可選擇的進階防護服務:Azure應用程式閘道(Application Gateway)
當您將雲端服務遷移到微軟的Azure時,您可以因應需求,增強您的雲端服務的安全性,Azure Web Application Firewall(WAF)讓您享有如同地端上實體UTM防火牆的WAF功能,這個服務可以透過設定的方式,為虛擬主機上的Web應用程式,加入軟體防火牆(WAF)的防護功能,WAF不僅僅只是防禦Web的HTTP訪問,可以對Web應用做到全方位的立體防護。
Azure Web Application Firewall(WAF)主要功能如下:
● 常見的命令注入(Common attacks)攻擊
利用網頁漏洞,將含有作業系統或軟體平台命令,注入到網頁訪問語法中,以盜取資料或取得後端伺服器的控制權。
● SQL注入(SQL injection)攻擊
找到SQL語法的漏洞,通過資料庫查詢語言(SQL Language)來竊取或修改資料庫中的資料。
● 跨站腳本攻擊(Cross site scripting)
利用網站漏洞攻擊訪問該網站的使用者,盜取用戶登入或認證的帳號及密碼。
● 各種HTTP協定(HTTP Protocol)攻擊
利用HTTP的協定的漏洞來進行攻擊。
● 機器人、爬蟲和掃描
通過機器人,爬蟲,和掃描工具自動抓取網站資料以及對網站進行自動攻擊。
● 常見的應用程式配置錯誤(如Apache、IIS等)
利用Web發佈程式的配置漏洞或者已知bug進行攻擊。
● HTTPS攻擊
使用SSL加密包繞過網絡防火牆和普通架構的WAF進行攻擊。
整體來說,應用程式閘道服務的架構如下圖所示(是Layer 7的架構)。
在這裡我們舉一個比較省錢,且可能最常碰到的案例,就是後台只有一台虛擬機器WAF VM,但必需提供3個網站服務,
三個網站網址分別為:www.topsnet.asia、www1.topsnet.asia、www2.topsnet.asia
三個網站網址分別為:www.topsnet.asia、www1.topsnet.asia、www2.topsnet.asia
虛擬機器WAF VM IIS的設定如下:
※ 註:在一個公用IP服務多個網站的情況下,可以有二種建立方式。
1. 後端接聽程式,使用Port Number來區別
這時候連上網站的方式必需帶Port Number,例如:www.topsnet.asia、www.topsnet.asia:81、www.topsnet.asia:82...等,這種是比較不實用,因為除了特殊需求,很少會有人這樣做,所以本例以第2種情況說明。
2. 後端接聽程式,以主機名稱(Host Name)來區分
也就是後端主機的網站服務程式(以Microsoft來說就是IIS,以Linux來說就是Apache)必需支援HTTP 1.1的Host Header才可以使用此種模式(Windows Server 2008以上便完全支援),使用方式為www.topsnet.asia、www1.topsnet.asia、www3.topsnet.asia...等。
Azure Web Application Firewall(WAF)費用參考如下:(東亞資料中心)
