Cvičení – testování zásad služby Front Door a WAF

  • 10 min

Posledním krokem je otestovat prostředí služby Front Door a ověřit, jestli jsou pravidla směrování správně nakonfigurovaná pro směrování webového provozu. Chceme také otestovat dostupnost původních webových serverů a pokud je obsah uložený v mezipaměti stále přístupný, když jsou servery mimo provoz.

Testování distribuce provozu pro webovou aplikaci pro registraci vozidel

  1. V Cloud Shellu spusťte následující příkaz, který vygeneruje adresu URL koncového bodu služby Front Door.

    echo https://$(az afd endpoint show \
    --profile-name vehicleFrontDoor \
    --endpoint-name $endpoint \
    --resource-group $RG \
    --query hostName \
    --output tsv)

  2. Ve webovém prohlížeči přejděte na web na adrese URL vrácenou v předchozím příkazu. Tato adresa URL je adresa koncového bodu, který jste vytvořili v profilu služby Front Door. Ověřte, že se zobrazí domovská stránka webové aplikace pro registraci vozidel. Všimněte si, že název webového serveru se zobrazí na stránce, abyste věděli, která instance obsluhuje vaši žádost.

    snímek obrazovky webového serveru 1, který reaguje na požadavek webového prohlížeče

  3. Aktualizujte prohlížeč stisknutím klávesy F5 několikrát na klávesnici. Všimněte si změny názvu serveru mezi webServer1 a webServer2. Oba webové servery se nacházejí ve stejné oblasti a mají podobnou latenci. Oba servery tedy mají stejnou šanci na obsluhu vašich požadavků.

    snímek obrazovky webového serveru 2, který reaguje na požadavek webového prohlížeče

Testování směrování

Teď otestujeme směrování konfigurace trasy na jednotlivé weby. Nakonfigurovali jste trasu, která odpovídá /VehicleRegistration/ a /VehicleRegistration/* a směřuje na privátní koncový bod pro webové servery. U žádostí, které odpovídají /LicenseRenewal/ a /LicenseRenewal/* jste je směrovali do služby App Service. V tomto cvičení je komunikace mezi službou Azure Front Door a zdrojovými prostředky soukromá, protože k navázání připojení používáte službu Private Link.

  1. Chcete-li otestovat směrování na jiné stránky webu pro registraci vozidel, vyberte Zaregistrovat vozidlo.

    snímek obrazovky webového serveru 1 zaregistrujte odkaz na vozidlo.

  2. Všimněte si, že adresa URL se změnila tak, aby obsahovala cestu /VehicleRegistration/Create. Vzhledem k tomu, že máme vzor , který odpovídá z /VehicleRegistration/*, zástupný znak odpovídá všemu po / a je směrován na webové servery, které hostují webové stránky registrace vozidel.

    snímek obrazovky se stránkou registrace vozidla

  3. Dále otestujeme směrování na web pro obnovení licence. Změňte cestu z /VehicleRegistration/Create na /LicenseRenewal/. Tato cesta vede ke zdroji služby App Service.

    snímek obrazovky s domovskou stránkou pro prodloužení platnosti licence

  4. Výběrem možnosti Prodloužit licenci zobrazíte změnu cesty na /LicenseRenewal/Create. Stejně jako trasa pro registraci vozidel existuje vzor, který odpovídá /LicenseRenewal/*, který má zástupný znak, který odpovídá všemu po / a směruje tento provoz do služby App Service.

    Snímek obrazovky z obnovy licence

Díky této konfiguraci můžete uživatele směrovat na oba weby prostřednictvím služby Front Door. Můžete nastavit vlastní doménu, která se dá snadno zapamatovat a nasměrovat uživatele na správnou stránku podle svých potřeb. Díky službě Front Door můžete rozšířit hostování více webů, povolit ukládání do mezipaměti, aby se zlepšil výkon statických prostředků a zajistili vysoce škálovatelnou a dostupnou webovou aplikaci.

Testování zásad zabezpečení

  1. Stáhněte a nainstalujte Go pro Windows. Během instalace použijte všechna výchozí nastavení. Ke spuštění aplikace GoTestWAF potřebujete Go.

  2. Stáhněte a nainstalujte Git pro Windows. Během instalace použijte všechna výchozí nastavení. Potřebujete Git ke klonování úložiště gotestwaf do místního počítače.

  3. Po instalaci Go i Gitu pro Windows otevřete Git Bash a spusťte git clone https://github.com/wallarm/gotestwaf.git a stáhněte si soubory GoTestWAF do místního počítače.

    Screenshot klonování úložiště gotestwaf pomocí Git

  4. Změňte adresář na gotestwaf složku pomocí příkazu cd gotestwaf.

    snímek obrazovky se změnou adresáře na složku gotestwaf s Gitem

  5. Teď spusťte následující příkaz, který otestuje, jestli zásady zabezpečení fungují. Nahraďte<EVALUATE_SECURITY_SOLUTION_URL> adresou URL koncového bodu na začátku této jednotky.

    go run ./cmd --url=<EVALUATED_SECURITY_SOLUTION_URL> --verbose

  6. Pokud jste správně nakonfigurovali nastavení zásad WAF, měli byste ve výstupu vidět Baseline attack status code: 999. Tento stavový kód odpovědi je stejný, který jste nakonfigurovali, pokud WAF blokuje požadavek.

    snímek obrazovky se spuštěním GoTestWAF s Gitem a zobrazením stavového kódu 999

Nyní máte plně funkční webovou aplikaci motorových vozidel chráněnou zásadami firewallu webových aplikací (WAF).