我是否需要使用天蓝色的WAF和网络应用程序指向站点VPN
我一直在与Azure纠缠不清,试图启动并运行Web应用程序。我的计划是创建一个WAF,并将Web应用程序置于其后,并将其放置在单独的子网中,然后使用服务端点技术将Web应用程序指向数据库。
我几乎已经停止了前进的脚步,发现我想在Web应用程序前使用WAF,我必须在Web应用程序中配置网络,但是当我选择vnet时,它说没有为所选的VNET配置网关。
我的问题是我是否必须使用指向站点VPN才能使此设置正常工作?我以为它会像
INTERNET ---> VNET ---->子网----> WAF ----->子网-----> Web应用程序---->服务端点------>数据库
,但事实并非如此。我不介意在网络中可能要访问该网站的每台计算机上安装客户端证书的想法(当前是内部网站)。我想我正在寻找两全其美的方法。可从互联网访问,但更舒适的是,可以在其前面安装WAF之类的东西,以弥补上述应用中某些地方可能存在的安全缺陷。
谢谢
2 个答案:
答案 0 :(得分:1)
如果您想将Azure WAF与Azure App Service(多租户)一起使用,则只需要确保为请求提供了主机头即可。
如果要在VNet上使用Azure Web App,则需要在App Service环境(独立)上运行Azure Web App。此版本的Azure Web App较昂贵,但允许您将NSG应用于VNet,以完全控制对Web应用程序的访问。我个人认为带有Azure App Service(多租户)的WAF应该可以满足您的需求。
我们已在此处记录了所有内容:
https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-overview
https://docs.microsoft.com/en-us/azure/application-gateway/configure-web-app-portal
答案 1 :(得分:1)
据我所知,除非使用App Service Environment(隔离),否则您无法在VNet中部署Web应用程序。 App VNet integration无法做到。它使您可以安全地访问VNet中的资源。例如,您在私有VNet中的Azure VM上有一个数据库。如果该数据库不是公开可用的,则无法从Azure Web应用程序访问该数据库,但是可以通过应用程序VNet集成来访问它。
VNet service endpoints是另一项不同的服务。端点使您可以将关键的Azure服务资源仅保护到虚拟网络。如果在VNet中启用了诸如Azure SQL数据库(与Azure VM上的数据库不同)之类的服务终结点,这意味着只有这些授权的VNet中的资源才能访问您的SQL数据库,除非您在网络中添加了诸如公共IP地址之类的排除项。数据库的防火墙。
在这种情况下,您可以将面向公共的Azure应用程序网关置于Web应用程序服务的高级级别,然后在IP restriction of the web app.中添加Azure应用程序网关公共IP,这将限制通过以下方式访问Web应用程序互联网上的Azure Web应用程序网关。另外,您可以控制Azure应用程序网关子网NSG中的网络入站和出站。如果要将NSG添加到应用程序网关子网级别,请参见Network security groups on the Application Gateway subnet。如果您只想创建一个WAF并在其后面放置Web应用,我认为这些就足够了。
此外,如果要让Web应用程序私下访问Azure SQL数据库。您可以在ASE中部署Web应用程序,然后为Azure SQL数据库启用VNet服务终结点。 App VNet集成不需要与服务端点一起使用。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?