#azure #firewall #azure-application-gateway
#azure #брандмауэр #azure-application-gateway
Вопрос:
У меня есть шлюз приложений Azure перед управлением API Azure, и я мог видеть, что в большинстве сценариев, доступных в Интернете, брандмауэр находится между шлюзом приложений Azure и управлением API Azure.
Поскольку шлюз приложений Azure сам по себе является брандмауэром, есть ли какая-либо причина для сохранения брандмауэра Azure ЗА ним.
Ответ №1:
В общем, как правило. Брандмауэр Azure предназначен для входящего трафика, не относящегося к Сети, и всего исходящего трафика. WAF-шлюз приложений предназначен для входящего веб-трафика.
Брандмауэр веб-приложений (WAF) — это функция Application Gateway, которая обеспечивает централизованную входящую защиту ваших веб-приложений от распространенных уязвимостей и уязвимостей.
Брандмауэр Azure обеспечивает защиту входящих для протоколов, отличных от HTTP / S (например, RDP, SSH, FTP), защиту на уровне исходящей сети для всех портов и протоколов и защиту на уровне приложений для исходящего HTTP / S.
Ссылка: ЧАСТО задаваемые вопросы о брандмауэре Azure
Что касается диаграмм, которые показывают оба, это объясняет
Только брандмауэр Azure, когда в виртуальной сети нет веб-приложений.
Только шлюз приложений, когда в виртуальной сети есть только веб-приложения, а группы сетевой безопасности (NSG) обеспечивают достаточную фильтрацию выходных данных.
Брандмауэр Azure и шлюз приложений параллельно, наиболее распространенный вариант, когда требуется, чтобы шлюз приложений Azure защищал HTTP-приложения от веб-атак, а брандмауэр Azure защищал все другие рабочие нагрузки и фильтровал исходящий трафик.
Шлюз приложений перед брандмауэром Azure, когда вы хотите, чтобы брандмауэр Azure проверял весь трафик и WAF для защиты веб-трафика, а приложению необходимо знать исходный IP-адрес клиента.
Брандмауэр Azure перед шлюзом приложений, когда вы хотите, чтобы брандмауэр Azure проверял и фильтровал трафик до того, как он достигнет шлюза приложений.
Комментарии:
1. Отличное объяснение!
2. В случае AKS контроллер входа заменяет API-шлюзы (APIM), поэтому в основном AGIC — это «Application Gateway API Gateway», я прав? (AGIC и брандмауэр должны быть параллельными в ХАБЕ топологии «Концентратор и спица»)
3. @HASSANMDTAREQ — AGIC позволяет App Gateway балансировать нагрузку внутри кластера путем автоматического управления маршрутами. Это не замена APIM. APIM обеспечивает отличную адаптацию разработчиков благодаря доступному порталу разработки, который он предоставляет.
4. Привет @Adam Marczak, направлено ли развертывание брандмауэра Azure на улучшение защиты виртуальной машины Azure вместо SaaS?
Ответ №2:
Шлюз приложений имеет функцию WAF, которая представляет собой брандмауэр уровня 7. Поскольку ваше приложение является API, брандмауэра уровня 7 более чем достаточно. Кроме того, вы можете включить DDOS для своей виртуальной сети, чтобы в случае атаки на общедоступный IP-адрес вашего шлюза приложений об этом позаботился план защиты от DDOS.
Добавление брандмауэра Azure между шлюзом приложений и APIM не имеет для меня особого смысла, если и пока вы не захотите контролировать исходящие данные, отправляемые вашим APIM в Интернет. У брандмауэра Azure есть правила безопасности приложений, в соответствии с которыми вы можете блокировать отправку трафика на определенные сайты или URL.
С уважением, Msrini
Комментарии:
1. Привет @msrini-MSIT, можете ли вы подтвердить, будет ли брандмауэр Azure намного лучше защищать виртуальную машину Azure вместо SaaS?
2. Брандмауэр Azure в основном используется для защиты ресурсов IaaS. Но вы можете использовать его и для PaaS, в зависимости от вашего сценария