Kurz: Vytvoření služby Application Gateway s Firewallem webových aplikací pomocí webu Azure Portal

  • Článek

V tomto kurzu se dozvíte, jak pomocí Azure Portal vytvořit Application Gateway s Web Application Firewall (WAF). WAF používá k ochraně aplikace pravidla OWASP. Tato pravidla zahrnují ochranu před útoky, jako je injektáž SQL, skriptování mezi weby a krádeže relací. Po vytvoření aplikační brány ji otestujete, abyste se ujistili, že funguje správně. S Azure Application Gateway směrujete webový provoz aplikace na konkrétní prostředky tím, že přiřadíte naslouchací procesy k portům, vytvoříte pravidla a přidáte prostředky do back-endového fondu. Z důvodu zjednodušení tento kurz používá jednoduché nastavení s veřejnou front-endovou IP adresou, základní naslouchací proces pro hostování jedné lokality v této aplikační bráně, dva virtuální počítače s Linuxem používané pro back-endový fond a základní pravidlo směrování požadavků.

V tomto kurzu se naučíte:

  • Vytvořit aplikační bránu se zapnutým Firewallem webových aplikací
  • Vytvoření virtuálních počítačů používaných jako back-endové servery
  • Vytvoření účtu úložiště a konfigurace diagnostiky
  • Otestování aplikační brány

Diagram příkladu Firewallu webových aplikací

Poznámka

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Přihlášení k Azure

Přihlaste se k webu Azure Portal.

Vytvoření brány Application Gateway

  1. V levé nabídce Azure Portal vyberte Vytvořit prostředek. Zobrazí se okno Nový .

  2. Vyberte Sítě a pak v seznamu Doporučené vyberte Application Gateway.

Karta Základní informace

  1. Na kartě Základy zadejte tyto hodnoty pro následující nastavení aplikační brány:

    • Skupina prostředků: Jako skupinu prostředků vyberte myResourceGroupAG . Pokud neexistuje, vyberte Vytvořit nový a vytvořte ho.

    • Název aplikační brány: Jako název aplikační brány zadejte myAppGateway .

    • Úroveň: Vyberte WAF V2.

    • Zásady WAF: Vyberte Vytvořit novou, zadejte název nové zásady a pak vyberte OK. Tím se vytvoří základní zásady WAF se spravovanou základní sadou pravidel (CRS).

      Snímek obrazovky s kartou Vytvořit novou aplikační bránu: Základy

  2. Aby azure mohlo komunikovat mezi prostředky, které vytvoříte, potřebuje virtuální síť. Můžete vytvořit novou virtuální síť nebo použít existující. V tomto příkladu vytvoříte novou virtuální síť současně s vytvořením aplikační brány. Application Gateway instance se vytvářejí v samostatných podsítích. V tomto příkladu vytvoříte dvě podsítě: jednu pro aplikační bránu a druhou pro back-endové servery.

    V části Konfigurovat virtuální síť vyberte Vytvořit novou a vytvořte novou virtuální síť. V okně Vytvořit virtuální síť , které se otevře, zadejte následující hodnoty pro vytvoření virtuální sítě a dvou podsítí:

    • Název: Jako název virtuální sítě zadejte myVNet .

    • Název podsítě (Application Gateway podsíť): V mřížce Podsítě se zobrazí podsíť s názvem Výchozí. Změňte název této podsítě na myAGSubnet.
      Podsíť aplikační brány může obsahovat pouze aplikační brány. Nejsou povoleny žádné další prostředky.

    • Název podsítě (podsíť back-endového serveru): Do druhého řádku mřížky Podsítě zadejte myBackendSubnet do sloupce Název podsítě .

    • Rozsah adres (podsíť back-endového serveru): Do druhého řádku mřížky podsítí zadejte rozsah adres, který se nepřekrývá s rozsahem adres podsítě myAGSubnet. Pokud je například rozsah adres podsítě myAGSubnet 10.21.0.0/24, jako rozsah adres podsítě myBackendSubnet zadejte 10.21.1.0/24.

    Výběrem OKzavřete okno Vytvořit virtuální síť a uložte nastavení virtuální sítě.

    Snímek obrazovky s možností Vytvořit novou aplikační bránu: Vytvořit virtuální síť

  3. Na kartě Základy přijměte výchozí hodnoty pro ostatní nastavení a pak vyberte Další: Front-endy.

Karta Front-endy

  1. Na kartě Front-endy ověřte, že typ IP adresy front-endu je nastavený na Veřejné.
    Podle vašeho případu použití můžete nakonfigurovat ip adresu front-endu tak, aby byla veřejná nebo Obě . V tomto příkladu zvolíte veřejnou front-endovou IP adresu.

    Poznámka

    Pro Application Gateway SKU v2 se v současné chvíli podporují typy IP adres veřejné a front-endové. V současné době se nepodporuje pouze konfigurace privátních front-endových IP adres.

  2. V části Veřejná IP adresa zvolte Přidat novou, jako název veřejné IP adresy zadejte myAGPublicIPAddress a pak vyberte OK.

    Snímek obrazovky s možností Vytvořit novou aplikační bránu: Front-endy

  3. Vyberte Další: Back-endy.

Karta Back-endy

Back-endový fond se používá ke směrování požadavků na back-endové servery, které požadavek obsluhují. Back-endové fondy můžou být tvořené síťovými kartami, škálovacími sadami virtuálních počítačů, veřejnými IP adresami, interními IP adresami, plně kvalifikovanými názvy domén (FQDN) a back-endy s více tenanty, jako jsou Azure App Service. V tomto příkladu vytvoříte se službou Application Gateway prázdný back-endový fond a později do back-endového fondu přidáte cíle back-endu.

  1. Na kartě Back-endy vyberte Přidat back-endový fond.

  2. V okně Přidat back-endový fond , které se otevře, zadejte následující hodnoty pro vytvoření prázdného back-endového fondu:

    • Název: Jako název back-endového fondu zadejte myBackendPool .
    • Přidat back-endový fond bez cílů: Pokud chcete vytvořit back-endový fond bez cílů, vyberte Ano . Cíle back-endu přidáte po vytvoření aplikační brány.

  3. V okně Přidat back-endový fond vyberte Přidat , uložte konfiguraci back-endového fondu a vraťte se na kartu Back-endy .

    Snímek obrazovky s možností Vytvořit novou aplikační bránu: Back-endy

  4. Na kartě Back-endy vyberte Další: Konfigurace.

Karta Konfigurace

Na kartě Konfigurace připojíte front-endový a back-endový fond, který jste vytvořili pomocí pravidla směrování.

  1. Ve sloupci Pravidlasměrování vyberte Přidat pravidlo směrování.

  2. V okně Přidat pravidlo směrování, které se otevře, jako název pravidla zadejte myRoutingRule.

  3. Do části Priorita zadejte číslo priority.

  4. Pravidlo směrování vyžaduje naslouchací proces. Na kartě Naslouchací proces v okně Přidat pravidlo směrování zadejte následující hodnoty pro naslouchací proces:

    • Název naslouchacího procesu: Jako název naslouchacího procesu zadejte myListener .

    • IP adresa front-endu: Vyberte Veřejná a zvolte veřejnou IP adresu, kterou jste vytvořili pro front-end.

      Přijměte výchozí hodnoty pro ostatní nastavení na kartě Naslouchací proces a pak vyberte kartu Cíle back-endu a nakonfigurujte zbytek pravidla směrování.

    Snímek obrazovky znázorňující vytvoření nové aplikační brány: naslouchací proces

  5. Na kartě Cíle back-endu vyberte myBackendPool jako cíl back-endu.

  6. V nastavení back-endu vyberte Přidat nový a vytvořte nové nastavení back-endu. Toto nastavení určuje chování pravidla směrování. V okně Přidat nastavení back-endu, které se otevře, jako název nastavení back-endu zadejte myBackendSetting. Přijměte výchozí hodnoty pro ostatní nastavení v okně a pak se výběrem možnosti Přidat vraťte do okna Přidat pravidlo směrování .

    Snímek obrazovky znázorňující možnost Vytvořit novou aplikační bránu a nastavení back-endu

  7. V okně Přidat pravidlo směrování vyberte Přidat , aby se pravidlo směrování uložilo a vrátilo se na kartu Konfigurace .

    Snímek obrazovky znázorňující vytvoření nové aplikační brány: pravidlo směrování

  8. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

Karta Zkontrolovat a vytvořit

Zkontrolujte nastavení na kartě Zkontrolovat a vytvořit a pak výběrem možnosti Vytvořit vytvořte virtuální síť, veřejnou IP adresu a službu Application Gateway. Vytvoření aplikační brány může Azure trvat několik minut.

Počkejte, až se nasazení úspěšně dokončí, a teprve pak přejděte k další části.

Přidání back-endových cílů

V tomto příkladu použijete jako cílový back-end virtuální počítače. Můžete použít existující virtuální počítače nebo vytvořit nové. Vytvoříte dva virtuální počítače, které Azure používá jako back-endové servery pro službu Application Gateway.

Uděláte to takto:

  1. Vytvořte dva nové virtuální počítače s Linuxem , myVM a myVM2, které se použijí jako back-endové servery.
  2. Nainstalujte na virtuální počítače NGINX a ověřte, že se aplikační brána úspěšně vytvořila.
  3. Přidejte back-endové servery do back-endového fondu.

Vytvoření virtuálního počítače

  1. Na Azure Portal vyberte Vytvořit prostředek. Zobrazí se okno Vytvořit prostředek .

  2. V části Virtuální počítač vyberte Vytvořit.

  3. Na kartě Základy zadejte tyto hodnoty pro následující nastavení virtuálního počítače:

    • Skupina prostředků: Jako název skupiny prostředků vyberte myResourceGroupAG .
    • Název virtuálního počítače: Jako název virtuálního počítače zadejte myVM .
    • Obrázek: Ubuntu Server 20.04 LTS – Gen2.
    • Typ ověřování: Heslo
    • Uživatelské jméno: Zadejte jméno pro uživatelské jméno správce.
    • Heslo: Zadejte heslo pro heslo správce.
    • Veřejné příchozí porty: Vyberte Žádné.

  4. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Disky.

  5. Přijměte výchozí hodnoty karty Disky a pak vyberte Další: Sítě.

  6. Na kartě Sítě ověřte, že je pro virtuální síť vybraná síť myVNet a že je podsíť nastavená na myBackendSubnet.

  7. V části Veřejná IP adresa vyberte Žádná.

  8. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Správa.

  9. Vyberte Další: Monitorování a nastavte Diagnostiku spouštění na Zakázat. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení, opravte všechny chyby ověřování a pak vyberte Vytvořit.

  11. Než budete pokračovat, počkejte na dokončení vytváření virtuálního počítače.

Instalace NGINX pro testování

V tomto příkladu nainstalujete NGINX na virtuální počítače, abyste ověřili, že Azure úspěšně vytvořil aplikační bránu.

  1. Otevřete Cloud Shell Bash. Uděláte to tak, že v horním navigačním panelu Azure Portal vyberete ikonu Cloud Shell a v rozevíracím seznamu vyberete Bash.

    Snímek obrazovky znázorňující Cloud Shell Bash

  2. Spuštěním následujícího příkazu nainstalujte NGINX na virtuální počítač:

     az vm extension set \
 --publisher Microsoft.Azure.Extensions \
 --version 2.0 \
 --name CustomScript \
 --resource-group myResourceGroupAG \
 --vm-name myVM \
 --settings '{ "fileUris": ["https://raw.githubusercontent.com/Azure/azure-docs-powershell-samples/master/application-gateway/iis/install_nginx.sh"], "commandToExecute": "./install_nginx.sh" }'

  3. Vytvořte druhý virtuální počítač a nainstalujte NGINX pomocí těchto kroků, které jste předtím dokončili. Jako název virtuálního počítače použijte myVM2 a pro nastavení --vm-name rutiny.

Přidání back-endových serverů do back-endovém fondu

  1. Vyberte Všechny prostředky a pak vyberte myAppGateway.

  2. V nabídce vlevo vyberte Back-endové fondy .

  3. Vyberte myBackendPool.

  4. V části Typ cíle vyberte v rozevíracím seznamu Virtuální počítač .

  5. V části Cíl vyberte v rozevíracím seznamu přidružené síťové rozhraní pro myVM .

  6. Opakujte pro myVM2.

    Přidání back-endových serverů

  7. Vyberte Uložit.

  8. Než budete pokračovat k dalšímu kroku, počkejte na dokončení nasazení.

Otestování aplikační brány

I když se K vytvoření aplikační brány nevyžaduje NGINX, nainstalovali jste ji, abyste ověřili, jestli Služba Azure úspěšně vytvořila aplikační bránu. Pomocí webové služby otestujte aplikační bránu:

  1. Na stránce Přehled vyhledejte veřejnou IP adresu služby Application Gateway. Snímek obrazovky s Application Gateway veřejnou IP adresou na stránce Přehled

    Nebo můžete vybrat Všechny prostředky, do vyhledávacího pole zadat myAGPublicIPAddress a pak ho vybrat ve výsledcích hledání. Azure zobrazí veřejnou IP adresu na stránce Přehled .

  2. Zkopírujte veřejnou IP adresu a pak ji vložte do adresního řádku svého prohlížeče.

  3. Zkontrolujte odpověď. Platná odpověď ověří, že se služba Application Gateway úspěšně vytvořila a může se úspěšně připojit k back-endu.

    Snímek obrazovky s testováním služby Application Gateway

Vyčištění prostředků

Pokud už nepotřebujete prostředky, které jste vytvořili pomocí služby Application Gateway, odeberte skupinu prostředků. Odebráním skupiny prostředků odeberete také aplikační bránu a všechny související prostředky.

Odebrání skupiny prostředků:

  1. V levé nabídce Azure Portal vyberte Skupiny prostředků.
  2. Na stránce Skupiny prostředků vyhledejte v seznamu myResourceGroupAG a pak ji vyberte.
  3. Na stránce Skupina prostředků vyberte Odstranit skupinu prostředků.
  4. Jako ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte myResourceGroupAG a pak vyberte Odstranit.

Další kroky

Další informace o Web Application Firewall