问题描述
我在Azure API管理之前拥有Azure应用程序网关,并且可以看到,在Internet上可用的大多数情况下,Azure应用程序网关和Azure API管理之间都具有防火墙。
作为Azure应用程序网关本身就是防火墙,是否有任何理由让Azure防火墙保持其隐密状态。
解决方法
Application Gateway具有WAF功能,它是第7层防火墙。由于您的应用程序是API,因此第7层防火墙绰绰有余。另外,您可以将DDOS启用到您的VNET,因此,如果您的应用程序网关的公用IP受到攻击,则DDOS保护计划会对此加以保护。
对我来说,在Application Gateway和APIM之间添加Azure防火墙没有多大意义,除非并且直到您想要控制APIM发送到Internet的出站数据为止。 Azure防火墙具有应用程序安全性规则,您可以在其中阻止将流量发送到某些站点或URL。
关于, 姆斯里尼
,通常,根据经验。 Azure防火墙用于非Web传入流量和所有传出流量。 App Gateway WAF用于传入的网络流量。
Web应用程序防火墙(WAF)是Application Gateway的一项功能,可为您的Web应用程序提供集中式入站保护,使其免受常见漏洞和漏洞的侵害。
Azure防火墙为非HTTP / S协议(例如RDP,SSH,FTP)提供入站保护,为所有端口和协议提供出站网络级保护,以及应用程序-级别的出站HTTP / S保护。
对于同时显示这两种情况的图表进行说明
如果虚拟网络中没有Web应用程序,则仅使用Azure防火墙。
仅应用网关(当虚拟网络中只有Web应用程序,并且网络安全组(NSG)提供足够的输出过滤功能时)。
Azure防火墙和应用程序网关并行(最常见的设计),当您希望Azure Application Gateway保护HTTP(S)应用程序免受Web攻击,并希望Azure Firewall保护所有其他工作负载并过滤时出站流量。
位于Azure防火墙前面的应用程序网关,当您希望Azure防火墙检查所有流量并通过WAF来保护Web流量,并且应用程序需要知道客户端的源IP地址时。
当您希望Azure防火墙在流量到达Application Gateway之前对其进行检查和筛选时,将位于Application Gateway前面的Azure防火墙。