關於Azure firewall,再來分享一個可以使用的場景,Azure firewall本身是一個NVA設備,可以起到一定的安全防護作用,但是他主要還是工作在網絡層面,對於應用層的防護比較小,對於一個應用來說,尤其是web應用,我們一般會用WAF來做前端的防護,在Azure上,我們可以用Azure的application gateway waf tier, 如果我們想同時使用WAF和azure firewall的話,也是有辦法的
整體的架構就是Internet->Azure WAF->Azure Firewall->WEB
首先來建一個Azure的waf,並配置好規則,我們只有一個簡單的http listener
在HTTP這裏,我們將端口設置爲100,這是爲了區分其他應用
要注意的是這個WAF的backend,這裏後端池因爲沒辦法直接添加firewall,所以指定的是firewall的公網IP
接下來,需要在Azure firewall上配置好NAT的規則,注意我們這裏配置的端口之所以是100,是因爲前端Azure WAF會把收到的請求轉到100端口,因此在FW這裏我們就需要爲100的端口來做NAT,但是NAT之後還是會轉到web服務器的80端口,所以這個過程對於應用來說是透明的,也不需要修改應用的配置
接下來,可以在app gw裏看到後端池的狀態是healthy的
同時我們訪問的時候也能看到確實是可以看到正確結果的
這個架構的好處就在於可以同時利用Azure WAF和firewall的功能,在不同層面,同時保護安全