Руководство по созданию шлюза приложений с брандмауэром веб-приложения с помощью портала Azure

  • Статья

В учебнике показано, как с помощью портала Azure создать шлюз приложений с брандмауэром веб-приложения (WAF). Для защиты приложения WAF использует правила OWASP. Эти правила включают защиту от атак, например от внедрения кода SQL, межсайтовых скриптов и захватов сеанса. Создав шлюз приложений, протестируйте его, чтобы убедиться в том, что он работает правильно. Шлюз приложений Azure позволяет направлять веб-трафик приложения к определенным ресурсам. Для этого портам назначаются прослушиватели, создаются определенные правила и в серверный пул добавляются соответствующие ресурсы. Для простоты в этом руководстве используется простая настройка с общедоступным интерфейсным IP-адресом, базовый прослушиватель для размещения одного сайта в этом шлюзе приложений, две виртуальные машины Linux, используемые для серверного пула, и базовое правило маршрутизации запросов.

В этом руководстве описано следующее:

  • Создание шлюза приложений с включенным WAF.
  • создание виртуальных машин, используемых в качестве внутренних серверов.
  • Создание учетной записи хранения и настройка диагностики.
  • Тестирование шлюза приложений

Схема примера брандмауэра веб-приложения.

Примечание

Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Чтобы начать работу, см. статью Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.

Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Вход в Azure

Войдите на портал Azure.

Создание шлюза приложений

  1. Выберите Создать ресурс в верхнем левом меню портала Azure. Появится окно Создать.

  2. Выберите Сети, а затем в списке Рекомендованные выберите Шлюз приложений.

Вкладка "Основные сведения"

  1. На вкладке Основные сведения введите значения для следующих параметров шлюза приложений.

    • Группа ресурсов. Выберите myResourceGroupAG для группы ресурсов. Выберите Создать для создания группы ресурсов, если она еще не существует.

    • Имя шлюза приложений. Введите myAppGateway для имени шлюза приложений.

    • Уровень: выберите WAF версии 2.

    • Политика WAF: выберите Создать, введите имя новой политики и нажмите кнопку ОК. При этом создается базовая политика WAF с управляемым набором правил (CRS).

      Снимок экрана:

  2. В Azure для обмена между создаваемыми ресурсами необходима виртуальная сеть. Вы можете создать новую виртуальную сеть или использовать существующую. В этом примере вы можете создать виртуальную сеть одновременно со шлюзом приложений. Экземпляры Шлюза приложений создаются в отдельных подсетях. В этом примере создаются две подсети: одна — для шлюза приложений, а вторая — для внутренних серверов.

    В разделе Настройка виртуальной сети создайте виртуальную сеть, выбрав команду Создать. В открывшемся окне Создание виртуальной сети введите следующие значения, которые будут использоваться для создания виртуальной сети и двух подсетей.

    • Name (Имя). Введите myVNet для имени виртуальной сети.

    • Имя подсети (Подсеть шлюза приложений). В сетке Подсети будет показана подсеть с именем По умолчанию. Измените имя этой подсети на myAGSubnet.
      Подсеть шлюза приложений может содержать только шлюзы приложений. Другие ресурсы запрещены.

    • Имя подсети (подсеть внутреннего сервера). Во второй строке таблицы Подсети введите myBackendSubnet в столбце Имя подсети.

    • Диапазон адресов (подсеть внутреннего сервера). Во второй строке таблицы Подсети введите диапазон адресов, которые не пересекаются с диапазоном адресов myAGSubnet. Например, если диапазон адресов myAGSubnet равен 10.21.0.0/24, введите 10.21.1.0/24 для диапазона адресов myBackendSubnet.

    Выберите ОК, чтобы закрыть окно Создание виртуальной сети и сохранить настройки виртуальной сети.

    Снимок экрана: создание шлюза приложений: создание виртуальной сети.

  3. На вкладке Основные сведения примите значения по умолчанию для других параметров и выберите Далее: интерфейсные серверы.

Вкладка "Интерфейсные серверы"

  1. На вкладке Интерфейсные серверы убедитесь, что для параметра Тип IP-адреса интерфейсных серверов установлено значение Общедоступный.
    Вы можете настроить внешний IP-адрес как общедоступный или оба в своем варианте использования. В этом примере мы будем использовать общедоступный интерфейсный IP-адрес.

    Примечание

    Для номера SKU Шлюз приложений версии 2 сейчас поддерживаются общедоступные и внешние типы IP-адресов. В настоящее время не поддерживается только конфигурация частных интерфейсных IP-адресов.

  2. Выберите команду Добавить новый для параметра Общедоступный IP-адрес и введите myAGPublicIPAddress в качестве имени общедоступного IP-адреса. Затем нажмите кнопку ОК.

    Снимок экрана: создание шлюза приложений: интерфейсы.

  3. По завершении выберите Next: серверные компоненты.

Вкладка "Серверные компоненты"

Серверный пул используется для перенаправления запросов на внутренние серверы, на которых обслуживается запрос. Внутренние пулы могут состоять из сетевых адаптеров, масштабируемых наборов виртуальных машин, общедоступных IP-адресов, внутренних IP-адресов, полных доменных имен и таких мультитенантых серверных частей, как служба приложений Azure. В этом примере показано, как создать пустой серверный пул со своим шлюзом приложений, а затем добавить в этот серверный пул целевые серверные объекты.

  1. На вкладке Серверные компоненты выберите элемент Добавление серверного пула.

  2. В открывшемся окне Добавить внутренний пул введите следующие значения для создания пустого внутреннего пула.

    • Name (Имя). Введите myBackendPool в качестве имени внутреннего пула.
    • Добавление внутреннего пула без целей. Чтобы создать серверный пул без целевых объектов, выберите Да. После создания шлюза приложения вы добавите серверные целевые объекты.

  3. В окне Добавление внутреннего пула выберите Добавить, чтобы сохранить конфигурацию внутреннего пула и вернуться на вкладку Серверные компоненты.

    Снимок экрана: создание шлюза приложений: серверные части.

  4. На вкладке Серверные компоненты выберите Далее: конфигурация.

Вкладка "Конфигурация"

На вкладке Конфигурация созданный интерфейсный и внутренний пул подключается с помощью правила маршрутизации.

  1. Выберите элемент Добавление правила маршрутизации в столбце Правила маршрутизации.

  2. В открывшемся окне Добавление правила маршрутизации введите myRoutingRule в поле Имя правила.

  3. В поле Приоритет ведите нужный номер.

  4. Для правила маршрутизации требуется прослушиватель. На вкладке Прослушиватель в окне Добавление правила маршрутизации введите следующие значения для прослушивателя.

    • Имя прослушивателя. Введите myListener в качестве имени прослушивателя.

    • Интерфейсный IP-адрес. Выберите Общедоступные, чтобы выбрать общедоступный IP-адрес, который вы создали для интерфейсных серверов.

      Примите значения по умолчанию для других параметров на вкладке Прослушиватель, а затем выберите вкладку Серверные целевые объекты, чтобы настроить остальную часть правила маршрутизации.

    Снимок экрана:

  5. На вкладке Серверные целевые объекты выберите значение myBackendPool для параметра Серверный целевой объект.

  6. В области Параметры серверной части щелкните Добавить, чтобы создать новый параметр серверной части. Этот параметр определяет поведение для правила маршрутизации. В открывшемся окне Добавление параметра серверной части введите myBackendSetting в поле Имя параметра серверной части. Сохраните значения по умолчанию для других параметров в этом окне, а затем щелкните Добавить, чтобы вернуться к окну Добавление правила маршрутизации.

    Снимок экрана:

  7. В окне Добавление правила маршрутизации выберите Добавить, чтобы сохранить правило маршрутизации и вернуться на вкладку Конфигурация.

    Снимок экрана:

  8. По завершении выберите Next: Теги , а затем Далее: Отзыв и создание.

Вкладка "Просмотр и создание"

Просмотрите параметры на вкладке Просмотр и создание, а затем выберите Создать, чтобы создать виртуальную сеть, общедоступный IP-адрес и шлюз приложения. Создание шлюза приложений в Azure может занять несколько минут.

Дождитесь успешного завершения развертывания перед переходом к следующему разделу.

Добавление серверных целевых объектов

В этом примере мы будем использовать виртуальные машины в качестве целевых объектов серверной части. Вы можете использовать существующие виртуальные машины или создать новые. В этом примере вы создадите две виртуальные машины, которые будут использоваться в Azure как внутренние серверы для шлюза приложений.

Для этого сделайте следующее:

  1. Создайте две новые виртуальные машины Linux myVM и myVM2, которые будут использоваться в качестве внутренних серверов.
  2. Установите NGINX на виртуальных машинах, чтобы убедиться, что шлюз приложений успешно создан.
  3. Добавить внутренние серверы к внутренним пулам.

Создание виртуальной машины

  1. На портале Azure выберите Создать ресурс. Откроется окно Создание ресурса .

  2. В разделе Виртуальная машина выберите Создать.

  3. На вкладке Основы введите для следующих параметров виртуальной машины такие значения:

    • Группа ресурсов. Выберите myResourceGroupAG для имени группы ресурсов.
    • Имя виртуальной машины. Введите myVM для имени виртуальной машины.
    • Изображение: Ubuntu Server 20.04 LTS — 2-е поколение.
    • Тип проверки подлинности: пароль
    • Имя пользователя. Введите имя для имени администратора.
    • Пароль. Введите пароль администратора.
    • В поле Общедоступные входящие порты выберите значение Нет.

  4. Примите остальные значения по умолчанию и щелкните Далее: Диски.

  5. Примите значения по умолчанию на вкладке Диски, а затем выберите Далее: Сети.

  6. На вкладке Сети убедитесь, что для параметра Виртуальная сеть выбрано значение myVNet, а для параметра Подсеть — значение myBackendSubnet.

  7. В поле Общедоступный IP-адрес выберите значение Нет.

  8. Примите остальные значения по умолчанию и щелкните Далее: управление.

  9. Выберите Далее: мониторинг и установите для параметра Диагностика загрузки значение Отключить. Примите другие значения по умолчанию и выберите Review + create (Просмотр и создание).

  10. На вкладке Review + create (Просмотр и создание) проверьте параметры, устраните ошибки проверки, а затем выберите Создать.

  11. Прежде чем продолжить, дождитесь завершения создания виртуальной машины.

Установка NGINX для тестирования

В этом примере NGINX устанавливается на виртуальных машинах только для проверки успешного создания шлюза приложений в Azure.

  1. Откройте Cloud Shell Bash. Для этого щелкните значок Cloud Shell на верхней панели навигации портал Azure а затем выберите Bash в раскрывающемся списке.

    Снимок экрана: Cloud Shell Bash.

  2. Выполните следующую команду, чтобы установить NGINX на виртуальной машине:

     az vm extension set \
 --publisher Microsoft.Azure.Extensions \
 --version 2.0 \
 --name CustomScript \
 --resource-group myResourceGroupAG \
 --vm-name myVM \
 --settings '{ "fileUris": ["https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/install_nginx.sh"], "commandToExecute": "./install_nginx.sh" }'

  3. Создайте вторую виртуальную машину и установите NGINX, выполнив описанные ранее действия. Используйте myVM2 для имени виртуальной машины и параметра --vm-name командлета.

Добавление серверов во внутренние пулы

  1. Выберите Все ресурсы, а затем — myAppGateway.

  2. Выберите Серверные пулы в меню слева.

  3. Выберите myBackendPool.

  4. В разделе Тип цели выберите Виртуальная машина из раскрывающегося списка.

  5. В разделе Целевой объект выберите связанный сетевой интерфейс для myVM в раскрывающемся списке.

  6. Повторите эти действия для myVM2.

    Добавление внутренних серверов

  7. Щелкните Сохранить.

  8. Прежде чем переходить к следующему шагу, дождитесь завершения развертывания.

Тестирование шлюза приложений

Хотя NGINX не требуется для создания шлюза приложений, вы установили его, чтобы проверить, успешно ли создан шлюз приложений в Azure. Используйте веб-службу для тестирования шлюза приложений:

  1. Найдите общедоступный IP-адрес для шлюза приложений на странице Обзор. Снимок экрана: Шлюз приложений общедоступного IP-адреса на странице

    Вы также можете выбрать Все ресурсы, ввести myAGPublicIPAddress в поле поиска, а затем выбрать его в результатах поиска. Общедоступный IP-адрес отобразится в Azure на странице Обзор.

  2. Скопируйте общедоступный IP-адрес и вставьте его в адресную строку браузера.

  3. Проверьте ответ. Допустимый ответ подтверждает, что шлюз приложений создан и может успешно подключиться к серверу.

    Снимок экрана: тестирование шлюза приложений.

Очистка ресурсов

Если вам уже не нужны ресурсы, созданные с помощью шлюза приложений, удалите группу ресурсов. Удалив ее, вы также удалите шлюз приложений и все связанные с ним ресурсы.

Чтобы удалить группу ресурсов:

  1. На портале Azure в меню слева выберите Группы ресурсов.
  2. На странице Группы ресурсов выполните поиск группы myResourceGroupAG в списке и выберите ее.
  3. На странице группы ресурсов выберите Удалить группу ресурсов.
  4. Введите myResourceGroupAG в поле Введите имя группы ресурсов, а затем выберите Удалить.

Дальнейшие действия

Web application firewall for Azure Application Gateway (Брандмауэр веб-приложений для шлюза приложений Azure)