《Azure WAF防火墻工作原理分析和配置向?qū)А芬c(diǎn)：
本文介紹了Azure WAF防火墻工作原理分析和配置向?qū)ВＭ麑?duì)您有用。如果有疑問(wèn)，可以聯(lián)系我們。

作者：沙濤

轉(zhuǎn)自：http://www.cnblogs.com/taosha/p/6716434.html?

本地?cái)?shù)據(jù)中心往云端遷移的的趨勢(shì)越來(lái)越明顯,安全始終是最熱門的話題之一.

本文討論的內(nèi)容是Azure WAF,即微軟公有云Azure的Web application firewall(下均簡(jiǎn)稱WAF).內(nèi)容概述：

1. 什么是WAF
2. Azure WAF功能和特點(diǎn)
3. Azure WAF的工作原理
4. 一步步配置WAF

1、什么是WAF

隨著互聯(lián)網(wǎng)的進(jìn)一步發(fā)展,Web應(yīng)用大行其道,承載了客戶越來(lái)越多的應(yīng)用,甚至各種核心應(yīng)用,針對(duì)Web應(yīng)用的”掘金行動(dòng)”也越來(lái)越多,網(wǎng)上報(bào)道的各類受攻擊事件呈直線上升趨勢(shì).WAF全稱Web application firewall,就是網(wǎng)站應(yīng)用程序防火墻,顧名思義是專門針對(duì)Web應(yīng)用的防火墻,這是一個(gè)細(xì)分領(lǐng)域的針對(duì)性防火墻.

2、Azure WAF功能和特點(diǎn)

微軟在云端提供了WAF功能,目前這個(gè)功能還僅僅在海外版提供使用,國(guó)內(nèi)21V的版本還沒(méi)有提供,不過(guò)海外有了,國(guó)內(nèi)估計(jì)也快了,確實(shí)客戶的剛性需求擺在這里呢.

WAF不僅僅只是防御Web的http訪問(wèn),可以對(duì)Web應(yīng)用做到全方位的立體防護(hù).可以防范：

• 常見(jiàn)的命令注入攻擊,利用網(wǎng)頁(yè)漏洞將含有操作系統(tǒng)或軟件平臺(tái)命令注入到網(wǎng)頁(yè)訪問(wèn)語(yǔ)句中以盜取數(shù)據(jù)或后端服務(wù)器的控制權(quán)
• SQL 注入,找到數(shù)據(jù)查詢語(yǔ)句漏洞,通過(guò)數(shù)據(jù)庫(kù)查詢代碼竊取或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)
• 跨站腳本攻擊,利用網(wǎng)站漏洞攻擊訪問(wèn)該站點(diǎn)的用戶,用戶登陸或認(rèn)證信息；
• 各種HTTP 協(xié)議攻擊,利用http的協(xié)議漏洞進(jìn)行攻擊；
• 機(jī)器人、 爬蟲和掃描,通過(guò)機(jī)器人,爬蟲,和掃描工具自動(dòng)抓取網(wǎng)站數(shù)據(jù)以及對(duì)網(wǎng)站進(jìn)行自動(dòng)攻擊；
• 常見(jiàn)的應(yīng)用程序配置錯(cuò)誤 (如 Apache、 IIS 等),利用Web發(fā)布程序的配置漏洞或者已知bug進(jìn)行攻擊
• HTTPS攻擊,使用SSL加密包繞過(guò)網(wǎng)絡(luò)防火墻和普通的WAF進(jìn)行攻擊；

總結(jié)：微軟WAF使用開源的通用OWASP?規(guī)則包進(jìn)行防范,目前支持CRS 2.2.9和CRS 3.0兩個(gè)版本的規(guī)則集.可以支持：

CRS規(guī)則集詳細(xì)內(nèi)容參見(jiàn)：https://www.modsecurity.org/crs/以及https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-crs-rulegroups-rules

注意：Azure數(shù)據(jù)中心自帶防DDOS攻擊,所以WAF沒(méi)有防DDOS攻擊的能力.

Azure WAF的特點(diǎn)是配置簡(jiǎn)單,功能強(qiáng)大,價(jià)格便宜；還可以將現(xiàn)有Application gateway快速升級(jí)為WAF.

3、Azure WAF的工作原理

這里要理解一下微軟WAF的設(shè)計(jì)理念,專有名詞和相關(guān)限制,這樣在后面配置時(shí)就比較清晰.

從網(wǎng)絡(luò)拓?fù)渖蟻?lái)看,WAF是應(yīng)用程序網(wǎng)關(guān)的一種,位置介于負(fù)載均衡器和后端服務(wù)器組之間,工作在OSI網(wǎng)絡(luò)堆棧的最高層–第七層,如下圖：

WAF可以分為前端捕獲,規(guī)則設(shè)置和監(jiān)控(大腦),規(guī)定動(dòng)作(監(jiān)控or阻斷),日志存儲(chǔ)/監(jiān)控展現(xiàn)四大部分,這四個(gè)部分在Azure WAF都有一一對(duì)應(yīng)處理單元如下圖：

前端端口是前端流量入口點(diǎn),綁定規(guī)則的監(jiān)聽器則負(fù)責(zé)將流量導(dǎo)向不同的后端服務(wù)器池,Azure WAF提供兩種動(dòng)作,一種是監(jiān)控,即發(fā)現(xiàn)非法流量?jī)H做記錄；第二種是保護(hù),發(fā)現(xiàn)非法流量后會(huì)攔截該流量,僅允許合法流量通過(guò)WAF；每個(gè)后端服務(wù)器池提供一個(gè)Web應(yīng)用服務(wù)；

理解上文的專有名詞,(吐槽一下各種名詞多多,很容易搞暈)

• Back-end server pool/后端服務(wù)器池:后臺(tái)要保護(hù)的服務(wù)器池IP列表；每個(gè)池最大100臺(tái)服務(wù)器,一個(gè)WAF最大支持20個(gè)后端服務(wù)器池；
• Back-end server pool settings/后端服務(wù)器池設(shè)置:每個(gè)服務(wù)器池單獨(dú)設(shè)置端口,協(xié)議等,注意配置會(huì)應(yīng)用在該后端池的所有服務(wù)器上,針對(duì)不同應(yīng)用建議設(shè)置不同的后端池；
• Front-end port/前端端口:設(shè)置應(yīng)用網(wǎng)關(guān)上的公共IP,所有流量通過(guò)這個(gè)IP進(jìn)入網(wǎng)關(guān),再由網(wǎng)關(guān)重定向到后端服務(wù)器池；注意一個(gè)WAF只有一個(gè)公網(wǎng)前端和內(nèi)網(wǎng)前端；
• Listener/監(jiān)聽器:監(jiān)聽器負(fù)責(zé)監(jiān)聽前端端口；一個(gè)WAF最大20個(gè)監(jiān)聽器；所有流量都必須經(jīng)過(guò)監(jiān)聽器處理；可以設(shè)置多個(gè)監(jiān)聽器監(jiān)聽不同端口或者不同協(xié)議的流量；
• Rule/規(guī)則:規(guī)則必須綁定到監(jiān)聽器方可發(fā)生作用,所有進(jìn)來(lái)的流量經(jīng)過(guò)規(guī)則裁定后,再到后端服務(wù)器池,每個(gè)監(jiān)聽器最大10條規(guī)則；規(guī)則有三個(gè)要素：監(jiān)聽器名,后端服務(wù)器池,http協(xié)議及端口設(shè)置.只有知道這些要素WAF才知道該把HTTP/HTTPS(也許是非缺省端口)流量導(dǎo)向哪一個(gè)后端服務(wù)器池.
• Certificates/認(rèn)證:?使用Https的時(shí)候會(huì)用到.

4、一步步配置Azure WAF

理論已經(jīng)講明白了,接下來(lái)配置非常簡(jiǎn)單,可以按照如下順序配置：

第一步：首先你得先有個(gè)WAF,登陸Azure Global Portal在Application Gateway(應(yīng)用程序網(wǎng)關(guān))創(chuàng)建WAF；創(chuàng)建完成后如下圖,前端IP已經(jīng)自動(dòng)生成了.

第二步：配置WAF

選擇開啟防火墻,防火墻模式就是動(dòng)作模式,有兩種,選擇Detection監(jiān)測(cè)模式,會(huì)記錄流量,不會(huì)阻斷非法流量；選擇Prevention會(huì)主動(dòng)阻斷非法流量；

第三步：配置后端服務(wù)器池

后端服務(wù)器池就是Web應(yīng)用服務(wù)器的IP或者域名,可以有多個(gè)后端池；在規(guī)則設(shè)置中區(qū)分流量導(dǎo)向哪個(gè)后端服務(wù)器池；

第四步：配置Http協(xié)議和端口

我們前面提到過(guò)規(guī)則的三要素,前端,后端,http配置,這里可以配置端口,如果你后端服務(wù)器池用的不是通用的80端口,這里一定要做一下配置；這里也可以設(shè)置HTTP or HTTPS.

第五步：配置監(jiān)聽器

如上圖,針對(duì)不同端口的流量要用不同的監(jiān)聽器進(jìn)行監(jiān)聽,一個(gè)WAF可以配置最大20個(gè)監(jiān)聽器；

第六步：配置規(guī)則

如果了解了WAF的工作原理,理解規(guī)則就非常容易,如前文所述,規(guī)則綁定在監(jiān)聽器上,根據(jù)流量的類型和端口再將流量導(dǎo)向到指定的后端服務(wù)器池,如下圖所示,

到此為止,WAF就已經(jīng)配置完成了,是不是非常簡(jiǎn)單,但是可以為您的Web應(yīng)用加上全方位的保護(hù),這下終于可以安心的睡個(gè)覺(jué)了.

結(jié)尾：Azure WAF功能非常強(qiáng)大,不但支持Web應(yīng)用的安全防護(hù),還可以支持多站點(diǎn)流量分發(fā)(一個(gè)WAF最大20個(gè)站點(diǎn)),還支持將站點(diǎn)不同內(nèi)容比如圖片PIC,視頻Video等根據(jù)需要導(dǎo)向到不同的后端服務(wù)器等等,有這么強(qiáng)大的WAF您還在等什么,微軟云海外用戶可以趕緊用起來(lái)啦.

文章來(lái)自微信公眾號(hào)：運(yùn)維幫

 

轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址：
http://www.fzlkiss.com/jiaocheng/4250.html