhat hozzá egy háttérkészlethez. Az egyszerűség kedvéért ez az oktatóanyag egy egyszerű beállítást használ egy nyilvános előtérbeli IP-címmel, egy alapszintű figyelővel, amely egyetlen helyet üzemeltet ezen az application gatewayen, két Linux rendszerű virtuális gépet a háttérkészlethez, valamint egy egyszerű kérés-útválasztási szabályt.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Alkalmazásátjáró létrehozása engedélyezett WAF-fel
• Háttérkiszolgálóként használt virtuális gépek létrehozása
• Tárfiók létrehozása és diagnosztika konfigurálása
• Az alkalmazásátjáró tesztelése

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Bejelentkezés az Azure-ba

Jelentkezzen be az Azure Portalra.

Application Gateway létrehozása

1. Válassza az Erőforrás létrehozása lehetőséget az Azure Portal bal oldali menüjében. Megjelenik az Erőforrás létrehozása ablak.

2. Válassza a Hálózatkezelés lehetőséget, majd válassza az Application Gateway lehetőséget a népszerű Azure-szolgáltatások listájában.

Alapvető beállítások lap

1. Az Alapok lapon adja meg az alábbi értékeket az Application Gateway következő beállításaihoz:

   • Erőforráscsoport: Válassza ki a myResourceGroupAG lehetőséget az erőforráscsoporthoz. Ha nem létezik, a létrehozáshoz válassza az Új létrehozása lehetőséget.

   • Application Gateway neve: Adja meg a myAppGateway nevet az application gateway nevében.

   • Réteg: válassza a WAF V2 lehetőséget.

   • WAF-házirend: Válassza az Új létrehozása lehetőséget, írja be az új szabályzat nevét, majd kattintson az OK gombra. Ez létrehoz egy alapszintű WAF-szabályzatot egy felügyelt alapvető szabálykészlettel (CRS).

     

2. Ahhoz, hogy az Azure kommunikálhasson a létrehozott erőforrások között, virtuális hálózatra van szüksége. Létrehozhat egy új virtuális hálózatot, vagy használhat egy meglévőt. Ebben a példában egy új virtuális hálózatot hoz létre az application gateway létrehozásával egyidejűleg. Az Application Gateway-példányok külön alhálózatokban jönnek létre. Ebben a példában két alhálózatot hoz létre: egyet az application gatewayhez, majd később hozzáad egy másikat a háttérkiszolgálókhoz.

   A Virtuális hálózat konfigurálása csoportban válassza az Új létrehozása lehetőséget egy új virtuális hálózat létrehozásához. A megnyíló virtuális hálózat létrehozása ablakban adja meg a következő értékeket a virtuális hálózat és egy alhálózat létrehozásához:

   • Név: Írja be a myVNet nevet a virtuális hálózat nevére.

   • Címtér : Fogadja el a 10.0.0.0/16 címtartományt.

   • Alhálózat neve (Application Gateway-alhálózat): Az Alhálózatok területen egy Alapértelmezett nevű alhálózat látható. Módosítsa az alhálózat nevét myAGSubnetre, és hagyja meg az alapértelmezett 10.0.0.0/24 IPv4-címtartományt.
     Az Application Gateway alhálózata csak alkalmazásátjárókat tartalmazhat. Más erőforrások nem engedélyezettek.

     Kattintson az OK gombra a virtuális hálózat létrehozása ablak bezárásához és a virtuális hálózat beállításainak mentéséhez.

     

3. Az Alapszintű beállítások lapon fogadja el a többi beállítás alapértelmezett értékeit, majd válassza a Tovább: Előtér lehetőséget.

Előtér lap

1. A Frontends lapon ellenőrizze, hogy az előtérbeli IP-cím típusa nyilvános-e.
   A frontend IP-címet konfigurálhatja úgy, hogy a használati esetnek megfelelően nyilvános vagy mindkettő legyen. Ebben a példában egy nyilvános előtérbeli IP-címet választ.

   Feljegyzés

   Az Application Gateway v2 termékváltozat esetében a nyilvános és mindkét előtérbeli IP-címtípus támogatott. A privát előtérbeli IP-konfiguráció jelenleg nem támogatott.

2. Válassza a Nyilvános IP-cím új hozzáadása lehetőséget, és adja meg a myAGPublicIPAddress nevet a nyilvános IP-cím nevére, majd kattintson az OK gombra.

   

3. Válassza a Tovább: Háttérrendszer lehetőséget.

Háttérrendszer lap

A háttérkészlet a kéréseket a kérést kiszolgáló háttérkiszolgálókra irányítja. A háttérkészletek lehetnek hálózati adapterek, virtuálisgép-méretezési csoportok, nyilvános IP-címek, belső IP-címek, teljes tartománynevek (FQDN) és több-bérlős háttérrendszerek, például Azure-alkalmazás szolgáltatás. Ebben a példában egy üres háttérkészletet hoz létre az application gateway használatával, majd később háttérbeli célokat ad hozzá a háttérkészlethez.

1. A Háttérkészletek lapon válassza a Háttérkészlet hozzáadása lehetőséget.

2. A megnyíló háttérkészlet hozzáadása ablakban adja meg a következő értékeket egy üres háttérkészlet létrehozásához:

   • Név: Írja be a myBackendPool nevet a háttérkészlet nevére.
   • Háttérkészlet hozzáadása célok nélkül: Válassza az Igen lehetőséget, ha célokat nem tartalmazó háttérkészletet szeretne létrehozni. Az Application Gateway létrehozása után háttérbeli célokat fog hozzáadni.

3. A Háttérkészlet hozzáadása ablakban válassza a Hozzáadás lehetőséget a háttérkészlet konfigurációjának mentéséhez és a Háttérkészletek lapra való visszatéréshez.

   

4. A Háttérrendszer lapon válassza a Tovább: Konfiguráció lehetőséget.

Konfiguráció lap

A Konfiguráció lapon egy útválasztási szabály használatával létrehozott előtér- és háttérkészletet csatlakoztatja.

1. Az Útválasztási szabályok oszlopban válassza az Útválasztási szabály hozzáadása lehetőséget.

2. A megnyíló Útválasztási szabály hozzáadása ablakban adja meg a myRoutingRule nevet a szabálynévhez.

3. A Prioritás mezőbe írjon be egy prioritásszámot.

4. Az útválasztási szabályhoz figyelő szükséges. Az Útválasztási szabály hozzáadása ablak Figyelő lapján adja meg a következő értékeket a figyelőhöz:

   • Figyelő neve: Adja meg a myListener nevet a figyelőnek.

   • Előtérbeli IP-protokoll: Válassza a Nyilvános IPv4 lehetőséget az előtérben létrehozott nyilvános IP-cím kiválasztásához.

     Fogadja el a Figyelő lapon lévő többi beállítás alapértelmezett értékeit, majd válassza a Háttérbeli célok lapot az útválasztási szabály többi részének konfigurálásához.

   

5. A Háttérpéldányok lapon válassza a háttérbeli cél myBackendPoolelemét.

6. A háttérbeállításoknál válassza az Új hozzáadása lehetőséget egy új háttérbeállítás létrehozásához. Ez a beállítás határozza meg az útválasztási szabály viselkedését. A megnyíló Háttérrendszer hozzáadása beállítási ablakban adja meg a myBackendSetting nevet a háttérbeállítások neveként. Fogadja el az ablak többi beállításának alapértelmezett értékeit, majd válassza a Hozzáadás lehetőséget az útválasztási szabály hozzáadása ablakba való visszatéréshez.

   

7. Az Útválasztási szabály hozzáadása ablakban válassza a Hozzáadás lehetőséget az útválasztási szabály mentéséhez és a Konfiguráció lapra való visszatéréshez.

   

8. Válassza a Tovább: Címkék , majd a Következő: Véleményezés + létrehozás lehetőséget.

Felülvizsgálat + létrehozás lap

Tekintse át a Felülvizsgálat + létrehozás lapon található beállításokat, majd válassza a Létrehozás lehetőséget a virtuális hálózat, a nyilvános IP-cím és az application gateway létrehozásához. Az Application Gateway létrehozása több percet is igénybe vehet.

Várjon, amíg az üzembe helyezés sikeresen befejeződik, mielőtt továbblépne a következő szakaszra.

A háttérkiszolgáló alhálózatának hozzáadása

1. Nyissa meg a myVNet virtuális hálózatot.
2. A Beállítások területen válassza az Alhálózatok lehetőséget.
3. Válassza a + Alhálózat lehetőséget.
4. A Név mezőbe írja be a myBackendSubnet nevet.
5. Kezdőcímként írja be a 10.0.1.0-t.
6. Válassza a Hozzáadás lehetőséget az alhálózat hozzáadásához.

Háttérbeli célok hozzáadása

Ebben a példában virtuális gépeket használ a cél háttérrendszerként. Használhat meglévő virtuális gépeket, vagy létrehozhat újakat. Két virtuális gépet hoz létre, amelyeket az Azure háttérkiszolgálóként használ az Application Gatewayhez.

Ehhez a következő műveleteket kell elvégeznie:

1. Hozzon létre két új Linux rendszerű virtuális gépet, a myVM-et és a myVM2-t háttérkiszolgálóként.
2. Telepítse az NGINX-et a virtuális gépekre annak ellenőrzéséhez, hogy az Application Gateway sikeresen létrejött-e.
3. Adja hozzá a háttérkiszolgálót a háttérkészlethez.

Virtuális gép létrehozása

1. Az Azure Portalon válassza az Erőforrás létrehozása lehetőséget. Megjelenik az Erőforrás létrehozása ablak.

2. A Virtuális gép területen válassza a Létrehozás lehetőséget.

3. Adja meg ezeket az értékeket az Alapértékek lapon a következő virtuálisgép-beállításokhoz:

   • Erőforráscsoport: Válassza a myResourceGroupAG lehetőséget az erőforráscsoport nevének megadásához.
   • Virtuális gép neve: Adja meg a myVM nevet a virtuális gép nevére.
   • Kép: Ubuntu Server 20.04 LTS – Gen2.
   • Hitelesítési típus: Jelszó
   • Felhasználónév: Adja meg a rendszergazdai felhasználónév nevét.
   • Jelszó: Adja meg a rendszergazdai jelszó jelszavát.
   • Nyilvános bejövő portok: Válassza a Nincs lehetőséget.

4. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Lemezek lehetőséget.

5. Fogadja el a Lemezek lap alapértelmezett beállítását, majd válassza a Tovább: Hálózatkezelés lehetőséget.

6. A Hálózatkezelés lapon ellenőrizze, hogy a myVNet ki van-e jelölve a virtuális hálózathoz, és az alhálózat myBackendSubnet értékre van állítva.

7. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.

8. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Kezelés lehetőséget.

9. Válassza a Tovább elemet: Figyelés, a rendszerindítási diagnosztikát tiltsa le. Fogadja el a többi alapértelmezett beállítást, majd válassza a Véleményezés + létrehozás lehetőséget.

10. A Véleményezés + létrehozás lapon tekintse át a beállításokat, javítsa ki az érvényesítési hibákat, majd válassza a Létrehozás lehetőséget.

11. A folytatás előtt várja meg, amíg a virtuális gép létrehozása befejeződik.

Az NGINX telepítése teszteléshez

Ebben a példában az NGINX-et csak azért telepíti a virtuális gépekre, hogy ellenőrizze, hogy az Azure sikeresen létrehozta-e az Application Gatewayt.

1. Nyisson meg egy Bash Cloud Shellt. Ehhez válassza a Cloud Shell ikont az Azure Portal felső navigációs sávján, majd válassza a Basht a legördülő listából.

   

2. Győződjön meg arról, hogy a bash-munkamenet be van állítva az előfizetéséhez:

   account set --subscription "<your subscription name>"

3. Futtassa a következő parancsot az NGINX virtuális gépre való telepítéséhez:

    az vm extension set \
    --publisher Microsoft.Azure.Extensions \
    --version 2.0 \
    --name CustomScript \
    --resource-group myResourceGroupAG \
    --vm-name myVM \
    --settings '{ "fileUris": ["https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/install_nginx.sh"], "commandToExecute": "./install_nginx.sh" }'
   

4. Hozzon létre egy második virtuális gépet, és telepítse az NGINX-et a korábban elvégzett lépések végrehajtásával. Használja a myVM2-t a virtuális gép nevéhez és a --vm-name parancsmag beállításához.

Háttérkiszolgálók hozzáadása a háttérkészlethez

1. Válassza az Összes erőforrás lehetőséget, majd a myAppGateway lehetőséget.

2. Válassza ki a háttérkészleteket a bal oldali menüből.

3. Válassza a myBackendPool lehetőséget.

4. A Cél típusa csoportban válassza a Virtuális gép lehetőséget a legördülő listából.

5. A Cél területen válassza ki a myVM társított hálózati adapterét a legördülő listából.

6. Ismételje meg a myVM2-et.

   

7. Válassza a Mentés lehetőséget.

8. Várja meg, amíg az üzembe helyezés befejeződik, mielőtt továbblép a következő lépésre.

Az alkalmazásátjáró tesztelése

Bár az NGINX nem szükséges az application gateway létrehozásához, telepítette annak ellenőrzéséhez, hogy az Azure sikeresen létrehozta-e az application gatewayt. A webszolgáltatással tesztelje az Application Gatewayt:

1. Keresse meg az Application Gateway nyilvános IP-címét az Áttekintés lapon.

   Vagy választhatja a Minden erőforrás lehetőséget, írja be a myAGPublicIPAddress kifejezést a keresőmezőbe, majd jelölje ki a keresési eredmények között. Az Azure az Áttekintés lapon jeleníti meg a nyilvános IP-címet.

2. Másolja a nyilvános IP-címet, majd illessze be a böngésző címsorába.

3. Ellenőrizze a választ. Egy érvényes válasz ellenőrzi, hogy az application gateway sikeresen létrejött-e, és sikeresen tud-e csatlakozni a háttérrendszerhez.

   

Az erőforrások eltávolítása

Ha már nincs szüksége az Application Gatewayrel létrehozott erőforrásokra, távolítsa el az erőforráscsoportot. Az erőforráscsoport eltávolításával eltávolítja az Application Gatewayt és annak összes kapcsolódó erőforrását is.

Az erőforráscsoport eltávolítása:

1. Az Azure Portal bal oldali menüjében válassza az Erőforráscsoportok lehetőséget.
2. Az Erőforráscsoportok lapon keresse meg a myResourceGroupAG kifejezést a listában, majd jelölje ki.
3. Az Erőforráscsoport lapon válassza az Erőforráscsoport törlése lehetőséget.
4. Írja be az erőforráscsoport nevét a myResourceGroupAG mezőbe, majd válassza a Törlés lehetőséget.

Következő lépések

További információ a webalkalmazási tűzfalról