Azure Solution Design 配置管理系列（PART 11）

Azure Solution Design 配置管理系列（PART 10）

3.13 网络安全组配置策略

配置acn2-**-nsg01入站规则

确认默认规则“拒绝DenyAllInBound”所有入站

添加“允许”入站规则

添加名称Allow-**-Internet的“允许”规则信息

添加名称Port_ 22 的“允许”规则信息，为SFTP使用。

 

3.13.1 网关设计

    基于客户的实际情况，从已有的网络连接技术中选择适用于企业需求的网络连接方式。但是不论采取何种连接技术，都需要通过云上的虚拟网关作为连接的交汇点。否则网络打通则需要借助与其它的方式来完成。

在云上经常会被用的技术就是VPN和ExpressRoute两种，因此针对客户选择的连接方式我们需要合理的部署网关来实现网络上的连通。

本次方案中为简化部署，初步设计使用PA防火墙自带的IPsec VPN功能与本地做网络连通。

未来若需要使用ExpressRoute来满足网络互连需求，则需使用ExpressRoute网关进行专线连接。

3.13.2 应用程序网关设计

    Azure 应用程序网关是一种 Web 流量负载均衡器，可用于管理 Web 应用程序的流量。应用程序网关可以根据 HTTP 请求的其他属性（例如 URI 路径或主机头）进行路由决策。

    Azure Web 应用程序防火墙 (WAF) 服务集成在应用程序网关上面，为 Web 应用程序提供集中保护，使其免受常见攻击和漏洞的侵害。 WAF 基于 OWASP（开放 Web 应用程序安全项目）核心规则集 3.1（仅限 WAF_v2）、3.0 和 2.2.9 中的规则。

    Web 应用程序已逐渐成为利用常见已知漏洞的恶意攻击的目标。 这些攻击中最常见的攻击包括 SQL 注入攻击、跨站点脚本攻击等。 防止应用程序代码中的此类攻击颇具挑战性，可能需要在应用程序拓扑的多个层进行严格的维护、修补和监视。 集中式 Web 应用程序防火墙有助于大幅简化安全管理，为抵卸威胁或入侵的应用程序管理员提供更好的保障。 相较保护每个单独的 Web 应用程序，WAF 解决方案还可通过在中央位置修补已知漏洞，更快地响应安全威胁。 可将现有应用程序网关轻松转换为支持 Web 应用程序防火墙的应用程序网关。

详细设计内容将在应用程序网关设计表中体现。

 

Azure Solution Design 配置管理系列（PART 12）