应用程序网关和加密
加密正在传输的数据是保护应用程序安全的重要步骤。 你可以从证书颁发机构购买证书,并用其加密进出服务器的消息。 此加密可以防止未经授权的用户在消息传输时截获和查看其中的信息。
在传送门户中,加密非常重要,因为我们的工作就是传送客户订单。 如果有人能够访问传输的数据,他们就可以查看敏感信息(例如客户详细信息或财务帐户数据)。
要帮助保护此数据,可使用 Azure 应用程序网关。 该网关会对通过网络遍历(从用户到应用程序服务器)的数据加密。
应用程序网关及其优点
Azure 应用程序网关是应用程序传送控制器。 它提供对 HTTP 流量进行加密、Web 应用程序防火墙以及支持对数据进行 SSL 加密等功能。 应用程序网关支持加密用户和应用程序网关之间以及应用程序服务器和应用程序网关之间的流量。
在应用程序网关上终止 SSL 连接时,它会从服务器上卸载 CPU 密集型的 SSL 终止工作负载。 此外,不需要在服务器上安装证书和配置 SSL。
如果需要端到端加密,应用程序网关可以使用私钥解密网关上的流量。 然后,它使用后端池中运行的服务的公钥对流量进行重新加密。
通过应用程序网关公开网站或 Web 应用程序也表示你不直接将服务器连接到 Web。 你只会公开应用程序网关上的 80 端口或 443 端口。 无法从 Internet 直接访问你的 Web 服务器,这就减少了基础结构的攻击面。
应用程序网关组件
应用程序网关具有多个组件。 加密的主要部分是前端端口、侦听器和后端池。
下图显示了如何通过 SSL 解密从客户端到应用程序网关的传入流量,再在将其发送到后端池中的服务器时重新加密。
前端端口和侦听器
流量通过前端端口进入网关。 你可以打开多个端口,应用程序网关可以在任一个端口上接收消息。 流量通过端口进入网关时遇到的第一个部分就是侦听器。 侦听器设置为侦听特定的主机名和特定 IP 地址上的特定端口。 侦听器可使用 SSL 证书来解密进入网关的流量。 再使用你定义的规则将传入的请求定向到后端池。
后端池
后端池包含应用程序服务器。 这些服务器可为虚拟机、虚拟机规模集或在 Azure 应用服务上运行的应用程序。 传入的请求可以在后端池中的服务器之间实现负载均衡。 后端池具有 HTTP 设置,该设置引用了用于对后端服务器进行身份验证的证书。 网关使用此证书重新加密流量,然后将其发送到后端池中的某个服务器中。
如果使用 Azure 应用服务来托管后端应用程序,则不需要在应用程序网关中安装任何证书即可连接到后端池。 所有通信均会自动加密。 应用程序网关信任服务器是因为 Azure 对其进行管理。