Penjual Awan Microsoft: Menggunakan Pintu Depan Azure untuk mencapai pecutan global aplikasi web dan perlindungan WAF
Apabila aplikasi web anda diperkenalkan ke pasaran global, serangkaian sakit kepala diikuti satu demi satu: pengguna di Eropah mengeluh bahawa laman web dimuat seperti kura-kura, pengguna di Amerika mengalami serangan DDoS secara tiba-tiba dan laman web itu lumpuh, dan pasukan Asia Saya berjaga setiap hari untuk memperbaiki kelemahan keselamatan di pelbagai lapisan aplikasi (Layer 7).
Pada masa lalu, anda mungkin perlu membuang satu set seni bina yang kompleks: membeli sekumpulan CDN global, menggunakan firewall fizikal yang mahal, dan mengkonfigurasi pengimbangan beban rentas wilayah (GSLB) yang kompleks.
Tetapi dalam ekosistem Azure, ada perkhidmatan yang disebut "Ultimate Maha Raja" --
Azure Front Door (AFD pendek)
。 Ia meletakkan
Percepatan kandungan global (CDN), pengimbangan beban global, perlindungan keselamatan rangkaian (WAF) dan penghalaan lapisan aplikasi
Gabungan sempurna bersama. Tutorial mendalam hari ini akan membawa anda bermula dari awal dan memakai "rompi kalis peluru dipercepat global" untuk aplikasi web anda.
1. Konsep teras: Apakah Pintu Depan Azure?
Anda boleh membayangkan Azure Front Door sebagai pengurus lobi super pintar yang digunakan oleh Microsoft untuk anda di Edge.
Microsoft mempunyai rangkaian tulang belakang gentian optik khusus yang sangat besar di seluruh dunia, dan telah mengatur nod tepi Anycast di beratus-ratus bandar di seluruh dunia.
[Pengguna di seluruh dunia] ──────> Azure Edge Node (AFD) yang paling dekat dengannya ───── (Rangkaian Tulang belakang Serat Optik Microsoft) ──────> [Pelayan stesen sumber anda]
│
(Teruskan di sini)
┌─────────────────
▼ ▼
[Perlindungan Keselamatan WAF] [Cache Kandungan Statik]
Apabila pengguna global melawat laman web anda:
Akses berdekatan: Lalu lintas tidak akan dihalakan perlahan di rangkaian awam, tetapi secara langsung melalui teknologi Anycast untuk memasuki simpul tepi Microsoft yang paling dekat dengan pengguna dalam beberapa saat.
Lebuh raya: Setelah memasuki simpul tepi, lalu lintas akan melalui "rel berkelajuan tinggi" dalaman Microsoft (rangkaian tulang belakang gentian optik proprietari) ke pelayan stesen sumber anda (di mana sumber itu berdiri, atau bahkan di Azure).
Penapisan keselamatan: Pada simpul tepi, WAF(Web Application Firewall) akan memintas serangan penggodam pada 0.001 saat sebelum lalu lintas menyentuh pelayan anda.
2. Tahap 1: Buat contoh Pintu Depan Azure
Pertama, log masuk ke portal Azure (Portal Azure) dan masukkan di bar carian
"Front D
Oor"
, Klik "Buat".
Microsoft menawarkan dua versi:
Standard (Edisi Standard)
Dan
Premium (Edisi Premium)
。
💡Cadangan pemilihan: Persekitaran pengeluaran sangat disyorkan untuk memilih Premium. Kerana versi lanjutan merangkumi perlindungan robot jahat (Bot), set peraturan hosting WAF teratas industri (Set Rule Default Microsoft), dan fungsi analisis keselamatan yang lebih kuat.
1. Konfigurasi asas
Kumpulan sumber: Pilih atau buat kumpulan sumber baru, seperti Global-Web-RG.
Nama endpoint (Endpoint): Ini adalah nama domain awam yang secara automatik diberikan kepada anda oleh AFD, seperti my-global-app-xxxx.azurefd.net (anda boleh mengikat nama domain bebas anda sendiri pada masa akan datang).
2. Konfigurasikan stesen sumber (Asal)
Stesen sumber adalah pelayan belakang di mana anda benar-benar menjalankan laman web.
Jenis sumber: Menyokong Perkhidmatan Aplikasi, mesin maya, IP awam di dalam Azure, dan bahkan Alibaba Cloud, Tencent Cloud atau pelayan bilik komputer yang dibina sendiri di persekitaran bukan Azure.
Nama hos: Masukkan IP sebenar atau nama domain awam pelayan laman web sumber anda.
Port HTTPS: lalai 443 (disyorkan untuk menggunakan saluran penyulitan HTTPS sepanjang perjalanan).
3. Konfigurasi Peraturan Routing (Routing Rule)
Protokol penerusan: Dianjurkan untuk memeriksa "HTTPS Sahaja", atau menetapkan "Ubah HTTP ke HTTPS".
Cache: Hidupkan. Dengan cara ini, sumber statik seperti gambar, CSS, JS, dan lain-lain dari laman web anda akan disimpan secara langsung di simpul tepi dunia, dan pengguna akan "mengambil barang" secara langsung dari kawasan setempat ketika mereka berkunjung, dan stesen sumber akan mempunyai tekanan sifar sepenuhnya.
Klik "Lihat Buat" dan tunggu 2-3 minit, dan rangkaian pecutan global anda akan dimulakan.
3. Tahap kedua: penggunaan rompi kalis peluru WAF (suntikan anti-SQL dan XSS)
Adalah baik untuk laman web berjalan pantas, tetapi anda mesti bertahan terlebih dahulu. Sekarang mari kita pakai mantel WAF (Firewall Aplikasi Web) untuk Front Door.
Di portal Azure, cari dan masukkan "Dasar Firewall Aplikasi Web (Dasar WAF)".
Klik "Buat", "Dasar untuk" mesti memilih "Pintu Depan Azure".
Titik akhir yang berkaitan: Pilih contoh Pintu Depan yang baru anda buat dan laluan yang sesuai.
1. Buka peraturan hosting rasmi (Managed Rules)
Masukkan halaman dasar WAF
"Peraturan Pengehosan (Peraturan Pengehosan)"
Tab:
Secara lalai, Azure secara automatik akan memeriksa yang terkini untuk anda
Microsylag
T_DefaultRuleSet (DRS)
。 Set peraturan ini adalah inti dari pakar keselamatan Microsoft berdasarkan triliunan serangan siber di seluruh dunia setiap hari. Ia digunakan di luar kotak dan secara automatik memintas tingkah laku berisiko tinggi berikut:
Suntikan SQL (SQLi): Cuba mencuri kebenaran pangkalan data anda melalui borang.
Skrip silang laman web (XSS): Masukkan skrip jahat ke laman web anda untuk menggantung kuda.
Pelaksanaan Kod Jauh (RCE): Menggunakan kelemahan pelayan untuk melaksanakan arahan pintu belakang secara langsung.
2. Memintas reptilia dan robot jahat (Bot Protection)
Klik "Tambah set peraturan hosting" dan periksa
Microsoft_BotManagerRuleSet
。
Ia dapat mengenal pasti perayap mesin pencari yang mesra (seperti Googlebot, Bingbot), yang merupakan perisian pengambilan tiket berbahaya, mesin mel spam atau robot jahat yang menyekat lalu lintas, dan menyekatnya secara langsung di barisan depan.
3. Custom Rules: Sekatan tepat
Kadang kala peraturan hosting terlalu umum, anda ingin memperibadikan sesuatu. Klik
"Peraturan adat"
-> "Tambah peraturan adat".
🛠Adegan pertempuran sebenar: Sekat segmen IP atau IP jahat dari negara/wilayah yang berniat jahat. Nama peraturan: Operasi BlockMaliciousGeo: Penolakan (Deny). Jenis padanan: lokasi geografi. Nilai padanan: Periksa negara atau wilayah tertentu yang sering menyerang anda. Setelah disimpan, semua akses jahat ke kawasan ini akan menerima ralat penolakan 403 yang besar di simpul tepi Microsoft, dan anda bahkan tidak dapat menyentuh pintu pelayan anda di mana sahaja anda membukanya.
4. Tahap ketiga: ujian pertempuran sebenar dan pengesahan kesan
Setelah konfigurasi selesai, tunggu kira-kira 5 minit untuk penghalaan dan dasar global diselaraskan. Seterusnya, kami mengujinya seperti penggodam sebenar dan pengguna global sebenar.
1. Sahkan kesan pecutan global
Buka alat ujian kelajuan Ping/laman web berbilang nod global (seperti ITDOG atau Pingdom) dan masukkan nama domain yang diberikan Front Door anda.
Anda akan terkejut apabila mengetahui bahawa sama ada New York, London, Tokyo atau Frankfurt, kelewatan di seluruh dunia telah menjadi "hijau" yang sangat indah (biasanya antara beberapa milisaat hingga puluhan milisaat).
Sebab: Pengguna berjabat tangan secara langsung di kawasan setempat.
2. Berpura-pura menjadi penggodam: Mencetuskan pemintasan WAF
Kami melancarkan serangan suntikan SQL simulasi di laman web anda di penyemak imbas.
Di belakang nama domain Front Door anda, anda boleh meletakkan parameter jahat dengan ciri suntikan SQL:
[ht
Tps: // my-global-app-xxxx.azurefd.net/index.html? Id = 1] (ht
Tps: // my-
Global-app-xxxx.azurefd.net/index.html? Id = 1) 'AND '1' = '1
Sebaik sahaja anda menekan Enter, anda tidak akan pernah melihat laman web anda, tetapi akan melihat arahan yang sejuk:
HTTP Error 403. The request is blocked.
Pergi ke log Monitor Azure dan anda akan melihat dengan jelas: permintaan dari IP rangkaian awam anda sekarang, kerana ia mencetuskan
SQLi
Menurut peraturan, WAF menembak kepala dengan bersih di simpul tepi. Pelayan stesen sumber anda bahkan tidak tahu bahawa seseorang telah mencabarnya.
5. Lanjutan lanjutan: Konfigurasikan stesen pelbagai sumber untuk pemulihan bencana global (Aktif-Aktif)
Sekiranya anda kuat, anda telah menggunakan satu set pelayan web yang sama di Timur AS dan Hong Kong. Front Door secara langsung dapat membantu anda mencapainya
Pemulihan bencana hidup berganda global
。
Masukkan "kumpulan sumber" AFD anda.
Tambah kedua-dua pelayan di Amerika Barat dan Hong Kong.
Health Probes: Tetapkan untuk menghantar permintaan HTTPS setiap 30 saat untuk memeriksa sama ada stesen sumber masih hidup.
Kesan: Apabila pengguna Eropah berkunjung, AFD secara automatik mengarahkan lalu lintas ke bilik komputer Meixi yang lebih dekat; apabila pengguna Asia berkunjung, secara automatik pergi ke bilik komputer Hong Kong. Setelah bilik komputer Hong Kong mati kerana gangguan bekalan elektrik atau kegagalan tiba-tiba, pengesanan kesihatan AFD akan dijumpai dalam beberapa saat, dan aliran penuh akan ditukar dengan lancar ke bilik komputer AS-Barat dalam sekelip mata. Sebagai tambahan kepada pengguna global yang merasa sedikit lebih perlahan, perniagaan tidak akan terganggu sama sekali!
Elakkan lubang dan ringkasan
Semasa menikmati kepantasan dan keselamatan yang dibawa oleh Azure Front Door, ingatlah dua tindakan penamat utama berikut:
Kunci keselamatan stesen sumber (sekatan IP): Setelah menggunakan AFD, pastikan untuk pergi ke pelayan stesen sumber anda (atau firewall) untuk menetapkan: hanya membenarkan akses IP dari tanda perkhidmatan Pintu Depan Azure (Tag Perkhidmatan: Azure FrontDoor.Backend)! Jika tidak, jika penggodam mengetahui IP sebenar laman web sumber anda dan secara langsung memintas Front Door untuk mengakses laman web sumber anda, WAF anda tidak akan berguna.
Mod Penyahpepijatan WAF: Apabila peraturan hosting WAF dihidupkan, disarankan untuk menetapkan mod strategi ke "Detection" dan perhatikan log selama beberapa hari. Setelah mengesahkan bahawa permintaan pengguna biasa tidak dibunuh (positif palsu), beralih ke mod "Pencegahan" untuk memintas sepenuhnya.
Ringkasan:
Azure Front Door adalah web global moden
Senjata mutlak untuk seni bina. Ini mempermudah pengoptimuman rangkaian global yang rumit dan keselamatan rangkaian maju menjadi beberapa kad konfigurasi yang jelas di awan. Gunakannya dengan baik, dan aplikasi anda benar-benar dapat mencapai "kelajuan global, stabil seperti gunung".