Självstudie: Skapa en programgateway med en Web Application Firewall med hjälp av Azure Portal

  • Artikel
  • 9 minuter för att läsa

Den här självstudien visar hur du använder Azure Portal för att skapa en Application Gateway med en Web Application Firewall (WAF). I brandväggen används OWASP-regler till att skydda programmet. De här reglerna kan exempelvis skydda mot attacker som SQL-inmatning, skriptattacker mellan webbplatser och sessionskapningar. När du har skapat programgatewayen testar du den för att kontrollera att den fungerar korrekt. Med Azure Application Gateway dirigerar du din programwebbtrafik till specifika resurser genom att tilldela lyssnare till portar, skapa regler och lägga till resurser i en backend-pool. För enkelhetens skull använder den här självstudien en enkel konfiguration med en offentlig IP-adress på serversidan, en grundläggande lyssnare som är värd för en enda plats på den här programgatewayen, två virtuella datorer som används för serverpoolen och en grundläggande regel för routning av förfrågningar.

I den här guiden får du lära dig att:

  • Skapa en programgateway med WAF aktiverat
  • Skapa de virtuella datorer som används som backend-servrar
  • Skapa ett lagringskonto och konfigurera diagnostik
  • Testa programgatewayen

Exempel på brandvägg för webbaserade program

Anteckning

I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Krav

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Logga in på Azure

Logga in på Azure Portal på https://portal.azure.com.

Skapa en programgateway

  1. Välj Skapa en resurs på den vänstra menyn på Azure-portalen. Fönstret Nytt visas.

  2. Välj Nätverk och välj Application Gateway i listan Aktuella.

Fliken Grundläggande

  1. På fliken Grundläggande anger du följande värden för följande inställningar för programgatewayen:

    • Resursgrupp: Välj myResourceGroupAG som resursgrupp. Om den inte finns väljer du Skapa ny för att skapa den.

    • Programgatewayens namn: Ange myAppGateway som namn på programgatewayen.

    • Nivå: välj WAF V2.

      Skapa ny programgateway: Grunder

  2. För att Azure ska kunna kommunicera mellan resurserna som du skapar krävs ett virtuellt nätverk. Du kan antingen skapa ett nytt virtuellt nätverk eller använda ett befintligt. I det här exemplet skapar du ett nytt virtuellt nätverk samtidigt som du skapar programgatewayen. Application Gateway-instanser skapas i separata undernät. Du skapar två undernät i det här exemplet: ett för programgatewayen och ett för backend-servrarna.

    Under Konfigurera virtuellt nätverk väljer du Skapa nytt för att skapa ett nytt virtuellt nätverk. I fönstret Skapa virtuellt nätverk som öppnas anger du följande värden för att skapa det virtuella nätverket och två undernät:

    • Namn: Ange myVNet som namn på det virtuella nätverket.

    • Undernätsnamn (Application Gateway undernät): Rutnätet Undernät visar ett undernät med namnet Standard. Ändra namnet på det här undernätet till myAGSubnet.
      Undernätet för en programgateway kan endast innehålla programgatewayer. Inga andra resurser är tillåtna.

    • Undernätsnamn (undernät för backend-server): På den andra raden i rutnätet Undernät anger du myBackendSubnet i kolumnen Namn på undernät.

    • Adressintervall (undernät för serverserver): På den andra raden i undernätsrutnätet anger du ett adressintervall som inte överlappar adressintervallet för myAGSubnet. Om adressintervallet för myAGSubnet till exempel är 10.21.0.0/24 anger du 10.21.1.0/24 som adressintervall för myBackendSubnet.

    Välj OK för att stänga fönstret Skapa virtuellt nätverk och spara inställningarna för det virtuella nätverket.

    Skapa ny programgateway: virtuellt nätverk

  3. fliken Grundläggande inställningar godkänner du standardvärdena för de andra inställningarna och väljer sedan Nästa: Frontends.

Fliken Frontends

  1. På fliken Frontends kontrollerar du att IP-adresstypen för frontend är inställd på Offentlig.
    Du kan konfigurera IP-adressen för frontend till Offentlig eller Privat enligt ditt användningsfall. I det här exemplet väljer du en IP-adress för offentlig frontend.

    Anteckning

    För Application Gateway v2 SKU kan du bara välja IP-konfiguration för offentlig frontend. Ip-konfigurationen för privat frontend är för närvarande inte aktiverad för denna v2-SKU.

  2. Välj Lägg till ny som Offentlig IP-adress och ange myAGPublicIPAddress som namn på den offentliga IP-adressen. Välj sedan OK.

    Skapa ny programgateway: frontends

  3. Välj Nästa: Backends.

Fliken Backends (Backends)

Serverpoolen används för att dirigera begäranden till de backend-servrar som betjänar begäran. Serverpooler kan bestå av nätverkskort, VM-skalningsuppsättningar, offentliga IP-adresser, interna IP-adresser, fullständigt kvalificerade domännamn (FQDN) och serveruppsättningar för flera klienter som Azure App Service. I det här exemplet ska du skapa en tom backend-pool med din programgateway och sedan lägga till mål för backend-poolen.

  1. På fliken Backends (Backends) väljer du Add a backend pool (Lägg till en backend-pool).

  2. I fönstret Lägg till en backend-pool som öppnas anger du följande värden för att skapa en tom backend-pool:

    • Namn: Ange myBackendPool som namn på backend-poolen.
    • Lägg till en backend-pool utan mål: Välj Ja för att skapa en backend-pool utan mål. Du lägger till backend-mål när du har skapat programgatewayen.

  3. I fönstret Lägg till en serverpool väljer du Lägg till för att spara serverpoolens konfiguration och återgår till fliken Serverinställningar.

    Skapa ny programgateway: backends

  4. fliken Serverinställningar väljer du Nästa: Konfiguration.

Fliken Konfiguration

På fliken Konfiguration ansluter du den server- och serverpool som du skapade med hjälp av en routningsregel.

  1. Välj Lägg till en routningsregel i kolumnen Routningsregler.

  2. I fönstret Lägg till en routningsregel som öppnas anger du myRoutingRule som regelnamn.

  3. En routningsregel kräver en lyssnare. På fliken Lyssnare i fönstret Lägg till en routningsregel anger du följande värden för lyssnaren:

    • Lyssnarnamn: Ange myListener som namn på lyssnaren.

    • Ip-adress för frontend: Välj Offentlig för att välja den offentliga IP-adress som du skapade för frontend.

      Acceptera standardvärdena för de andra inställningarna på fliken Lyssnare och välj sedan fliken Backend-mål för att konfigurera resten av routningsregeln.

    Skapa ny programgateway: lyssnare

  4. På fliken Backend-mål väljer du myBackendPool som Backend-mål.

  5. För HTTP-inställningen väljer du Lägg till ny för att skapa en ny HTTP-inställning. HTTP-inställningen avgör routningsregelns beteende. I fönstret Lägg till en HTTP-inställning som öppnas anger du myHTTPSetting som HTTP-inställningsnamn. Acceptera standardvärdena för de andra inställningarna i fönstret Lägg till en HTTP-inställning och välj sedan Lägg till för att återgå till fönstret Lägg till en routningsregel.

    Skapa ny programgateway: HTTP-inställning

  6. I fönstret Lägg till en routningsregel väljer du Lägg till för att spara routningsregeln och återgå till fliken Konfiguration.

    Skapa ny programgateway: routningsregel

  7. Välj Nästa: Taggar och sedan Nästa: Granska + skapa.

Fliken Granska och skapa

Granska inställningarna på fliken Granska + skapa och välj sedan Skapa för att skapa det virtuella nätverket, den offentliga IP-adressen och programgatewayen. Det kan ta flera minuter för Azure att skapa programgatewayen.

Vänta tills distributionen har slutförts innan du går vidare till nästa avsnitt.

Lägga till mål för backend

I det här exemplet använder du virtuella datorer som mål-server. Du kan antingen använda befintliga virtuella datorer eller skapa nya. Du skapar två virtuella datorer som Azure använder som backend-servrar för programgatewayen.

Om du vill göra detta gör du följande:

  1. Skapa två nya virtuella datorer, myVM och myVM2, som ska användas som backend-servrar.
  2. Installera IIS på de virtuella datorerna för att verifiera att programgatewayen har skapats.
  3. Lägg till backend-servrarna i serverpoolen.

Skapa en virtuell dator

  1. Välj Skapa en resurs på Azure-portalen. Fönstret Nytt visas.

  2. Välj Windows Server 2019 Datacenter i listan Populära. Sidan Skapa en virtuell dator visas.
    Application Gateway kan dirigera trafik till alla typer av virtuella datorer som används i serverpoolen. I det här exemplet använder du ett Windows Server 2019 Datacenter.

  3. Ange dessa värden på fliken Grundläggande inställningar för följande inställningar för virtuella datorer:

    • Resursgrupp: Välj myResourceGroupAG som resursgruppsnamn.
    • Namn på virtuell dator: Ange myVM som namn på den virtuella datorn.
    • Användarnamn: Ange ett namn för administratörens användarnamn.
    • Lösenord: Ange ett lösenord för administratörslösenordet.
    • Offentliga inkommande portar: Välj Ingen.

  4. Acceptera de andra standardvärdena och välj sedan Nästa: Diskar.

  5. Acceptera standardinställningarna för fliken Diskar och välj sedan Nästa: Nätverk.

  6. På fliken Nätverk kontrollerar du att myVNet har valts för Virtuellt nätverk och att Undernät är inställt på myBackendSubnet.

  7. För Offentlig IP väljer du Ingen.

  8. Acceptera de andra standardvärdena och välj sedan Nästa: Hantering.

  9. På fliken Hantering ställer du in StartdiagnostikInaktivera. Acceptera de övriga standardinställningarna och välj sedan Granska + skapa.

  10. Gå igenom inställningarna på fliken Granska + skapa och åtgärda eventuella verifieringsfel och välj sedan Skapa.

  11. Vänta på att skapandet av den virtuella datorn är klart innan du fortsätter.

Installera IIS för testning

I det här exemplet installerar du endast IIS på de virtuella datorerna för att verifiera att Azure har skapat programgatewayen.

  1. Öppna Azure PowerShell. Det gör du genom att först välja Cloud Shell i det övre navigeringsfältet på Azure-portalen och sedan välja PowerShell i listrutan.

    Installera anpassat tillägg

  2. Ange platsparametern för din miljö och kör sedan följande kommando för att installera IIS på den virtuella datorn:

    Set-AzVMExtension `
  -ResourceGroupName myResourceGroupAG `
  -ExtensionName IIS `
  -VMName myVM `
  -Publisher Microsoft.Compute `
  -ExtensionType CustomScriptExtension `
  -TypeHandlerVersion 1.4 `
  -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
  -Location EastUS

  3. Skapa en andra virtuell dator och installera IIS genom att följa stegen som du utförde tidigare. Använd myVM2 som namn på den virtuella datorn och för VMName-inställningen för cmdleten Set-AzVMExtension.

Lägga till backend-servrar i serverpoolen

  1. Välj Alla resurser och välj sedan myAppGateway.

  2. Välj Serverdelspooler på den vänstra menyn.

  3. Välj myBackendPool.

  4. Under Måltyp väljer du Virtuell dator i listrutan.

  5. Under Mål väljer du det associerade nätverksgränssnittet för myVM i listrutan.

  6. Upprepa för myVM2.

    Lägga till serverdelsservrar

  7. Välj Spara.

  8. Vänta tills distributionen har slutförts innan du fortsätter till nästa steg.

Alla anpassningar och inställningar för WAF finns i ett separat objekt, som kallas waf-princip. Principen måste associeras med din Application Gateway.

Skapa en grundläggande WAF-princip med en hanterad standardregeluppsättning (DRS).

  1. Längst upp till vänster i portalen väljer du Skapa en resurs. Sök efter WAF, välj Web Application Firewall och välj sedan Skapa.

  2. sidan Skapa en WAF-princip går du till fliken Grundläggande inställningar, anger eller väljer följande information, accepterar standardinställningarna för de återstående inställningarna och väljer sedan Granska + skapa:

    Inställning Värde
    Princip för Regional WAF (Application Gateway)
    Prenumeration Välj ditt prenumerationsnamn
    Resursgrupp Välj myResourceGroupAG
    Principnamn Ange ett unikt namn för WAF-principen.

  3. Välj Nästa: Hanterade regler.

  4. Acceptera standardinställningarna och välj sedan Nästa: Principinställningar.

  5. Acceptera standardvärdet och välj sedan Nästa: Anpassade regler.

  6. Välj Nästa: Association.

  7. Välj Lägg till association och välj sedan Application Gateway.

  8. Markera kryssrutan för Tillämpa principkonfigurationen för Web Application Firewall även om den skiljer sig från den aktuella konfigurationen.

  9. Välj Lägg till.

    Anteckning

    Om du tilldelar en princip till Application Gateway (eller lyssnare) som redan har en princip på plats skrivs den ursprungliga principen över och ersätts av den nya principen.

  10. Välj Granska + skapa och välj sedan Skapa.

Testa programgatewayen

Även om IIS inte krävs för att skapa programgatewayen har du installerat den för att kontrollera om Azure har skapat programgatewayen. Använd IIS för att testa programgatewayen:

  1. Hitta den offentliga IP-adressen för programgatewayen på sidan Översikt. Registrera offentlig IP-adress för programgateway

    Eller så kan du välja Alla resurser, ange myAGPublicIPAddress i sökrutan och sedan välja den i sökresultatet. Azure visar den offentliga IP-adressen på sidan Översikt.

  2. Kopiera den offentliga IP-adressen och klistra in den i webbläsarens adressfält.

  3. Kontrollera svaret. Ett giltigt svar verifierar att programgatewayen har skapats och att den kan ansluta till backend-datorn.

    Testa programgatewayen

Rensa resurser

När du inte längre behöver de resurser som du skapade med programgatewayen kan du ta bort resursgruppen. När du tar bort resursgruppen tas även programgatewayen och alla dess relaterade resurser bort.

Så här tar du bort resursgruppen:

  1. Välj Resursgrupper på den vänstra menyn på Azure-portalen.
  2. På sidan Resursgrupper söker du efter och väljer myResourceGroupAG.
  3. Välj Ta bort resursgrupp på sidan Resursgrupp.
  4. Ange myResourceGroupAG som SKRIV RESURSGRUPPENS NAMN och välj sedan Ta bort.

Nästa steg

Läs mer om Web Application Firewall