Fatal编程技术网
  • azure/
  • 我是否需要使用azure waf和web应用程序指向站点vpn

我是否需要使用azure waf和web应用程序指向站点vpn

azure

我是否需要使用azure waf和web应用程序指向站点vpn,azure,azure-web-app-service,web-application-firewall,azure-webapps,Azure,Azure Web App Service,Web Application Firewall,Azure Webapps,我一直在和Azure混在一起,试图启动并运行一个web应用程序。我的计划是创建一个WAF站点并在其后面创建web应用程序,每个站点位于一个单独的子网中,然后使用服务端点技术将web应用程序指向数据库 我几乎马上就被阻止了,因为我发现如果我想在web应用程序前使用WAF,我必须在web应用程序中配置网络,但当我选择vnet时,它表示没有为所选vnet配置网关 我的问题是,我是否必须使用点对点VPN才能使此设置正常工作?我以为它会像这样工作 INTERNET-->VNET-->子网---->WAF-

我一直在和Azure混在一起,试图启动并运行一个web应用程序。我的计划是创建一个WAF站点并在其后面创建web应用程序,每个站点位于一个单独的子网中,然后使用服务端点技术将web应用程序指向数据库

我几乎马上就被阻止了,因为我发现如果我想在web应用程序前使用WAF,我必须在web应用程序中配置网络,但当我选择vnet时,它表示没有为所选vnet配置网关

我的问题是,我是否必须使用点对点VPN才能使此设置正常工作?我以为它会像这样工作

INTERNET-->VNET-->子网---->WAF-->子网---->web应用---->服务端点---->DB

但事实似乎并非如此。我并不热衷于在我们网络中可能想要访问此网站的每台机器上安装客户端证书(它目前是内部的)。我想我在寻找两个世界中最好的。可以从互联网上访问,但有额外的舒适感,如WAF坐在它前面,以弥补任何安全不足,可能存在于该应用程序的某处

谢谢

如果您想将Azure WAF与Azure应用程序服务(多租户)一起使用,您可以,您只需要确保为请求提供主机头

如果您希望在VNet上运行Azure Web应用程序,则需要在应用程序服务环境(隔离)上运行Azure Web应用程序。此版本的Azure Web App更昂贵,但允许您将NSG应用于VNet,以完全控制对Web App的访问。我个人认为WAF w/Azure应用程序服务(多租户)应该满足您的需求

我们将其全部记录在这里:

如果您想将Azure WAF与Azure应用程序服务(多租户)一起使用,您只需确保为请求提供主机头即可

如果您希望在VNet上运行Azure Web应用程序,则需要在应用程序服务环境(隔离)上运行Azure Web应用程序。此版本的Azure Web App更昂贵,但允许您将NSG应用于VNet,以完全控制对Web App的访问。我个人认为WAF w/Azure应用程序服务(多租户)应该满足您的需求

我们将其全部记录在这里:

据我所知,除非您使用的是应用程序服务环境(隔离),否则无法在VNet中部署web应用程序。我做不到。它允许您安全地访问VNet中的资源。例如,您在私有VNet中的Azure VM上有一个数据库。如果此数据库不可公开使用,您无法从Azure web app访问此数据库,但您可以通过应用程序VNet集成访问它

这是另一种不同的服务。端点允许您仅将关键Azure服务资源保护到虚拟网络。如果在VNet中启用诸如Azure SQL数据库(与Azure VMs上的数据库不同)之类的服务端点,这意味着只有这些授权VNet中的资源才能访问您的SQL数据库,除非您在数据库的防火墙中添加诸如公共IP地址之类的排除

在这种情况下,您可以将面向公众的Azure app gateway置于web app服务的高级别,然后在中添加Azure app gateway公共IP,这将限制通过Internet上的Azure web app gateway访问web app。此外,您还可以在Azure app gateway子网NSG中控制网络入站和出站。查看是否要将NSG添加到应用网关子网级别。我认为,如果你只想创建一个WAF站点,并在其背后创建web应用程序,这些就足够了

此外,如果您想让web应用程序私下访问Azure SQL数据库。您可以在ASE中部署web应用,然后为Azure SQL数据库启用VNet服务端点。应用程序VNet集成不需要将其与服务端点一起使用。

据我所知,除非您使用的是应用程序服务环境(隔离),否则无法在VNet中部署web应用程序。我做不到。它允许您安全地访问VNet中的资源。例如,您在私有VNet中的Azure VM上有一个数据库。如果此数据库不可公开使用,您无法从Azure web app访问此数据库,但您可以通过应用程序VNet集成访问它

这是另一种不同的服务。端点允许您仅将关键Azure服务资源保护到虚拟网络。如果在VNet中启用诸如Azure SQL数据库(与Azure VMs上的数据库不同)之类的服务端点,这意味着只有这些授权VNet中的资源才能访问您的SQL数据库,除非您在数据库的防火墙中添加诸如公共IP地址之类的排除

在这种情况下,您可以将面向公众的Azure app gateway置于web app服务的高级别,然后在中添加Azure app gateway公共IP,这将限制通过Internet上的Azure web app gateway访问web app。此外,您还可以在Azure app gateway子网NSG中控制网络入站和出站。查看是否要将NSG添加到应用网关子网级别。我认为,如果你只想创建一个WAF站点,并在其背后创建web应用程序,这些就足够了

此外,如果您想让web应用程序私下访问Azure SQL数据库。您可以在ASE中部署web应用,然后为Azure SQL数据库启用VNet服务端点。App VNet集成不需要将其与服务端点一起使用。

这就是我最终要做的。但我刚刚找到了这个答案。所以我有一个只有WAF的vnet。应用程序服务不在vnet中。应用程序服务具有仅允许从WAF访问的限制策略。这是目前的工作。下一步:-需要创建Azure SQL DB并允许web应用程序与其对话。希望我可以限制只能从web应用程序访问