Oktatóanyag: Webalkalmazási tűzfallal rendelkező Application Gateway létrehozása az Azure Portal használatával

  • Cikk

Ez az oktatóanyag bemutatja, hogyan hozhat létre Application Gateway Web Application Firewall (WAF) Azure Portal használatával. A WAF OWASP-szabályokkal védi az alkalmazást. Ezek a szabályok olyan támadások ellen nyújtanak védelmet, mint az SQL-injektálás, a Cross-Site Scripting támadások és a munkamenet-eltérítések. Az Application Gateway létrehozása után tesztelje, hogy megfelelően működik-e. A Azure Application Gateway az alkalmazás webes forgalmát adott erőforrásokhoz irányítja: figyelőket rendel portokhoz, szabályokat hoz létre, és erőforrásokat ad hozzá egy háttérkészlethez. Az egyszerűség kedvéért ez az oktatóanyag egy egyszerű beállítást használ egy nyilvános előtérbeli IP-címmel, egy alapszintű figyelőt, amely egyetlen helyet üzemeltet ezen az application gatewayen, két Linux rendszerű virtuális gépet a háttérkészlethez, valamint egy alapszintű kérés-útválasztási szabályt.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Alkalmazásátjáró létrehozása engedélyezett WAF-fel
  • Háttérkiszolgálóként használt virtuális gépek létrehozása
  • Tárfiók létrehozása és diagnosztika konfigurálása
  • Az alkalmazásátjáró tesztelése

A webalkalmazási tűzfal példájának ábrája.

Megjegyzés

Javasoljuk, hogy az Azure-ral való interakcióhoz az Azure Az PowerShell-modult használja. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Előfeltételek

Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.

Bejelentkezés az Azure-ba

Jelentkezzen be az Azure Portalra.

Application Gateway létrehozása

  1. Válassza az Erőforrás létrehozása lehetőséget a Azure Portal bal oldali menüjében. Megjelenik az Új ablak.

  2. Válassza a Hálózatkezelés, majd a Kiemelt lista Application Gateway elemét.

Alapvető beállítások lap

  1. Az Alapvető beállítások lapon adja meg az alábbi értékeket az Application Gateway következő beállításaihoz:

    • Erőforráscsoport: Válassza a myResourceGroupAG lehetőséget az erőforráscsoporthoz. Ha nem létezik, a létrehozáshoz válassza az Új létrehozása lehetőséget.

    • Application Gateway neve: Adja meg a myAppGateway nevet az application gateway neveként.

    • Szint: válassza a WAF V2 lehetőséget.

    • WAF-szabályzat: Válassza az Új létrehozása lehetőséget, írja be az új szabályzat nevét, majd kattintson az OK gombra. Ez létrehoz egy alapszintű WAF-szabályzatot egy felügyelt alapvető szabálykészlettel (CRS).

      Képernyőkép az Új Application Gateway létrehozása: Alapszintű beállítások lapról.

  2. Ahhoz, hogy az Azure kommunikálhasson a létrehozott erőforrások között, virtuális hálózatra van szüksége. Létrehozhat egy új virtuális hálózatot, vagy használhat egy meglévőt. Ebben a példában egy új virtuális hálózatot fog létrehozni az Application Gateway létrehozásával egy időben. Application Gateway példányok külön alhálózatokban jönnek létre. Ebben a példában két alhálózatot hoz létre: egyet az Application Gatewayhez, egy másikat a háttérkiszolgálókhoz.

    A Virtuális hálózat konfigurálása területen válassza az Új létrehozása lehetőséget egy új virtuális hálózat létrehozásához. A megnyíló Virtuális hálózat létrehozása ablakban adja meg a következő értékeket a virtuális hálózat és két alhálózat létrehozásához:

    • Név: Adja meg a myVNet nevet a virtuális hálózat neveként.

    • Alhálózat neve (Application Gateway alhálózat): Az Alhálózatok rács egy Default nevű alhálózatot jelenít meg. Módosítsa az alhálózat nevét myAGSubnet névre.
      Az Application Gateway-alhálózat csak alkalmazásátjárókat tartalmazhat. Más erőforrások nem engedélyezettek.

    • Alhálózat neve (háttérkiszolgáló alhálózata): Az Alhálózatok rács második sorába írja be a myBackendSubnet nevet az Alhálózat neve oszlopba.

    • Címtartomány (háttérkiszolgáló alhálózata): Az Alhálózatok rács második sorában adjon meg egy olyan címtartományt, amely nincs átfedésben a myAGSubnet címtartományával. Ha például a myAGSubnet címtartománya 10.21.0.0/24, adja meg a 10.21.1.0/24 címet a myBackendSubnet címtartományához.

    Kattintson az OK gombra a Virtuális hálózat létrehozása ablak bezárásához és a virtuális hálózati beállítások mentéséhez.

    Képernyőkép az Új Application Gateway létrehozásáról: Virtuális hálózat létrehozása.

  3. Az Alapvető beállítások lapon fogadja el a többi beállítás alapértelmezett értékeit, majd válassza a Tovább: Előtérbeállítások lehetőséget.

Előtér lap

  1. Az Előtér lapon ellenőrizze, hogy az előtérbeli IP-cím típusaNyilvános értékre van-e állítva.
    Az előtérbeli IP-címet konfigurálhatja nyilvánosra vagy mindkettőre a használati esetnek megfelelően. Ebben a példában egy nyilvános előtérbeli IP-címet fog választani.

    Megjegyzés

    A Application Gateway v2 termékváltozat esetében a nyilvános és mindkét előtérbeli IP-címtípus támogatott. A privát előtérbeli IP-konfiguráció jelenleg nem támogatott.

  2. Válassza az Új hozzáadása lehetőséget a Nyilvános IP-címhez , és adja meg a myAGPublicIPAddress nevet a nyilvános IP-cím neveként, majd kattintson az OK gombra.

    Képernyőkép az Új Application Gateway létrehozása: Előtérrendszerről.

  3. Válassza a Tovább: Háttérrendszer lehetőséget.

Háttérrendszer lap

A háttérkészlet a kéréseket a kérést kiszolgáló háttérkiszolgálókra irányítja. A háttérkészletek lehetnek hálózati adapterek, virtuálisgép-méretezési csoportok, nyilvános IP-címek, belső IP-címek, teljes tartománynevek (FQDN) és több-bérlős háttérrendszerek, például Azure App Service. Ebben a példában egy üres háttérkészletet fog létrehozni az Application Gateway használatával, majd később háttérbeli célokat ad hozzá a háttérkészlethez.

  1. A Háttérkészletek lapon válassza a Háttérkészlet hozzáadása lehetőséget.

  2. A megnyíló Háttérkészlet hozzáadása ablakban adja meg a következő értékeket egy üres háttérkészlet létrehozásához:

    • Név: A háttérkészlet neveként adja meg a myBackendPool nevet.
    • Háttérkészlet hozzáadása célok nélkül: Válassza az Igen lehetőséget egy példányok nélküli háttérkészlet létrehozásához. Az Application Gateway létrehozása után háttérbeli célokat fog hozzáadni.

  3. A Háttérkészlet hozzáadása ablakban válassza a Hozzáadás lehetőséget a háttérkészlet konfigurációjának mentéséhez és a Háttérkészletek lapra való visszatéréshez.

    Képernyőkép az Új Application Gateway létrehozása: Háttérrendszerről.

  4. A Háttérrendszer lapon válassza a Tovább: Konfiguráció lehetőséget.

Konfiguráció lap

A Konfiguráció lapon csatlakoztatni fogja az útválasztási szabály használatával létrehozott előtér- és háttérkészletet.

  1. Válassza az Útválasztási szabály hozzáadása lehetőséget az Útválasztási szabályok oszlopban.

  2. A megnyíló Útválasztási szabály hozzáadása ablakban adja meg a myRoutingRulenevet a Szabály neve mezőben.

  3. A Prioritás mezőbe írjon be egy prioritásszámot.

  4. Az útválasztási szabályhoz figyelő szükséges. Az Útválasztási szabály hozzáadása ablak Figyelő lapján adja meg a következő értékeket a figyelőhöz:

    • Figyelő neve: A figyelő neveként adja meg a myListener nevet.

    • Előtérbeli IP-cím: Válassza a Nyilvános lehetőséget az előtérben létrehozott nyilvános IP-cím kiválasztásához.

      Fogadja el a Figyelő lap többi beállításának alapértelmezett értékeit, majd válassza a Háttérpéldányok lapot az útválasztási szabály többi részének konfigurálásához.

    Képernyőkép az Új Application Gateway létrehozása: figyelőről.

  5. A Háttérpéldányok lapon válassza a háttérbeli cél myBackendPoolelemét.

  6. A háttérbeállításoknál válassza az Új hozzáadása lehetőséget egy új háttérbeállítás létrehozásához. Ez a beállítás határozza meg az útválasztási szabály viselkedését. A megnyíló Háttérbeállítás hozzáadása ablakban adja meg a myBackendSetting nevet a Háttérbeállítások neve mezőben. Fogadja el az alapértelmezett értékeket az ablak többi beállításához, majd válassza a Hozzáadás lehetőséget az Útválasztási szabály hozzáadása ablakba való visszatéréshez.

    Képernyőkép az Új Application Gateway létrehozása háttérbeállításról.

  7. Az Útválasztási szabály hozzáadása ablakban válassza a Hozzáadás lehetőséget az útválasztási szabály mentéséhez és a Konfiguráció lapra való visszatéréshez.

    Képernyőkép az Új Application Gateway létrehozása: útválasztási szabályról.

  8. Válassza a Tovább: Címkék , majd a Tovább: Áttekintés + létrehozás lehetőséget.

Felülvizsgálat + létrehozás lap

Tekintse át a Beállításokat a Felülvizsgálat + létrehozás lapon, majd válassza a Létrehozás lehetőséget a virtuális hálózat, a nyilvános IP-cím és az Application Gateway létrehozásához. Az Application Gateway létrehozása több percet is igénybe vehet.

Várjon, amíg az üzembe helyezés sikeresen befejeződik, mielőtt továbblépne a következő szakaszra.

Háttérbeli célok hozzáadása

Ebben a példában virtuális gépeket fog használni cél háttérrendszerként. Használhat meglévő virtuális gépeket, vagy létrehozhat újakat. Két virtuális gépet fog létrehozni, amelyeket az Azure háttérkiszolgálóként használ az Application Gatewayhez.

Ehhez a következőket kell tennie:

  1. Hozzon létre két új Linux rendszerű virtuális gépet, a myVM-et és a myVM2-t háttérkiszolgálóként.
  2. Telepítse az NGINX-et a virtuális gépekre annak ellenőrzéséhez, hogy az Application Gateway sikeresen létrejött-e.
  3. Adja hozzá a háttérkiszolgálót a háttérkészlethez.

Virtuális gép létrehozása

  1. A Azure Portal válassza az Erőforrás létrehozása lehetőséget. Megjelenik az Erőforrás létrehozása ablak.

  2. A Virtuális gép területen válassza a Létrehozás lehetőséget.

  3. Adja meg ezeket az értékeket az Alapvető beállítások lapon a következő virtuálisgép-beállításokhoz:

    • Erőforráscsoport: Válassza a myResourceGroupAG elemet az erőforráscsoport neveként.
    • Virtuális gép neve: Adja meg a myVM nevet a virtuális gép neveként.
    • Kép: Ubuntu Server 20.04 LTS – Gen2.
    • Hitelesítési típus: Jelszó
    • Felhasználónév: Adja meg a rendszergazdai felhasználónév nevét.
    • Jelszó: Adja meg a rendszergazdai jelszó jelszavát.
    • Nyilvános bejövő portok: Válassza a Nincs lehetőséget.

  4. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Lemezek lehetőséget.

  5. Fogadja el a Lemezek lap alapértelmezett beállítását, majd válassza a Tovább: Hálózatkezelés lehetőséget.

  6. A Hálózat lapon ellenőrizze, hogy a myVNet van-e kiválasztva a virtuális hálózathoz , és hogy az alhálózatmyBackendSubnet értékre van-e állítva.

  7. A Nyilvános IP-cím mezőben válassza a Nincs lehetőséget.

  8. Fogadja el a többi alapértelmezett beállítást, majd válassza a Tovább: Kezelés lehetőséget.

  9. Válassza a Tovább: Figyelés lehetőséget, és állítsa a Rendszerindítási diagnosztikabeállítást Letiltás értékre. Fogadja el a többi alapértelmezett beállítást, majd válassza az Áttekintés + létrehozás lehetőséget.

  10. A Felülvizsgálat + létrehozás lapon tekintse át a beállításokat, javítsa ki az érvényesítési hibákat, majd válassza a Létrehozás lehetőséget.

  11. A folytatás előtt várja meg, amíg a virtuális gép létrehozása befejeződik.

Az NGINX telepítése teszteléshez

Ebben a példában az NGINX-et csak a virtuális gépekre telepíti annak ellenőrzéséhez, hogy az Azure sikeresen létrehozta-e az Application Gatewayt.

  1. Nyisson meg egy Bash-Cloud Shell. Ehhez válassza a Azure Portal felső navigációs sávjának Cloud Shell ikonját, majd válassza a Bash lehetőséget a legördülő listából.

    Képernyőkép a Bash Cloud Shell.

  2. Futtassa a következő parancsot az NGINX virtuális gépre való telepítéséhez:

     az vm extension set \
 --publisher Microsoft.Azure.Extensions \
 --version 2.0 \
 --name CustomScript \
 --resource-group myResourceGroupAG \
 --vm-name myVM \
 --settings '{ "fileUris": ["https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/install_nginx.sh"], "commandToExecute": "./install_nginx.sh" }'

  3. Hozzon létre egy második virtuális gépet, és telepítse az NGINX-et a korábban elvégzett lépések végrehajtásával. Használja a myVM2-t a virtuális gép nevéhez és a parancsmag --vm-name beállításához.

Háttérkiszolgálók hozzáadása a háttérkészlethez

  1. Válassza a Minden erőforrás, majd a myAppGateway lehetőséget.

  2. A bal oldali menüben válassza a Háttérkészletek lehetőséget.

  3. Válassza a myBackendPool lehetőséget.

  4. A Cél típusa területen válassza a Virtuális gép lehetőséget a legördülő listából.

  5. A Cél területen válassza ki a myVM-hez társított hálózati adaptert a legördülő listából.

  6. Ismételje meg a következőt: myVM2.

    Háttérkiszolgálók hozzáadása

  7. Kattintson a Mentés gombra.

  8. Várja meg, amíg az üzembe helyezés befejeződik, mielőtt továbblép a következő lépésre.

Az alkalmazásátjáró tesztelése

Bár az Application Gateway létrehozásához nincs szükség NGINX-re, telepítette annak ellenőrzéséhez, hogy az Azure sikeresen létrehozta-e az Application Gatewayt. A webszolgáltatással tesztelje az Application Gatewayt:

  1. Keresse meg az Application Gateway nyilvános IP-címét az Áttekintés oldalán. Képernyőkép Application Gateway nyilvános IP-címről az Áttekintés lapon.

    Vagy válassza a Minden erőforrás lehetőséget, írja be a myAGPublicIPAddress kifejezést a keresőmezőbe, majd jelölje ki azt a keresési eredmények között. Az Azure az Áttekintés lapon jeleníti meg a nyilvános IP-címet.

  2. Másolja a nyilvános IP-címet, majd illessze be a böngésző címsorába.

  3. Ellenőrizze a választ. Az érvényes válasz ellenőrzi, hogy az Application Gateway sikeresen létrejött-e, és sikeresen kapcsolódhat-e a háttérrendszerhez.

    Képernyőkép az Application Gateway teszteléséről.

Az erőforrások eltávolítása

Ha már nincs szüksége az Application Gatewayrel létrehozott erőforrásokra, távolítsa el az erőforráscsoportot. Az erőforráscsoport eltávolításával eltávolítja az Application Gatewayt és annak összes kapcsolódó erőforrását is.

Az erőforráscsoport eltávolítása:

  1. A Azure Portal bal oldali menüjében válassza az Erőforráscsoportok lehetőséget.
  2. Az Erőforráscsoportok lapon keresse meg a myResourceGroupAG elemet a listában, majd jelölje ki.
  3. Az Erőforráscsoport lapon válassza az Erőforráscsoport törlése lehetőséget.
  4. Írja be a myResourceGroupAG nevet az ERŐFORRÁSCSOPORT NEVÉNEK beírásához , majd válassza a Törlés lehetőséget.

Következő lépések

További információ a Web Application Firewall