Azure Firewall和Appliation Gateway实现双重防护的方法

Azure firewall简介

Azure firewall就是Azure 防火墙，是托管的基于云的网络安全服务，可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙，具有内置的高可用性和不受限制的云可伸缩性。可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址，使外部防火墙能够识别来自你的虚拟网络的流量。 该服务与用于日志记录和分析的 Azure Monitor 完全集成。

Application Gateway简介

Application Gateway，提供OSI Layer 7的负载均衡器。Application Gateway类似反向代理服务，把客户端请求发送到后端的服务器。

Application Gateway的特性：

1.Web Application Firewall (预览)

Web Application Firewall (WAF)，可以保护Web应用程序面授常见的Web攻击，比如SQL注入，跨站点脚本攻击和会话劫持

2.HTTP负载均衡

提供7层负载均衡

3.基于Cookie的会话保持

当我们希望将用户会话保持在同一个Azure后端服务器上，这个功能就非常有用

4.Secure Socket Layer(SSL) Offload

如果我们不使用SSL Offload，SSL加密/解密是最消耗服务器资源的应用，从HTTP到HTTPS部署后，很可能发现服务器的性能和处理能力大幅下降。

当我们使用SSL Offload的时候，Internet用户访问Azure Application Gateway的流量是HTTPS加密的。

5.端到端的SSL加密

6.基于URL的路由

7.多站点路由

8.支持Websocket

9.健康侦测

10.支持高级诊断功能

整体的架构就是Internet->Azure WAF->Azure Firewall->WEB

首先来建一个Azure的waf，并配置好规则，我们只有一个简单的http listener

在HTTP这里，我们将端口设置为100，这是为了区分其他应用

要注意的是这个WAF的backend，这里后端池因为没办法直接添加firewall，所以指定的是firewall的公网IP

接下来，需要在Azure firewall上配置好NAT的规则，注意我们这里配置的端口之所以是100，是因为前端Azure WAF会把收到的请求转到100端口，因此在FW这里我们就需要为100的端口来做NAT，但是NAT之后还是会转到web服务器的80端口，所以这个过程对于应用来说是透明的，也不需要修改应用的配置

接下来，可以在app gw里看到后端池的状态是healthy的

同时我们访问的时候也能看到确实是可以看到正确结果的

这个架构的好处就在于可以同时利用Azure WAF和firewall的功能，在不同层面，同时保护安全