关于Azure firewall,再来分享一个可以使用的场景,Azure firewall本身是一个NVA设备,可以起到一定的安全防护作用,但是他主要还是工作在网络层面,对于应用层的防护比较小,对于一个应用来说,尤其是web应用,我们一般会用WAF来做前端的防护,在Azure上,我们可以用Azure的application gateway waf tier, 如果我们想同时使用WAF和azure firewall的话,也是有办法的


    整体的架构就是Internet->Azure WAF->Azure Firewall->WEB


    首先来建一个Azure的waf,并配置好规则,我们只有一个简单的http listener3.png


在HTTP这里,我们将端口设置为100,这是为了区分其他应用

4.png



    要注意的是这个WAF的backend,这里后端池因为没办法直接添加firewall,所以指定的是firewall的公网IP

2.png


接下来,需要在Azure firewall上配置好NAT的规则,注意我们这里配置的端口之所以是100,是因为前端Azure WAF会把收到的请求转到100端口,因此在FW这里我们就需要为100的端口来做NAT,但是NAT之后还是会转到web服务器的80端口,所以这个过程对于应用来说是透明的,也不需要修改应用的配置

5.png




接下来,可以在app gw里看到后端池的状态是healthy的

6.png



同时我们访问的时候也能看到确实是可以看到正确结果的

7.png



这个架构的好处就在于可以同时利用Azure WAF和firewall的功能,在不同层面,同时保护安全