Azure WAF工做原理分析和配置嚮導html
本文博客地址爲:http://www.cnblogs.com/taosha/p/6716434.html ,轉載請保留出處,多謝!前端
本地數據中心往雲端遷移的的趨勢愈來愈明顯,安全始終是最熱門的話題之一。數據庫
本文討論的內容是Azure WAF,即微軟公有云Azure的Web application firewall(下均簡稱WAF)。內容概述:後端
隨着互聯網的進一步發展,Web應用大行其道,承載了客戶愈來愈多的應用,甚至各類核心應用,針對Web應用的"掘金行動"也愈來愈多,網上報道的各種受攻擊事件呈直線上升趨勢。WAF全稱Web application firewall,就是網站應用程序防火牆,顧名思義是專門針對Web應用的防火牆,這是一個細分領域的針對性防火牆。安全
2.Azure WAF功能和特色 服務器
微軟在雲端提供了WAF功能,目前這個功能還僅僅在海外版提供使用,國內21V的版本尚未提供,不過海外有了,國內估計也快了,確實客戶的剛性需求擺在這裏呢。網絡
WAF不只僅只是防護Web的http訪問,能夠對Web應用作到全方位的立體防禦。能夠防範:app
總結:微軟WAF使用開源的通用OWASP 規則包進行防範,目前支持CRS 2.2.9和CRS 3.0兩個版本的規則集。能夠支持:負載均衡
CRS規則集詳細內容參見:https://www.modsecurity.org/crs/以及https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-crs-rulegroups-ruleside
注意:Azure數據中心自帶防DDOS攻擊,因此WAF沒有防DDOS攻擊的能力。
Azure WAF的特色是配置簡單,功能強大,價格便宜;還能夠將現有Application gateway快速升級爲WAF。
3. Azure WAF的工做原理
這裏要理解一下微軟WAF的設計理念,專有名詞和相關限制,這樣在後面配置時就比較清晰。
從網絡拓撲上來看,WAF是應用程序網關的一種,位置介於負載均衡器和後端服務器組之間,工做在OSI網絡堆棧的最高層--第七層,以下圖:
WAF能夠分爲前端捕獲,規則設置和監控(大腦),規定動做(監控or阻斷),日誌存儲/監控展示四大部分,這四個部分在Azure WAF都有一一對應處理單元以下圖:
前端端口是前端流量入口點,綁定規則的監聽器則負責將流量導向不一樣的後端服務器池,Azure WAF提供兩種動做,一種是監控,即發現非法流量僅作記錄;第二種是保護,發現非法流量後會攔截該流量,僅容許合法流量經過WAF;每一個後端服務器池提供一個Web應用服務;
理解上文的專有名詞,(吐槽一下各類名詞多多,很容易搞暈)
四、一步步配置Azure WAF
理論已經講明白了,接下來配置很是簡單,能夠按照以下順序配置:
第一步,首先你得先有個WAF,登錄Azure Global Portal在Application Gateway(應用程序網關)建立WAF;建立完成後以下圖,前端IP已經自動生成了;
第二步,配置WAF;
選擇開啓防火牆,防火牆模式就是動做模式,有兩種,選擇Detection監測模式,會記錄流量,不會阻斷非法流量;選擇Prevention會主動阻斷非法流量;
第三步,配置後端服務器池,
後端服務器池就是Web應用服務器的IP或者域名,能夠有多個後端池;在規則設置中區分流量導向哪一個後端服務器池;
第四步,配置Http協議和端口
咱們前面提到過規則的三要素,前端,後端,http配置,這裏能夠配置端口,若是你後端服務器池用的不是通用的80端口,這裏必定要作一下配置;這裏也能夠設置HTTP or HTTPS。
第五步,配置監聽器;
如上圖,針對不一樣端口的流量要用不一樣的監聽器進行監聽,一個WAF能夠配置最大20個監聽器;
第六步,配置規則,
若是瞭解了WAF的工做原理,理解規則就很是容易,如前文所述,規則綁定在監聽器上,根據流量的類型和端口再將流量導向到指定的後端服務器池,以下圖所示,
到此爲止,WAF就已經配置完成了,是否是很是簡單,可是能夠爲您的Web應用加上全方位的保護,這下終於能夠安心的睡個覺了。
結尾:Azure WAF功能很是強大,不但支持Web應用的安全防禦,還能夠支持多站點流量分發(一個WAF最大20個站點),還支持將站點不一樣內容好比圖片PIC,視頻Video等根據須要導向到不一樣的後端服務器等等,有這麼強大的WAF您還在等什麼,微軟雲海外用戶能夠趕忙用起來啦。