Azure WAF防火墙工作原理分析和配置向导

正文

请到「今天看啥」查看全文

注意：Azure数据中心自带防DDOS攻击，所以WAF没有防DDOS攻击的能力。

Azure WAF的特点是配置简单，功能强大，价格便宜；还可以将现有Application gateway快速升级为WAF。

3、Azure WAF的工作原理

这里要理解一下微软WAF的设计理念，专有名词和相关限制，这样在后面配置时就比较清晰。

从网络拓扑上来看，WAF是应用程序网关的一种，位置介于负载均衡器和后端服务器组之间，工作在OSI网络堆栈的最高层--第七层，如下图：

WAF可以分为前端捕获，规则设置和监控（大脑），规定动作（监控or阻断），日志存储/监控展现四大部分，这四个部分在Azure WAF都有一一对应处理单元如下图：

前端端口是前端流量入口点，绑定规则的监听器则负责将流量导向不同的后端服务器池，Azure WAF提供两种动作，一种是监控，即发现非法流量仅做记录；第二种是保护，发现非法流量后会拦截该流量，仅允许合法流量通过WAF；每个后端服务器池提供一个Web应用服务；

理解上文的专有名词，（吐槽一下各种名词多多，很容易搞晕）

• Back-end server pool/ 后端服务器池 : 后台要保护的服务器池 IP 列表；每个池最大 100 台服务器，一个 WAF 最大支持 20 个后端服务器池；

• Back-end server pool settings/ 后端服务器池设置 : 每个服务器池单独设置端口，协议等，注意配置会应用在该后端池的所有服务器上，针对不同应用建议设置不同的后端池；

• Front-end port/ 前端端口

请到「今天看啥」查看全文