Azure實踐系列 6：使用Web應用防火墻保護網站

網站是我們每一天可能都會使用到的信息交互方式，比如我們刷朋友圈、公眾號、流量網頁、看咨詢新聞等。網站應用已經是非常普遍的信息技術應用。對于大型的網站應用來說，保護手段是必不可少的，如果不經保護就放到互聯網中，可能很容易被別有用心的人進行***或***。

對于這種情況，Azure有專門的服務用于我們網站應用的保護，那就是應用程序網關。首先我們來看一下Azure是如何定義應用程序網關及Web應用防火墻的。

Azure 應用程序網關是一種 Web 流量負載均衡器，可用于管理 Web 應用程序的流量。

傳統負載均衡器在傳輸層（OSI 層 4 - TCP 和 UDP）進行操作，并基于源 IP 地址和端口將流量路由到目標 IP 地址和端口。 但在使用應用程序網關時，可以實現更具體的操作。

Web 應用程序防火墻 (WAF) 是應用程序網關的功能，可以對 Web 應用程序進行集中保護，避免其受到常見的***和漏洞傷害。 WAF 基于 OWASP（開放 Web 應用程序安全項目）核心規則集 3.0 或 2.2.9 中的規則。

Web 應用程序已逐漸成為利用常見已知漏洞的惡意***的目標。 這些***中最常見的***包括 SQL 注入***、跨站點腳本***等。 防止應用程序代碼中的此類***頗具挑戰性，可能需要在應用程序拓撲的多個層進行嚴格的維護、修補和監視。 集中式 Web 應用程序防火墻有助于大幅簡化安全管理，為抵卸威脅或***的應用程序管理員提供更好的保障。 相較保護每個單獨的 Web 應用程序，WAF 解決方案還可通過在中央位置修補已知漏洞，更快地響應安全威脅。 可將現有應用程序網關輕松轉換為支持 Web 應用程序防火墻的應用程序網關。

看到這里我們應該有一個基礎的概念，什么是應用程序網關，什么是Web應用程序防火墻了。那么如何判斷我們的網站需要防火墻呢？是通過網站程序大小、還是通過網站的性能級別還是什么呢？其實并沒有嚴格的標準，而是根據實際情況進行隨機應變。比如我們看一下下面這個網站，可以看到當前的應用程序計劃已經是一個高級別的大型網站，CPU占用率在40-60%之間，內存占用有增加趨勢。

對于這樣的網站我們就需要額外的注意了，我們可以打開Azure Web應用的性能指標，進行進一步的指標監視。建議將應用的指標調整到24小時到48小時，這樣可以便于我們宏觀的了解應用近期的運行狀況。對于網站應用一般來講我們可以選擇Request指標，此指標主要用于觀察網站應用的訪問情況，指標最小間隔周期是1分鐘即我們可以看到每分鐘最高的訪問請求次數。

如果僅僅查看網站應用發現瀏覽量及請求數并不高，可以再看一下我們網站對應的數據庫性能指標。以下是一個比較顯著的收到***的指標跡象。我們可以看到在48小時內，數據庫有多次CPU占用率到達100%,其中中間的階段CPU幾乎處于長時間的滿載狀態，而這種情況一般是不會出現的。

如果發現性能指標呈現以下狀態，一般來說有兩種原因導致：第一種原因是由于是由于正常的高并發訪問。比如12306購票的高峰期，這是可預知的高并發請求，因為大家都在刷新網站搶購火車票，那這個時候我們就必須增加更多的服務器資源，如果數據庫指標呈現頂峰，就需要增加數據庫資源，Web應用就需要增加網站服務器的資源；第二種原因是由于來自不明用戶的惡意***，比如大量的服務器訪問請求、通過軟件模擬訪問、模擬IP地址、注入、XSS***等，那么對于這種情況就需要在網站應用前端加上應用程序網關及WAF了。

在Azure中，應用程序網關一般來講是配合虛擬機及虛擬機規模集來使用的，對于通過Web應用承載的網站，則需要加上虛擬網絡和虛擬網絡網關才可使用。首先第一步是創建虛擬網絡網關；

虛擬網關的用途主要是將虛擬網絡和Web應用進行連接，因為Web應用和虛擬網絡本身是處于兩個分離的虛擬網絡中。在創建虛擬網絡網關的過程周末，我們選擇網關類型為×××，SKU選擇***Gw1，并為虛擬網關配置一個公網IP地址。

接下來我們去創建應用程序網關，這也是今天的重頭戲。還是在首頁，創建資源-網絡-Application Gateway

由于帶有WAF的應用程序網關只有中型以上的應用程序網關才支持，所以這里一定要選擇WAF層，然后選擇至少為中型的SKU。當然中型的SKU是可以由小型的SKU升級，但帶有WAF是無法降級到小型SKU的。

然后我們將其添加到我們的虛擬網絡中，注意此虛擬網絡必須是和剛剛創建的虛擬網絡網關關聯的同一虛擬網絡。

并且對于Vnet的網關的點到站點配置的IP地址空間須 位于下列其中一個地址塊中 ：

10.0.0.0/8 - 這指的是10.0.0.0到10.255.255.255的IP地址范圍；

172.16.0.0/12 - 這指的是172.16.0.0 到 172.31.255.255 的IP地址范圍；

192.168.0.0/16 - 這指的是 192.168.0.0 到 192.168.255.255的IP地址范圍；

我們在創建好的虛擬網絡網關中，找到點到站點配置，并配置其地址池，注意，請取消IKEv2隧道類型，Web應用配合應用程序網關的模式無法選擇此隧道類型。

然后我們再到Web應用中，選擇網絡將Web應用連接到虛擬網絡，單擊右側的VNet集成。

在添加VNet位置選擇我們剛剛創建的帶有虛擬網關的虛擬網絡。

這個時候需要稍等片刻，如果IKev2沒有取消則會報錯，這里需要注意下。如果沒有問題則會顯示已經配置好的VNet信息，比如位置、網關狀態及證書等。

這個時候我們的應用程序網關應該也已經創建好了，我們打開應用程序網關，找到Web應用程序防火墻，確保其處于開啟狀態，防火墻模式改為保護，這樣WAF會自動幫我們進行***攔截而并非僅僅是檢測***。

然后在后端池中，我們需要編輯后端池，單擊默認的后端池，會打開編輯界面。

在編輯界面中，我們把目標修改為應用程序服務，并選擇我們需要保護的應用程序實例。操作完成后選擇保存。

然后再轉到HTTP設置中，我們需要配置HTTP設置以確保應用程序網關和我們的Web應用能夠正確對接。單擊HTTP設置，選擇默認的HTTP設置項目。

在設置中，我們選擇下方的用于應用服務，此時自定義探測會自動填入內容，單擊保存。

稍等片刻等到應用程序網關的配置更新完成，回到WAF的概述中。我們需要測試WAF是否配置成功，復制應用程序網關的前端IP地址。

在瀏覽器中粘貼該地址，如果成功怎么會顯示我們的Web網站，如果不成功則會顯示502 Bad Gateway之類的錯誤。

總的來說網站的防火墻配置還是非常重要的，對于Azure來說通過為虛擬機或網站應用加上應用程序網關，可以非常有效的增加網站應用的安全，減少不必要的***帶來的安全問題和用戶體驗下降是非常有必要的。