通过 Web 应用程序防火墙 (WAF) 来保护您的nginx应用
WAF 使用 OWASP 规则来保护您的应用程序。这些规则包括针对 SQL 注入、跨站点脚本攻击和会话劫持等攻击的保护。创建应用程序网关后,您可以对其进行测试以确保其正常工作。使用 Azure 应用程序网关,您可以通过将侦听器分配给端口、创建规则以及将资源添加到后端池来将应用程序 Web 流量定向到特定资源。
创建应用程序网关
在 Azure 门户的左侧菜单中选择“创建资源”。出现“创建资源”窗口。
选择“网络”,然后在“热门 Azure 服务”列表中选择“应用程序网关”。
“基本”选项卡
在“基本”选项卡上,为以下应用程序网关设置输入这些值:
资源组:选择 appgateway-demo 作为资源组。如果不存在,请选择“新建”以创建它。
应用程序网关名称:输入 appgateway-demo作为应用程序网关的名称。
层级:选择 WAF V2。
WAF 策略:选择“新建”,为新策略键入名称,然后选择“确定”。这将创建一个具有托管核心规则集 (CRS) 的基本 WAF 策略。
为了使 Azure 能够在您创建的资源之间进行通信,它需要一个虚拟网络。您可以创建新的虚拟网络,也可以使用现有的虚拟网络。在此示例中,您在创建应用程序网关的同时创建新的虚拟网络。应用程序网关实例是在单独的子网中创建的。在此示例中,您创建了两个子网:一个用于应用程序网关,然后稍后为后端服务器添加另一个子网。
在“配置虚拟网络”下,选择“新建”以创建新的虚拟网络。在打开的“创建虚拟网络”窗口中,输入以下值以创建虚拟网络和子网:
名称:输入 myVNet 作为虚拟网络的名称。
地址空间:接受 10.0.0.0/16 地址范围。
子网名称(应用程序网关子网):子网区域显示一个名为 Default 的子网。将此子网的名称更改为 myAGSubnet,并保留默认的 IPv4 地址范围 10.0.0.0/24。
应用程序网关子网只能包含应用程序网关。不允许使用其他资源。
选择“确定”关闭“创建虚拟网络”窗口并保存虚拟网络设置。
在“基本信息”选项卡上,接受其他设置的默认值,然后选择“下一步:前端”。
“前端”选项卡
在“前端”选项卡上,验证前端 IP 地址类型是否设置为“公共”。
您可以根据您的用例将前端 IP 配置为“公共”或“两者”。在此示例中,您选择“公共前端 IP”。
注意
对于应用程序网关 v2 SKU,目前支持“公共”和“两者”前端 IP 地址类型。目前不支持仅私有前端 IP 配置。
选择“添加新”作为公共 IP 地址,并输入 myPublicIP 作为公共 IP 地址名称,然后选择“确定”
“后端”选项卡
后端池用于将请求路由到为请求提供服务的后端服务器。后端池可以由 NIC、虚拟机规模集、公共 IP、内部 IP、完全限定域名 (FQDN) 和多租户后端(如 Azure 应用服务)组成。在此示例中,您将使用应用程序网关创建一个空的后端池,然后稍后将后端目标添加到后端池。
在“后端”选项卡上,选择“添加后端池”。
在打开的“添加后端池”窗口中,输入以下值以创建一个空的后端池:
名称:输入 myBackendPool 作为后端池的名称。
添加没有目标的后端池:选择“是”以创建没有目标的后端池。创建应用程序网关后,您将添加后端目标。
在“添加后端池”窗口中,选择“添加”以保存后端池配置并返回到“后端”选项卡。
在“后端”选项卡上,选择“下一步:配置”。
配置选项卡
在配置选项卡上,使用路由规则连接您创建的前端和后端池。
在路由规则列中选择添加路由规则。
在打开的添加路由规则窗口中,输入 myRoutingRule 作为规则名称。
对于优先级,请键入优先级编号。
路由规则需要侦听器。在添加路由规则窗口内的侦听器选项卡上,为侦听器输入以下值:
侦听器名称:输入 myListener 作为侦听器的名称。
前端 IP 协议:选择公共 IPv4 以选择您为前端创建的公共 IP。
接受侦听器选项卡上其他设置的默认值,然后选择后端目标选项卡以配置其余的路由规则。