Kurz: Vytvoření aplikační brány s Web Application Firewall pomocí Azure Portal

  • Článek
  • 8 min ke čtení

V tomto kurzu se ukáže, jak pomocí Azure Portal vytvořit Application Gateway s Web Application Firewall (WAF). WAF používá k ochraně aplikace pravidla OWASP. Tato pravidla zahrnují ochranu před útoky, jako je injektáž SQL, skriptování mezi weby a krádeže relací. Po vytvoření aplikační brány ji otestujte, abyste se ujistili, že funguje správně. Pomocí Azure Application Gateway můžete směrovat webový provoz aplikace do konkrétních prostředků přiřazením naslouchacích aplikací k portům, vytvářením pravidel a přidáváním prostředků do back-endového fondu. Pro zjednodušení tento kurz používá jednoduché nastavení s veřejnou front-endovou IP adresou, základní naslouchací proces pro hostování jedné lokality v této aplikační bráně, dva virtuální počítače používané pro back-endový fond a základní pravidlo směrování požadavků.

V tomto kurzu se naučíte:

  • Vytvořit aplikační bránu se zapnutým Firewallem webových aplikací
  • Vytvoření virtuálních počítačů použitých jako back-endové servery
  • Vytvoření účtu úložiště a konfigurace diagnostiky
  • Otestování aplikační brány

Příklad firewallu webových aplikací

Poznámka

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Přihlášení k Azure

Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.

Vytvoření brány Application Gateway

  1. V nabídce vlevo na panelu vyberte Vytvořit Azure Portal. Zobrazí se okno Nový.

  2. Vyberte Sítě a pak Application Gateway v seznamu Doporučené.

Karta Základy

  1. Na kartě Základy zadejte tyto hodnoty pro následující nastavení služby Application Gateway:

    • Skupina prostředků: Jako skupinu prostředků vyberte myResourceGroupAG. Pokud neexistuje, vytvořte ji výběrem možnosti Vytvořit nový.

    • Název služby Application Gateway: Jako název aplikační brány zadejte myAppGateway.

    • Úroveň: Vyberte WAF V2.

      Vytvoření nové aplikační brány: Základy

  2. Aby Azure komunikoval mezi prostředky, které vytvoříte, potřebuje virtuální síť. Můžete buď vytvořit novou virtuální síť, nebo použít existující. V tomto příkladu vytvoříte novou virtuální síť současně s vytvořením aplikační brány. Application Gateway se vytvářejí v samostatných podsítích. V tomto příkladu vytvoříte dvě podsítě: jednu pro aplikační bránu a druhou pro back-endové servery.

    V části Konfigurovat virtuální síť vyberte Vytvořit novou a vytvořte novou virtuální síť. V okně Vytvořit virtuální síť, které se otevře, zadejte následující hodnoty pro vytvoření virtuální sítě a dvou podsítí:

    • Název: Jako název virtuální sítě zadejte myVNet.

    • Název podsítě (Application Gateway podsítě): V mřížce Podsítě se zobrazí podsíť s názvem Výchozí. Změňte název této podsítě na myAGSubnet.
      Podsíť aplikační brány může obsahovat jenom aplikační brány. Nejsou povoleny žádné jiné prostředky.

    • Název podsítě (podsíť back-endového serveru): Na druhém řádku mřížky Podsítě zadejte myBackendSubnet do sloupce Název podsítě.

    • Rozsah adres (podsíť back-endového serveru): Na druhém řádku mřížky podsítí zadejte rozsah adres, který se nepřekrývá s rozsahem adres podsítě myAGSubnet. Pokud je například rozsah adres myAGSubnet 10.21.0.0/24, jako rozsah adres myBackendSubnet zadejte 10.21.1.0/24.

    Výběrem OK zavřete okno Vytvořit virtuální síť a uložte nastavení virtuální sítě.

    Vytvoření nové aplikační brány: virtuální síť

  3. Na kartě Základy přijměte výchozí hodnoty pro ostatní nastavení a pak vyberte Další: Front-endy.

Karta Front-endy

  1. Na kartě Front-endy ověřte, že typ IP adresy front-endu je nastavený na Veřejný.
    Ip adresu front-endu můžete nakonfigurovat tak, aby byla veřejná nebo soukromá podle vašeho případu použití. V tomto příkladu zvolíte veřejnou IP adresu front-endu.

    Poznámka

    V případě SKU Application Gateway v2 můžete zvolit jenom veřejnou konfiguraci IP adresy front-endu. V tuto chvíli není u této SKU verze V2 povolená soukromá konfigurace IP adresy front-endu.

  2. Zvolte možnost Přidat nový pro veřejnou IP adresu a jako název veřejné IP adresy zadejte myAGPublicIPAddress a pak vyberte OK.

    Vytvořit novou aplikační bránu: front-endové

  3. Vyberte Další: back-endy.

Karta back-endy

Back-end fond slouží ke směrování požadavků na servery back-end, které obsluhují požadavek. Back-endové fondy se dají skládat ze síťových adaptérů, virtuálních počítačů a virtuálních IP adres, interních IP adres, plně kvalifikovaných názvů domény (FQDN) a back-endu s více klienty, jako je Azure App Service. V tomto příkladu vytvoříte prázdný back-end fond s aplikační bránou a později přidáte cíle back-end do fondu back-end.

  1. Na kartě back- endy vyberte Přidat back-end fond.

  2. V okně Přidat fond back-end , které se otevře, zadejte následující hodnoty a vytvořte prázdný back-end fond:

    • Název: jako název back-end fondu zadejte myBackendPool .
    • Přidat back-end fond bez cílů: vyberte Ano , pokud chcete vytvořit back-end fond bez cílů. Po vytvoření aplikační brány přidáte cíle back-endu.

  3. V okně Přidat fond back-endu vyberte Přidat a uložte konfiguraci fondu back-end a vraťte se na kartu back- endy .

    Vytvořit novou aplikační bránu: back-endy

  4. Na kartě back-endy vyberte Další: Konfigurace.

Karta konfigurace

Na kartě Konfigurace se připojíte k front-endovému a back-endovému fondu, který jste vytvořili pomocí pravidla směrování.

  1. Ve sloupci pravidla směrování vyberte Přidat pravidlo směrování .

  2. V okně Přidat pravidlo směrování, které se otevře, jako Název pravidla zadejte myRoutingRule.

  3. Pravidlo směrování vyžaduje naslouchací proces. Na kartě Naslouchací proces v okně Přidat pravidlo směrování zadejte pro naslouchací proces následující hodnoty:

    • Název naslouchacího procesu: Jako název naslouchacího procesu zadejte myListener.

    • Front-endová IP adresa: Vyberte Veřejná a zvolte veřejnou IP adresu, kterou jste vytvořili pro front-end.

      Přijměte výchozí hodnoty pro ostatní nastavení na kartě Naslouchací proces a pak vyberte kartu Cíle back-endu a nakonfigurujte zbytek pravidla směrování.

    Vytvoření nové aplikační brány: naslouchací proces

  4. Na kartě Cíle back-endu jako Cíl back-endu vyberte myBackendPool.

  5. Pro nastavení HTTP vyberte Přidat nové a vytvořte nové nastavení HTTP. Nastavení HTTP určuje chování pravidla směrování. V okně Přidat nastavení HTTP, které se otevře, jako název nastavení HTTP zadejte myHTTPSetting. V okně Přidat nastavení HTTP přijměte výchozí hodnoty pro ostatní nastavení a pak se výběrem možnosti Přidat vraťte do okna Přidat pravidlo směrování.

    Vytvoření nové aplikační brány: Nastavení HTTP

  6. V okně Přidat pravidlo směrování výběrem možnosti Přidat uložte pravidlo směrování a vraťte se na kartu Konfigurace.

    Vytvoření nové aplikační brány: pravidlo směrování

  7. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

Karta Zkontrolovat a vytvořit

Zkontrolujte nastavení na kartě Zkontrolovat a vytvořit a pak výběrem možnosti Vytvořit vytvořte virtuální síť, veřejnou IP adresu a aplikační bránu. Vytvoření aplikační brány v Azure může trvat několik minut.

Než se přesunete k další části, počkejte na úspěšné dokončení nasazení.

Přidat cíle back-endu

V tomto příkladu budete jako cílový back-end používat virtuální počítače. Můžete buď použít stávající virtuální počítače, nebo vytvořit nové. Vytvoříte dva virtuální počítače, které Azure používá jako servery back-end pro službu Application Gateway.

Uděláte to takto:

  1. Vytvořte dva nové virtuální počítače, myVM a myVM2, které se budou používat jako servery back-end.
  2. Nainstalujte službu IIS na virtuální počítače, abyste ověřili, že se služba Application Gateway úspěšně vytvořila.
  3. Přidejte back-end servery do fondu back-end.

Vytvoření virtuálního počítače

  1. V Azure Portal vyberte vytvořit prostředek. Zobrazí se nové okno.

  2. V seznamu oblíbených vyberte Windows Server 2019 Datacenter . Zobrazí se stránka vytvořit virtuální počítač .
    Application Gateway může směrovat provoz na libovolný typ virtuálního počítače, který se používá v jeho fondu back-endu. V tomto příkladu použijete Windows Server 2019 Datacenter.

  3. Zadejte tyto hodnoty na kartě základy pro následující nastavení virtuálního počítače:

    • Skupina prostředků: pro název skupiny prostředků vyberte myResourceGroupAG .
    • Název virtuálního počítače: jako název virtuálního počítače zadejte myVM .
    • Uživatelské jméno: zadejte název uživatelského jména správce.
    • Heslo: zadejte heslo pro heslo správce.
    • Veřejné příchozí porty: vyberte žádné.

  4. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Disky.

  5. Přijměte výchozí hodnoty na kartě Disky a pak vyberte Další: Sítě.

  6. Na kartě Sítě ověřte, že virtuální síť myVNet je vybraná a podsíť je nastavená na myBackendSubnet.

  7. V oblasti Veřejná IP adresa vyberte Žádná.

  8. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Správa.

  9. Na kartě Správa nastavte možnost Diagnostika spouštění na Hodnotu Zakázat. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  10. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení, opravte všechny chyby ověřování a pak vyberte Vytvořit.

  11. Než budete pokračovat, počkejte na dokončení vytváření virtuálního počítače.

Instalace služby IIS pro testování

V tomto příkladu nainstalujete službu IIS na virtuální počítače pouze za účelem ověření, že Azure úspěšně vytvořil aplikační bránu.

  1. Otevřete Azure PowerShell. Pokud to chcete udělat, Cloud Shell horním navigačním panelu seznamu Azure Portal pak v rozevíracím seznamu vyberte PowerShell.

    Instalace vlastního rozšíření

  2. Nastavte parametr umístění pro prostředí a spuštěním následujícího příkazu nainstalujte službu IIS na virtuální počítač:

    Set-AzVMExtension `
  -ResourceGroupName myResourceGroupAG `
  -ExtensionName IIS `
  -VMName myVM `
  -Publisher Microsoft.Compute `
  -ExtensionType CustomScriptExtension `
  -TypeHandlerVersion 1.4 `
  -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
  -Location EastUS

  3. Vytvořte druhý virtuální počítač a nainstalujte službu IIS pomocí dříve dokončených kroků. Jako název virtuálního počítače a pro nastavení VMName rutiny Set-AzVMExtension použijte myVM2.

Přidání back-endových serverů do back-endových fondu

  1. Vyberte Všechny prostředky a pak vyberte myAppGateway.

  2. V levé nabídce vyberte Back-endové fondy.

  3. Vyberte myBackendPool.

  4. V části cílový typ vyberte z rozevíracího seznamu možnost virtuální počítač .

  5. V části cíl vyberte v rozevíracím seznamu přidružené síťové rozhraní pro myVM .

  6. Opakujte pro myVM2.

    Přidání back-endových serverů

  7. Vyberte Uložit.

  8. Než budete pokračovat k dalšímu kroku, počkejte na dokončení nasazení.

Všechna přizpůsobení a nastavení WAF se nacházejí v samostatném objektu, který se nazývá zásady WAF. Zásada musí být přidružená k vašemu Application Gateway.

Vytvoří základní zásady WAF se sadou spravovaných výchozích pravidel (DRS).

  1. V levé horní části portálu vyberte vytvořit prostředek. Vyhledejte WAF, vyberte Firewall webových aplikací a pak vyberte vytvořit.

  2. Na stránce vytvořit zásadu WAF na kartě základy zadejte nebo vyberte následující informace, u zbývajících nastavení přijměte výchozí hodnoty a pak vyberte zkontrolovat + vytvořit:

    Nastavení Hodnota
    Zásady pro Oblastní WAF (Application Gateway)
    Předplatné Vyberte název vašeho předplatného.
    Skupina prostředků Vybrat myResourceGroupAG
    Název zásad Zadejte jedinečný název pro zásady WAF.

  3. Vyberte Další: spravovaná pravidla.

  4. Přijměte výchozí hodnoty a pak vyberte Další: nastavení zásad.

  5. Přijměte výchozí nastavení a potom vyberte Další: vlastní pravidla.

  6. Vyberte Další: přidružení.

  7. Vyberte Přidat přidružení a pak vyberte Application Gateway.

  8. Zaškrtněte políčko použít konfiguraci zásad firewallu webových aplikací, a to i v případě, že se liší od aktuální konfigurace.

  9. Vyberte Přidat.

    Poznámka

    Pokud přiřadíte zásadu k vašemu Application Gateway (nebo naslouchacího procesu), který už má zásady nastavené, přepíše se původní zásada a nahradí se novými zásadami.

  10. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

Otestování aplikační brány

I když služba IIS není nutná k vytvoření aplikační brány, nainstalujete ji, abyste ověřili, jestli Azure úspěšně vytvořil Aplikační bránu. Použijte službu IIS k otestování služby Application Gateway:

  1. Na stránce s přehledem vyhledejte veřejnou IP adresu pro aplikační bránu. Záznam veřejné IP adresy aplikační brány

    Nebo můžete vybrat všechny prostředky, do vyhledávacího pole zadat myAGPublicIPAddress a pak ho vybrat ve výsledcích hledání. Azure zobrazí veřejnou IP adresu na stránce Přehled .

  2. Zkopírujte veřejnou IP adresu a pak ji vložte do adresního řádku svého prohlížeče.

  3. Ověřte odpověď. Platná odpověď ověří, že se služba Application Gateway úspěšně vytvořila, a může se úspěšně připojit k back-endu.

    Otestování aplikační brány

Vyčištění prostředků

Pokud už nepotřebujete prostředky, které jste vytvořili v rámci služby Application Gateway, odeberte skupinu prostředků. Odebráním skupiny prostředků odeberete také aplikační bránu a všechny související prostředky.

Odebrání skupiny prostředků:

  1. V levé nabídce Azure Portal vyberte skupiny prostředků.
  2. Na stránce skupiny prostředků vyhledejte v seznamu myResourceGroupAG a pak ho vyberte.
  3. Na stránce skupina prostředků vyberte Odstranit skupinu prostředků.
  4. Jako název skupiny prostředků zadejte myResourceGroupAG a pak vyberte Odstranit.

Další kroky

Další informace o firewallu webových aplikací