Brána firewall a Application Gateway pro virtuální sítě

K zabezpečení úloh aplikací Azure se v samotných aplikacích používají ochranná opatření, jako je ověřování a šifrování. Do sítí virtuálních počítačů, které hostí aplikace, můžete také přidat vrstvy zabezpečení. Vrstvy chrání příchozí toky před uživateli. Chrání také odchozí toky do internetu, které vaše aplikace může vyžadovat. Tento článek popisuje služby zabezpečení azure Virtual Network, jako jsou Azure Firewall a Azure Application Gateway, kdy se mají jednotlivé služby používat, a možnosti návrhu sítě, které obě kombinují.

• Azure Firewall je spravovaná brána firewall nové generace, která nabízí překlad adres (NAT). Azure Firewall založit filtrování paketů na IP adresách Internet Protocol a portech TCP/UDP (Transmission Control Protocol a User Datagram Protocol) nebo na atributech HTTP(S) nebo SQL aplikací. Azure Firewall informace o hrozbách microsoftu také použije k identifikaci škodlivých IP adres. Další informace najdete v Azure Firewall .
• Azure Firewall Premium zahrnuje všechny funkce Azure Firewall Standard a dalších funkcí, jako je kontrola protokolu TLS a systém ochrany před neoprávněných vniknutí (IDPS).
• Azure Application Gateway je nástroj pro vyrovnávání zatížení spravovaného webového provozu a úplný reverzní proxy server HTTP(S), který může provést šifrování a dešifrování SSL (Secure Socket Layer). Application Gateway používá Web Application Firewall ke kontrole webového provozu a detekci útoků ve vrstvě HTTP. Další informace najdete v Application Gateway .
• Azure Web Application Firewall (WAF) je volitelný doplněk Azure Application Gateway. Zajišťuje kontrolu požadavků HTTP a zabraňuje škodlivým útokům ve webové vrstvě, jako je SQL injektáž nebo skriptování mezi weby. Další informace najdete v Web Application Firewall .

Tyto služby Azure se vzájemně doplňují. Jedno nebo druhé může být pro vaše úlohy nejvhodnější, nebo je můžete použít společně pro optimální ochranu v síťové i aplikační vrstvě. Pomocí následujícího rozhodovacího stromu a příkladů v tomto článku určete nejlepší možnost zabezpečení pro virtuální síť vaší aplikace.

Azure Firewall a Azure Application Gateway používají různé technologie a podporují sekuritizaci různých toků:

Application Flow	Je možné filtrovat podle Azure Firewall	Filtruje se podle WAF na Application Gateway
Provoz HTTP(S) z místního prostředí nebo internetu do Azure (příchozí)	Yes	Yes
Provoz HTTP(S) z Azure do místního prostředí nebo internetu (odchozí)	Yes	No
Provoz mimo HTTP(S), příchozí/odchozí	Yes	No

V závislosti na síťových tocích, které aplikace vyžaduje, se návrh může pro každou aplikaci lišit. Následující diagram nabízí zjednodušený rozhodovací strom, který pomáhá zvolit doporučený přístup pro aplikaci. Rozhodnutí závisí na tom, jestli je aplikace publikovaná přes http(S) nebo nějaký jiný protokol:

Tento článek se bude vztahovat k široce doporučeným návrhům z vývojového diagramu a dalším, které lze použít v méně běžných scénářích:

• Azure Firewall ,pokud ve virtuální síti nejsou žádné webové aplikace. Bude řídit jak příchozí provoz do aplikací, tak i odchozí provoz.
• Application Gateway ,když jsou ve virtuální síti jenom webové aplikace a skupiny zabezpečení sítě (NSG) poskytují dostatečné filtrování výstupu. Tento scénář se obvykle nedoporučuje kvůli bohaté funkčnosti připojení Azure Firewall NSG. Tato funkce může zabránit mnoha scénářům útoku (například exfiltraci dat), takže tento scénář není zdokumentován ve výše uvedeném vývojovém diagramu.
• Azure Firewall a Application Gateway paralelně, což je jeden z nejběžnějších návrhů. Tuto kombinaci použijte, Azure Application Gateway chcete chránit aplikace HTTP(S) před webovými útoky a Azure Firewall k ochraně všech ostatních úloh a filtrování odchozího provozu.
• Application Gatewaypřed Azure Firewall chcete, aby služba Azure Firewall kontrolovat veškerý provoz, waf pro ochranu webového provozu a aplikaci, aby věděla zdrojovou IP adresu klienta. Díky Azure Firewall Premium a kontrole protokolu TLS tento návrh podporuje také scénář koncového šifrování protokolu SSL.
• Azure Firewall před Application Gateway, když Azure Firewall chcete kontrolovat a filtrovat provoz předtím, než dosáhne Application Gateway. Protože Azure Firewall přenosy HTTPS dešifrují, jsou funkce, které přidávají do Application Gateway omezené. Tento scénář není zdokumentovaný ve výše uvedeném vývojovém diagramu.

V poslední části tohoto článku jsou popsány varianty předchozích základních návrhů. Mezi tyto varianty patří:

• Klienti místních aplikací.
• Centrální a paprskové sítě.
• Azure Kubernetes Service (AKS).

Můžete přidat další služby reverzního proxy serveru, jako API Management bránu nebo Azure Front Door. Nebo můžete prostředky Azure nahradit síťovými virtuálními zařízeními třetích stran.

Azure Firewall jen pro čtení

Pokud ve virtuální síti nejsou žádné webové úlohy, které těží z WAF, můžete použít pouze Azure Firewall prostředí. Návrh je v tomto případě jednoduchý, ale kontrola toku paketů vám pomůže porozumět složitějším návrhům. V tomto návrhu se veškerý příchozí provoz odesílá do Azure Firewall prostřednictvím uživatelsky definovaných směrování (pro připojení z místních nebo jiných virtuálních sítí Azure) nebo se adresuje na veřejnou IP adresu Azure Firewall (pro připojení z veřejného internetu, jak je znázorněno na následujícím diagramu). Odchozí provoz z virtuálních sítí Azure se odesílá do brány firewall prostřednictvím uživatelsky definovaných pravidel, jak je znázorněno v dialogovém okně níže.

Následující tabulka shrnuje toky provozu pro tento scénář:

Tok	Prochází přes Application Gateway / WAF	Prochází Azure Firewall
Provoz HTTP(S) z internetu nebo v cloudu do Azure	–	Ano (viz níže)
Provoz HTTP(S) z Azure do internetu nebo v cloudu	Není k dispozici	Ano
Provoz mimo HTTP(S) z internetu nebo v cloudu do Azure	Není k dispozici	Ano
Provoz mimo HTTP (S) z Azure do internetu nebo v cloudu	Není k dispozici	Ano

Azure Firewall nebude kontrolovat příchozí provoz HTTP(S). Bude ale moct použít pravidla L3/L4 a pravidla aplikací založená na plně kvalifikovaných názevech domény. Azure Firewall bude kontrolovat odchozí provoz HTTP(S) v závislosti na úrovni Azure Firewall a na tom, jestli konfigurujete kontrolu protokolu TLS:

• Azure Firewall Standard bude kontrolovat pouze atributy paketů vrstvy 3-4 v pravidlech sítě a hlavičku HTTP Hostitele v pravidlech aplikace.
• Azure Firewall Premium přidáte možnosti, jako je kontrola dalších hlaviček PROTOKOLU HTTP (například user-agent) a povolení kontroly protokolu TLS pro hlubší analýzu paketů. Azure Firewall není ekvivalentem Web Application Firewall. Pokud máte ve svém pracovním prostředí webové úlohy Virtual Network důrazně doporučujeme používat WAF.

Následující příklad s návodem pro pakety ukazuje, jak klient přistupuje k aplikaci hostované virtuálním počítačům z veřejného internetu. Diagram pro zjednodušení obsahuje pouze jeden virtuální počítač. Kvůli vyšší dostupnosti a škálovatelnosti byste měli za nástroji pro vyrovnávání zatížení více instancí aplikace.

1. Klient spustí připojení k veřejné IP adrese klienta Azure Firewall:
   • Zdrojová IP adresa: ClientPIP
   • Cílová IP adresa: AzFwPIP
2. Pravidlo Azure Firewall překladu adres (DNAT) cílovou IP adresu přeloží na IP adresu aplikace uvnitř virtuální sítě. Pokud Azure Firewall DNAT, nasytá se také zdrojovým natům (SNAT). Další informace najdete v tématu Azure Firewall známé problémy. Virtuální počítač vidí v příchozím paketu následující IP adresy:
   • Zdrojová IP adresa: 192.168.100.7
   • Cílová IP adresa: 192.168.1.4
3. Virtuální počítač odpoví na žádost aplikace a reverzní zdrojovou a cílovou IP adresu. Příchozí tok nevyžaduje trasu definovanou uživatelem, protože zdrojová IP adresa Azure Firewall IP adresa. UDR v diagramu pro 0.0.0.0/0 je pro odchozí připojení, aby se pakety do veřejného internetu prošly přes Azure Firewall.
   • Zdrojová IP adresa: 192.168.1.4
   • Cílová IP adresa: 192.168.100.7
4. Nakonec Azure Firewall neprovede operace SNAT a DNAT a doručí odpověď klientovi:
   • Zdrojová IP adresa: AzFwPIP
   • Cílová IP adresa: ClientPIP

V tomto návrhu Azure Firewall kontroluje příchozí připojení z veřejného Internetu a odchozí připojení z virtuálního počítače podsítě aplikace pomocí nástroje UDR.

• IP adresa 192.168.100.7 je jednou z instancí, které Azure firewall služba nasadí do pokrývání, a to v rámci front-ENDOVÉ IP adresy 192.168.100.4 . Tyto jednotlivé instance jsou obvykle neviditelné pro správce Azure. Ale všímáte rozdíl je užitečný v některých případech, například při řešení problémů se sítí.

• Pokud provoz pochází z místní virtuální privátní sítě (VPN) nebo z brány Azure ExpressRoute namísto Internetu, klient spustí připojení k IP adrese virtuálního počítače. Nespustí připojení k IP adrese brány firewall a brána firewall neprovede žádné zdrojové překlad adres (NAT) na výchozí nastavení.

Pouze Application Gateway

Tento návrh popisuje situaci, kdy ve virtuální síti existují jenom webové aplikace, a kontrola odchozích přenosů pomocí skupin zabezpečení sítě je dostačující k ochraně odchozích toků na Internet.

Hlavním rozdílem z předchozího návrhu jenom s Azure Firewall je to, že Application Gateway nepůsobí jako směrovací zařízení s překladem adres (NAT). Chová se jako plně reverzní proxy aplikace. To znamená, Application Gateway zastaví webovou relaci z klienta a vytvoří samostatnou relaci s jedním z jeho back-end serverů. Příchozí připojení HTTP (S) z Internetu je potřeba odeslat na veřejnou IP adresu Application Gateway, připojení z Azure nebo místně k privátní IP adrese. Návratová data z virtuálních počítačů Azure budou následovat po standardním směrování virtuální sítě zpátky na Application Gateway (Další informace najdete v podrobnostech o průchodu paketů). Odchozí internetové toky z virtuálních počítačů Azure se budou nacházet přímo na internetu.

Následující tabulka shrnuje toky provozu:

Tok	Projde Application Gateway/WAF	Projde Azure Firewall
Provoz HTTP (S) z Internetu/OnPrem do Azure	Yes	–
Provoz HTTP z Azure do Internetu/OnPrem	No	–
Provoz bez HTTP (S) z Internetu nebo OnPrem do Azure	No	–
Provoz bez HTTP (S) z Azure do Internetu/OnPrem	No	–

Následující příklad průchodu paketů ukazuje, jak klient přistupuje k aplikaci hostované pomocí virtuálního počítače z veřejného Internetu.

1. Klient spustí připojení k veřejné IP adrese Application Gateway Azure:
   • Zdrojová IP adresa: ClientPIP
   • Cílová IP adresa: AppGwPIP
2. Instance Application Gateway přijímající požadavek zastaví připojení z klienta a vytvoří nové připojení s jedním z back-endu. Back-end uvidí instanci Application Gateway jako zdrojovou IP adresu. Application Gateway vloží hlavičku HTTP předané-for http s původní IP adresou klienta.
   • Zdrojová IP adresa: 192.168.200.7 (privátní IP adresa instance Application Gateway)
   • Cílová IP adresa: 192.168.1.4
   • Předané X-pro hlavičku: ClientPIP
3. Virtuální počítač odpoví na požadavek aplikace a odchoduje zdrojové a cílové IP adresy. Virtuální počítač už zná způsob, jak dosáhnout Application Gateway, takže nepotřebuje UDR.
   • Zdrojová IP adresa: 192.168.1.4
   • Cílová IP adresa: 192.168.200.7
4. Nakonec Application Gateway instance odpoví klientovi:
   • Zdrojová IP adresa: AppGwPIP
   • Cílová IP adresa: ClientPIP

Azure Application Gateway přidává metadata do hlaviček protokolu HTTP paketů, jako je například hlavička X-předaná-pro , která obsahuje IP adresu původního klienta. Některé aplikační servery potřebují zdrojová IP adresa klienta pro poskytování obsahu specifického pro zeměpisnou polohu nebo pro protokolování. Další informace najdete v tématu Jak funguje Aplikační brána.

• IP adresa 192.168.200.7 je jednou z instancí, které služba Azure Application Gateway nasadí do pokrývání, a to v rámci front-ENDOVÉ IP adresy 192.168.200.4 . Tyto jednotlivé instance jsou obvykle neviditelné pro správce Azure. Ale všímáte rozdíl je užitečný v některých případech, například při řešení problémů se sítí.

• Tok je podobný, pokud klient přichází z místní sítě přes bránu VPN nebo bránu ExpressRoute. Rozdílem je, že klient přistupuje k privátní IP adrese Application Gateway namísto veřejné adresy.

Brána firewall a Application Gateway paralelně

Z důvodu jednoduchosti a flexibility je často nejlepším scénářem spouštění Application Gateway a Azure Firewall paralelně.

Tento návrh implementujte v případě, že ve virtuální síti existuje kombinace webových a newebových úloh. Azure WAF chrání příchozí provoz na webové úlohy a Azure Firewall kontroluje příchozí provoz pro ostatní aplikace. Azure Firewall budou zahrnovat odchozí toky z obou typů úloh.

Příchozí připojení HTTP (S) z Internetu by se měla odeslat na veřejnou IP adresu Application Gateway, připojení HTTP (S) z Azure nebo místně ke své privátní IP adrese. Standardní směrování virtuální sítě pošle pakety z Application Gateway do cílových virtuálních počítačů a taky z cílových virtuálních počítačů zpátky do Application Gateway (další podrobnosti najdete v podrobnostech o paketu). U příchozích připojení bez protokolu HTTP (S) by měl provoz cílit na veřejnou IP adresu Azure Firewall (pokud přichází z veřejného Internetu), nebo se pošle prostřednictvím Azure Firewall udr (pokud přicházejí z jiných virtuální sítě nebo místních sítí). Všechny odchozí toky z virtuálních počítačů Azure se předají do Azure Firewall od udr.

Následující tabulka shrnuje toky přenosů pro tento scénář:

Tok	Projde Application Gateway/WAF	Projde Azure Firewall
Provoz HTTP (S) z Internetu/OnPrem do Azure	Yes	No
Provoz HTTP z Azure do Internetu/OnPrem	No	Yes
Provoz bez HTTP (S) z Internetu nebo OnPrem do Azure	No	Yes
Provoz bez HTTP (S) z Azure do Internetu/OnPrem	No	Yes

Tento návrh poskytuje mnohem podrobnější filtrování odchozích dat než skupin zabezpečení sítě. pokud se aplikace potřebují připojit ke konkrétnímu Azure Storage účtu, můžete použít filtry založené na plně kvalifikovaném názvu domény (FQDN). Při použití filtrů založených na plně kvalifikovaném názvu domény neodesílají aplikace data do neautorizovaných účtů úložiště. Tomuto scénáři nebylo možné zabránit pouze pomocí skupin zabezpečení sítě. Tento návrh se často používá tam, kde odchozí provoz vyžaduje filtrování založené na plně kvalifikovaném názvu domény. Jednou z ukázkových situací je omezení odchozího provozu z clusteru služeb Azure Kubernetes Services.

Následující diagram znázorňuje tok přenosů příchozích připojení z vnějšího klienta:

Následující diagram znázorňuje tok přenosů odchozích připojení ze síťových virtuálních počítačů na Internet. Jedním z příkladů je připojit se k back-end systémům nebo získat aktualizace operačního systému:

Postup toku paketů pro každou službu je stejný jako v předchozích možnostech samostatného návrhu.

Application Gateway před bránou firewall

U této možnosti prochází příchozí webový provoz přes Azure Firewall i WAF. WAF poskytuje ochranu ve vrstvě webové aplikace. Azure Firewall funguje jako centrální protokolovací a řídicí bod a prověřuje provoz mezi Application Gateway a back-end servery. Aplikace Application Gateway a Azure Firewall nesedí paralelně, ale jedna po druhé.

V Azure Firewall Premiummůže tento návrh podporovat scénáře od konce, kdy Azure Firewall aplikuje kontrolu protokolu TLS na zašifrovaný provoz mezi Application Gateway a webovým back-endem.

Tento návrh je vhodný pro aplikace, které potřebují znát příchozí ZDROJOVÉ IP adresy klientů, například k obsloužit obsah specifický pro geografickou polohu nebo pro protokolování. Azure Firewall SNATs příchozí provoz a změní původní zdrojovou IP adresu. Application Gateway před Azure Firewall zachytí zdrojovou IP adresu příchozího paketu v hlavičce X-forwarded-for, aby webový server viděl původní IP adresu v této hlavičce. Další informace najdete v tématu Jak funguje aplikační brána.

Příchozí připojení HTTP(S) z internetu se musí odeslat na veřejnou IP adresu připojení Application Gateway, HTTP(S) z Azure nebo z místního prostředí na privátní IP adresu. Z následujícího Application Gateway trasy definované u uživatele se ujistěte, že se pakety směruje přes Azure Firewall (další podrobnosti najdete v části o paketu níže). U příchozích připojení bez http(S) by provoz měl být cílený na veřejnou IP adresu Azure Firewall (pokud pochází z veřejného internetu), nebo ho budou prostřednictvím protokolu Azure Firewall odesílat uživatelská pravidla (pokud přicházejí z jiných virtuálních sítí Azure nebo místních sítí). Všechny odchozí toky z virtuálních počítače Azure se budou předávat službě Azure Firewall definovanými definovanými funkcemi.

Následující tabulka shrnuje toky provozu pro tento scénář:

Tok	Prochází přes Application Gateway / WAF	Prochází Azure Firewall
Provoz HTTP(S) z internetu nebo v cloudu do Azure	Yes	Yes
Provoz HTTP(S) z Azure do internetu nebo v cloudu	No	Yes
Provoz mimo HTTP(S) z internetu nebo v cloudu do Azure	No	Yes
Provoz mimo HTTP (S) z Azure do internetu nebo v cloudu	No	Yes

U webového provozu z místního prostředí nebo z internetu do Azure bude Azure Firewall toky, které waf už povolený. V závislosti na Application Gateway, jestli aplikace šifruje back-endový provoz (provoz z Application Gateway na aplikační servery), budete mít dva různé potenciální scénáře:

1. Metoda Application Gateway provoz podle principů nulové důvěryhodnosti (šifrování KONCOVÉho šifrováníTLS)a Azure Firewall bude přijímat šifrovaný provoz. Přesto bude Azure Firewall Standard moct používat pravidla kontroly, jako je filtrování L3/L4 v pravidlech sítě nebo filtrování plně kvalifikovaných názvu domény v pravidlech aplikací pomocí hlavičky TLS Indikace názvu serveru (SNI). Azure Firewall Premium zviditelníte pomocí IDPS, jako je například filtrování na základě adresy URL.
2. Pokud Application Gateway odesílající nešifrovaný provoz na aplikační servery, Azure Firewall příchozí provoz ve formátu nešifrovaný text. Kontrola protokolu TLS není v tomto Azure Firewall.
3. Pokud je idps povolený v Azure Firewall, ověří, že hlavička hostitele HTTP odpovídá cílové IP adrese. K tomuto účelu bude potřebovat překlad adres IP pro plně kvalifikovaný název domény, který je zadaný v hlavičce hostitele. Tohoto překladu názvů lze dosáhnout pomocí Azure DNS Private Zones a výchozího nastavení Azure Firewall DNS pomocí Azure DNS. Toho lze dosáhnout také pomocí vlastních serverů DNS, které je potřeba nakonfigurovat v Azure Firewall nastavení. (Další informace najdete v tématu Azure Firewall DNS Nastavení.) Pokud neexistuje přístup pro správu k Virtual Network, Azure Firewall je nasazená druhá metoda, je jedinou možností. Jedním z příkladů je nasazení služby Azure Firewalls Virtual WAN zabezpečených center.

U zbývajících toků (příchozí provoz mimo HTTP(S) a všech odchozích přenosů) bude Azure Firewall tam, kde je to vhodné, kontrolu IDPS a kontrolu protokolu TLS. Poskytuje také filtrování na základě plně kvalifikovaných názvů domén v pravidlech sítě na základě DNS.

Síťový provoz z veřejného internetu se řídí tímto tokem:

1. Klient spustí připojení k veřejné IP adrese Azure Application Gateway:
   • Zdrojová IP adresa: ClientPIP
   • Cílová IP adresa: AppGwPIP
2. Instance Application Gateway zastaví připojení z klienta a navádí nové připojení s jedním z back-endsů. UDR do v podsíti Application Gateway předá paket do Azure Firewall a zachová cílovou IP adresu 192.168.1.0/24 webové aplikaci:
   • Zdrojová IP adresa: 192.168.200.7 (privátní IP adresa Application Gateway instance)
   • Cílová IP adresa: 192.168.1.4
   • Hlavička X-Forwarded-For: ClientPIP
3. Azure Firewall neSNAT provoz, protože provoz bude na privátní IP adresu. Pokud to pravidla umožňují, předá provoz do virtuálního počítače aplikace. Další informace najdete v tématu Azure Firewall SNAT.
   • Zdrojová IP adresa: 192.168.200.7 (privátní IP adresa Application Gateway instance)
   • Cílová IP adresa: 192.168.1.4
   • Hlavička X-Forwarded-For: ClientPIP
4. Virtuální počítač odpoví na požadavek a reverzní zdrojovou a cílovou IP adresu. UDR zachytí paket odeslaný zpět do Application Gateway a přesměruje ho na Azure Firewall a zachová cílovou IP adresu směrem 192.168.200.0/24 k Application Gateway.
   • Zdrojová IP adresa: 192.168.1.4
   • Cílová IP adresa: 192.168.200.7
5. Tady opět Azure Firewall SNAT provoz, protože se chystá na privátní IP adresu a přeposílá provoz do Application Gateway.
   • Zdrojová IP adresa: 192.168.1.4
   • Cílová IP adresa: 192.168.200.7
6. A konečně, Application Gateway instance odpoví klientovi:
   • Zdrojová IP adresa: AppGwPIP
   • Cílová IP adresa: ClientPIP

Odchozí toky z virtuálních počítače do veřejného internetu prochádí Azure Firewall, jak definuje UDR na 0.0.0.0/0 .

Application Gateway po bráně firewall

Tento návrh umožňuje Azure Firewall a zahodit škodlivý provoz před tím, než dosáhne Application Gateway. Může například používat funkce, jako je filtrování na základě inteligence hrozeb. Další výhodou je, že aplikace získá stejnou veřejnou IP adresu pro příchozí i odchozí provoz.

V tomto scénáři je omezená výhoda, protože Azure Firewall uvidí jenom šifrovaný provoz, který bude do Application Gateway. Tento návrh se může preferovat v některých scénářích. Jedním z případů je, pokud je v síti starší jiný WAF (například s Azure Front Door). Nebo se návrh upřednostní, pokud je potřeba mnoho veřejných IP adres.

Příchozí toky HTTP(S) z veřejného internetu by měly cílit na veřejnou IP adresu Azure Firewall a Azure Firewall dnatuje pakety na privátní IP adresu Application Gateway. Z jiných virtuálních sítí Azure nebo místních sítí by se provoz HTTP(S) měl odeslat na IP adresu Application Gateway a předávat přes protokol Azure Firewall s uživatelsky definovanými funkcemi. Standardní směrování virtuální sítě bude zajistit, aby se návratový provoz z virtuálních Application Gateway Azure vracel do Application Gateway, a pokud se použila pravidla DNAT, Application Gateway do Azure Firewall virtuální sítě. Pro provoz z místních prostředků nebo azure URS v podsíti Application Gateway (další podrobnosti najdete v části s podrobnostmi o paketech). Všechny odchozí přenosy z virtuálních počítače Azure do internetu budou odesílány prostřednictvím Azure Firewall definovanými funkcemi.

Následující tabulka shrnuje toky provozu pro tento scénář:

Tok	Prochází přes Application Gateway / WAF	Prochází Azure Firewall
Provoz HTTP(S) z internetu nebo v cloudu do Azure	Yes	Ano (viz níže)
Provoz HTTP(S) z Azure do internetu nebo v cloudu	No	Yes
Provoz mimo HTTP(S) z internetu nebo v cloudu do Azure	No	Yes
Provoz mimo HTTP (S) z Azure do internetu nebo v cloudu	No	Yes

Pro příchozí přenos HTTP (S) by Azure Firewall obvykle nešifroval provoz. Místo toho by se použily zásady zprostředkovatelů identity, které nevyžadují kontrolu TLS, jako je filtrování založené na protokolu IP nebo použití hlaviček protokolu HTTP.

Aplikace nemůže zobrazit původní zdrojovou IP adresu webového provozu; Azure Firewall SNATs pakety tak, jak se přidávají do virtuální sítě. Chcete-li se tomuto problému vyhnout, použijte před bránou firewall přední dveře Azure . Přední dvířka Azure vloží IP adresu klienta jako hlavičku protokolu HTTP předtím, než vstoupí do virtuální sítě Azure.

Tento tok sleduje síťový provoz z veřejného Internetu:

1. Klient spustí připojení k veřejné IP adrese Azure Firewall:
   • Zdrojová IP adresa: ClientPIP
   • Cílová IP adresa: AzFWPIP
2. Azure Firewall DNATs webový port, obvykle TCP 443, na soukromou IP adresu instance Application Gateway. Při DNAT se Azure Firewall taky SNATs. Další informace najdete v tématu Azure firewall známé problémy:
   • Zdrojová IP adresa: 192.168.100.7 (privátní IP adresa instance Azure Firewall)
   • Cílová IP adresa: 192.168.200.4
3. Application Gateway vytváří novou relaci mezi instancí, která zpracovává připojení, a jedním ze serverů back-end. Původní IP adresa klienta není v paketu:
   • Zdrojová IP adresa: 192.168.200.7 (privátní IP adresa instance Application Gateway)
   • Cílová IP adresa: 192.168.1.4
   • Předané X-pro hlavičku: 192.168.100.7
4. Virtuální počítač odpoví na Application Gateway a odchoduje zdrojové a cílové IP adresy:
   • Zdrojová IP adresa: 192.168.1.4
   • Cílová IP adresa: 192.168.200.7
5. Application Gateway odpoví na IP adresu zdroje SNAT instance Azure Firewall. I v případě, že připojení přichází z konkrétní instance Application Gateway jako .7 , Azure firewall se jako zdrojová IP adresa zobrazuje interní IP adresa Application Gateway .4 :
   • Zdrojová IP adresa: 192.168.200.4
   • Cílová IP adresa: 192.168.100.7
6. Nakonec Azure Firewall odDNAT SNAT a pak odpoví na klienta:
   • Zdrojová IP adresa: AzFwPIP
   • Cílová IP adresa: ClientPIP

I v případě, že Application Gateway nemá pro aplikace nakonfigurované žádné naslouchací procesy, bude stále potřebovat veřejnou IP adresu, aby ji Microsoft mohl spravovat.

Místní klienti

Předchozí návrhy ukazují, že klienti aplikace přicházejí z veřejného Internetu. K aplikacím mají přístup i místní sítě. Většina předchozích informací a toků provozu je stejná jako u internetových klientů, ale existují významné rozdíly:

• Brána sítě VPN nebo brána ExpressRoute je umístěna před Azure Firewall nebo Application Gateway.
• WAF používá soukromou IP adresu Application Gateway.
• Azure Firewall nepodporuje DNAT u privátních IP adres. To je důvod, proč je nutné použít udr k odeslání příchozího provozu do Azure Firewall z bran VPN nebo ExpressRoute.
• Ujistěte se, že jste ověřili upozornění kolem vynuceného tunelování pro Azure Application Gateway a pro Azure firewall. I když vaše úlohy nepotřebují odchozí připojení k veřejnému Internetu, nemůžete vložit výchozí trasu jako 0.0.0.0/0 pro Application Gateway, která odkazuje na místní síť, nebo přerušit provoz řízení. V případě Azure Application Gateway musí výchozí trasa ukazovat na veřejný Internet.

Následující diagram znázorňuje Azure Application Gateway a Azure Firewall paralelní návrh. Aplikační klienti pocházejí z místní sítě připojené k Azure prostřednictvím sítě VPN nebo ExpressRoute:

I když se všichni klienti nacházejí místně nebo v Azure, Application Gateway Azure a Azure Firewall musí mít veřejné IP adresy. Veřejné IP adresy umožňují Microsoftu spravovat služby.

Topologie hvězdicové architektury

Návrhy v tomto článku se pořád týkají topologie hvězdicové topologie. Sdílené prostředky ve virtuální síti centrálního centra se připojují k aplikacím v samostatných virtuálních sítích rozbočovače prostřednictvím partnerských vztahů virtuálních sítí.

Mezi další okolnosti pro tuto topologii patří:

• Azure Firewall je nasazený ve virtuální síti centrálního centra. Týmy aplikací často spravují komponenty, jako jsou služby Azure Application Gateway nebo brány Azure API Management, i když. Tyto součásti jsou nasazené ve virtuálních sítích paprsků.
• Věnujte zvláštní pozornost Udrům v sítích paprsků: Když aplikační server v paprsku přijímá přenosy z konkrétní instance Azure Firewall, jako je 192.168.100.7 třeba adresa v předchozích příkladech, měla by odeslat návratový provoz zpátky do stejné instance. Pokud UDR na paprske nastaví další směrování provozu adresovaného na rozbočovač na Azure Firewall IP adresu ( 192.168.100.4 v diagramech výše), může návratové pakety končit jinou instancí Azure firewall, což způsobuje asymetrické směrování. Zajistěte, aby v případě, že jste Udri v paprskovém virtuální sítě pro odesílání provozu do sdílených služeb v centru prostřednictvím Azure Firewall, neobsahovaly tyto udr předponu Azure Firewall podsítě.
• Předchozí doporučení platí stejně pro Application Gateway podsíť a všechna další síťová virtuální zařízení nebo reverzní proxy servery, které by mohly být nasazeny ve virtuální síti centra.
• Další segment směrování pro Application Gateway ani Azure Firewall podsítě můžete nastavit pomocí statických tras s typem dalšího segmentu směrování Virtual Network . Tento typ dalšího segmentu směrování je platný jenom v místní síti VNet, nikoli v rámci partnerských vztahů virtuální sítě. Další informace o trasách definovaných uživatelem a dalších typech směrování najdete v tématu směrování provozu virtuální sítě.

Následující diagram znázorňuje, jak paprsek odesílá back-SNATted provoz zpět do ALB Azure Firewall. Tato instalace způsobuje asymetrické směrování:

Chcete-li tento problém vyřešit, definujte udr na paprske bez Azure Firewall podsítě, ale pouze s podsítěmi, ve kterých jsou umístěny sdílené služby. V tomto příkladu by měly být v paprskech správné UDR obsahovat pouze 192.168.1.0/24. Neměl by obsahovat celé 192.168.0.0/16 označený červeně.

Integrace s dalšími produkty Azure

Můžete integrovat Azure Firewall a Azure Application Gateway s dalšími produkty a službami Azure.

Brána API Management

Integrujte služby reverzního proxy serveru, jako je API Management Gateway, do předchozích návrhů, abyste poskytovali funkce jako omezování rozhraní API nebo ověřování proxy. Integrace API Management brány významně nemění návrhy. Hlavním rozdílem je, že místo jednoho Application Gateway reverzního proxy serveru existují dva reverzní proxy servery, které jsou navzájem zřetězené.

Další informace najdete v Průvodci návrhem pro integraci API Management a Application Gateway ve virtuální síti a branách rozhraní API pro model aplikace pro mikroslužby.

Azure Kubernetes Service

Pro úlohy běžící v clusteru AKS můžete nasadit Azure Application Gateway nezávisle na clusteru. Nebo ho můžete integrovat s clusterem AKS pomocí kontroleru Azure Application Gatewaypříchozího přenosu dat. Při konfiguraci určitých objektů na úrovních Kubernetes (například služeb a příchozích přenosů) se Application Gateway automaticky přizpůsobí bez nutnosti dalšího ručního postupu.

Azure Firewall hraje důležitou roli v zabezpečení clusteru AKS. Nabízí požadovanou funkci pro filtrování odchozího provozu z clusteru AKS na základě plně kvalifikovaného názvu domény, nikoli jenom IP adresy. Další informace najdete v tématu řízení provozu odchozích dat pro uzly clusteru AKS.

Při kombinaci Application Gateway a Azure Firewall k ochraně clusteru AKS je nejvhodnější použít možnost paralelního návrhu. Application Gateway s WAF zpracovává požadavky na příchozí připojení webovým aplikacím v clusteru. Azure Firewall povoluje pouze explicitně povolená odchozí připojení.

Azure Front Door

Funkce front-dveří Azure se částečně překrývají s Azure Application Gateway. Obě služby jsou například nabízené firewally webových aplikací, snižování zátěže SSL a směrování na základě adresy URL. Jednou z hlavních rozdílů je, že když je Azure Application Gateway ve virtuální síti, je předními dveřmi Azure globální, decentralizovaná služba.

V některých případech můžete návrh virtuální sítě zjednodušit nahrazením Application Gateway s decentralizovanými předními dvířky Azure. Většina popsaných návrhů zůstane platná, s výjimkou možnosti umístění Azure Firewall před předními dvířky Azure.

Zajímavý případ použití používá Azure Firewall před Application Gateway ve vaší virtuální síti. Jak bylo popsáno výše, X-Forwarded-For Hlavička vložená Application Gateway bude obsahovat IP adresu instance brány firewall, nikoli IP adresu klienta. Alternativním řešením je použít přední dvířka Azure před bránou firewall a vložit IP adresu klienta jako X-Forwarded-For hlavičku předtím, než vstoupí do virtuální sítě a narazí na Azure firewall.

Další informace o rozdílech mezi těmito dvěma službami nebo o tom, kdy je chcete použít, najdete v tématu Nejčastější dotazy pro přední dveře Azure.

Další síťová virtuální zařízení

Produkty společnosti Microsoft nejsou jedinou volbou pro implementaci brány firewall webových aplikací nebo funkce brány firewall nové generace v Azure. Celá řada partnerů Microsoftu poskytuje síťová virtuální zařízení (síťová virtuální zařízení). Koncepty a návrhy jsou v podstatě stejné jako v tomto článku, ale existují některé důležité skutečnosti:

• Partnerská síťová virtuální zařízení pro bránu firewall nové generace může nabídnout lepší kontrolu a flexibilitu konfigurací NAT, které Azure Firewall nepodporuje. Mezi příklady patří DNAT z místního nebo DNAT z Internetu bez SNAT.
• Síťová virtuální zařízení spravované v Azure (například Application Gateway a Azure Firewall) snižují složitost v porovnání s síťová virtuální zařízení, kde uživatelé potřebují ke zpracování škálovatelnosti a odolnosti napříč mnoha zařízeními.
• Při použití síťová virtuální zařízení v Azure použijte nastavení aktivní – aktivní a automatické škálování , takže tato zařízení nejsou pro aplikace běžící ve virtuální síti kritická.

Další kroky

Další informace o technologiích komponent:

• Co je Azure Application Gateway?
• Co je brána Azure Firewall?
• Co je Azure Front Door?
• Azure Kubernetes Service
• Co je Azure Virtual Network?
• Co je Firewall webových aplikací Azure?

Prozkoumejte související architektury:

• Implementace zabezpečené hybridní sítě
• Bezpečně spravované webové aplikace
• zabezpečení Microsoft Teams robota a webové aplikace za bránou firewall
• Portál pro stav spotřebitele v Azure
• Aspekty zabezpečení pro vysoce citlivé aplikace IaaS v Azure
• SaaS pro více tenantů v Azure
• Podnikové nasazení s využitím funkce App Services Environment
• Vysoce dostupné podnikové nasazení s využitím funkce App Services Environment
• Základní architektura pro cluster Azure Kubernetes Service (AKS)