【发布时间】:2020-10-02 15:06:37
【问题描述】:
我在 Azure API 管理前面有 Azure 应用程序网关,可以看到在 Internet 上可用的大多数场景中,在 Azure 应用程序网关和 Azure API 管理之间都有防火墙。
作为 Azure 应用程序网关本身就是一个防火墙,是否有任何理由将 Azure 防火墙置于其后面。
【问题讨论】:
标签: azure firewall azure-application-gateway
【发布时间】:2020-10-02 15:06:37
【问题描述】:
应用程序网关具有 WAF 功能,即第 7 层防火墙。由于您的应用程序是 API,因此您的第 7 层防火墙绰绰有余。此外,您可以对您的 VNET 启用 DDOS,因此如果您的应用程序网关的公共 IP 受到攻击,则 DDOS 保护计划会对其进行处理。
在应用程序网关和 APIM 之间添加 Azure 防火墙对我来说没有多大意义,除非您想要控制 APIM 发送到 Internet 的出站数据。 Azure 防火墙具有应用程序安全规则,您可以在其中阻止向某些站点或 URL 发送流量。
问候, 姆里尼
【讨论】:
一般来说,作为一个经验法则。 Azure 防火墙适用于非 Web 传入流量和所有传出流量。应用网关 WAF 用于传入的网络流量。
Web 应用程序防火墙 (WAF) 是应用程序网关的一项功能,可为您的 Web 应用程序提供集中入站保护,防止常见漏洞利用和漏洞。
Azure 防火墙为非 HTTP/S 协议提供入站保护(例如,RDP、SSH、FTP),为所有端口和协议以及应用程序提供出站网络级保护 -出站 HTTP/S 的级别保护。
至于显示两者的图表,这说明了它
单独使用 Azure 防火墙,当虚拟网络中没有 Web 应用程序时。
应用程序网关单独,当虚拟网络中只有 Web 应用程序时,并且网络安全组 (NSG) 提供了足够的输出过滤。
Azure 防火墙和应用程序网关并行,这是最常见的设计,当您希望 Azure 应用程序网关保护 HTTP(S) 应用程序免受 Web 攻击,而 Azure 防火墙保护所有其他工作负载和过滤器时出站流量。
Azure 防火墙前面的应用程序网关,当您希望 Azure 防火墙检查所有流量和 WAF 以保护 Web 流量,并且应用程序需要知道客户端的源 IP 地址时。
应用程序网关前面的 Azure 防火墙,当您希望 Azure 防火墙在流量到达应用程序网关之前对其进行检查和过滤。
【讨论】:
-
很好的解释!
-
在 AKS 的情况下,入口控制器取代了 API 网关 (APIM),所以基本上 AGIC 是“应用程序网关 + API 网关”,对吗? (AGIC和Firewall在“Hub & Spoke”拓扑的HUB中应该是并行的)
-
@HASSANMDTAREQ - AGIC 允许 App Gateway 通过自动管理路由来平衡集群内的负载。它不是 APIM 的替代品。由于 APIM 提供了类似 Swagger 的开发门户,因此可以为开发人员提供出色的入职体验。