我是否需要使用azure waf和web app指向站点vpn

问题描述 投票:0回答:2

我一直在搞乱Azure尝试启动和运行Web应用程序。我的计划是创建一个WAF并将Web应用程序放在后面,每个都在一个单独的子网中,然后使用服务端点技术将Web应用程序指向数据库。

我几乎马上已经停在我的轨道上了,如果我想在网络应用程序前使用WAF,我必须在网络应用程序中配置网络,但是当我选择一个vnet时,它说没有配置网关对于选定的VNET。

我的问题是,我是否必须使用指向站点VPN才能使此设置正常工作?我认为它会起作用

INTERNET ---> VNET ---->子网----> WAF ----->子网-----> web app ---->服务端点------> DB

但似乎并非如此。我并不热衷于必须在我们网络中可能想要访问该网站的每台机器上安装客户端证书(它当前是内部的)。我想我正在寻找两全其美的东西。可以从互联网访问,但有一个像WAF这样的东西坐在它前面的额外的舒适,以弥补在所述应用程序中可能存在的任何安全不足。

谢谢

azure azure-web-app-service web-application-firewall azure-webapps
2个回答
1
投票

据我所知,除非您使用的是App Service Environment(隔离),否则无法在VNet中部署Web应用程序。 App VNet integration不能这样做。它允许您安全地访问VNet中的资源。例如,您在私有VNet中的Azure VM上有一个数据库。如果此数据库不公开,您无法从Azure Web应用程序访问此数据库,但您可以通过应用程序VNet集成来访问它。

VNet service endpoints是另一种不同的服务。端点允许您将关键Azure服务资源仅保护到虚拟网络。如果在VNet中启用Azure SQL数据库(与Azure VM上的数据库不同)等服务端点,则这意味着只有这些授权的VNets中的资源才能访问您的SQL数据库,除非您添加类似公共IP地址的排除项。数据库的防火墙。

在这种情况下,您可以在Web应用程序服务的高级别上放置面向公共的Azure应用程序网关,然后在IP restriction of the web app.中添加Azure应用程序网关公共IP,这将限制通过Internet通过Azure Web应用程序网关访问Web应用程序。此外,您可以在Azure应用程序网关子网NSG中控制网络入站和出站。如果要将NSG添加到应用程序网关子网级别,请参阅Network security groups on the Application Gateway subnet。我认为如果您只想创建一个WAF并将Web应用程序放在后面,这些就足够了。

此外,如果您想让Web应用程序私下访问Azure SQL数据库。您可以在ASE中部署Web应用程序,然后为Azure SQL数据库启用VNet服务端点。 App VNet集成不需要将其与服务端点一起使用。

1
投票

如果要将Azure WAF与Azure App Service(多租户)一起使用,则只需确保为主机标头提供请求即可。

enter image description here

如果您希望在VNet上使用Azure Web App,则需要在App Service Environment(隔离)上运行Azure Web App。此版本的Azure Web App更昂贵,但允许您将NSG应用于VNet以完全控制对Web应用程序的访问。我个人认为WAF w / Azure App Service(多租户)应该满足您的需求。

我们在这里记录了所有内容:

https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-overview

https://docs.microsoft.com/en-us/azure/application-gateway/configure-web-app-portal

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.