網(wǎng)絡(luò)安全入口涵蓋了幾種設(shè)計(jì)模式，包括全局路由模式、全局卸載模式和健康終端監(jiān)控模式。網(wǎng)絡(luò)安全入口側(cè)重于：全局路由、低延遲故障切換和在邊緣處減輕攻擊。

上圖包含了3個(gè)需求：

• 網(wǎng)絡(luò)安全入口模式封裝了全局路由模式。因此，實(shí)現(xiàn)可以將請(qǐng)求路由到不同區(qū)域的工作負(fù)載。
• 實(shí)現(xiàn)必須能夠識(shí)別出健康和不健康的工作負(fù)載，并能夠及時(shí)地根據(jù)需要進(jìn)行路由調(diào)整。延遲應(yīng)能夠在幾分鐘內(nèi)支持路由調(diào)整。
• 在邊緣處減輕攻擊需要實(shí)現(xiàn)中的“網(wǎng)絡(luò)安全”部分。工作負(fù)載或平臺(tái)即服務(wù)（PaaS）服務(wù)不應(yīng)通過互聯(lián)網(wǎng)訪問。互聯(lián)網(wǎng)流量只能通過網(wǎng)關(guān)進(jìn)行路由。網(wǎng)關(guān)應(yīng)具有減輕攻擊的能力。

下面是使用Azure云服務(wù)的實(shí)現(xiàn)示例。

圖片

請(qǐng)求流程

• 用戶發(fā)出HTTP或HTTPS請(qǐng)求到Azure Front Door端點(diǎn)。
• 評(píng)估WAF規(guī)則。始終記錄匹配的規(guī)則。如果Azure Front Door WAF策略模式設(shè)置為阻止模式，并且匹配的規(guī)則的操作設(shè)置為異常情況下阻止，則阻止請(qǐng)求。否則，繼續(xù)請(qǐng)求或重定向，或評(píng)估后續(xù)規(guī)則。
• 匹配Azure Front Door中配置的路由，并選擇正確的源組。在此示例中，路徑是指向網(wǎng)站的靜態(tài)內(nèi)容。
• 從源組中選擇源。
• a. 在此示例中，健康探測(cè)將網(wǎng)站視為不健康，因此從可能的源中排除。b. 選擇此網(wǎng)站。
• 請(qǐng)求通過Microsoft骨干網(wǎng)絡(luò)通過Private Link路由到Azure存儲(chǔ)帳戶。

主要優(yōu)勢(shì)

在實(shí)現(xiàn)網(wǎng)絡(luò)安全入口模式時(shí)，以下是關(guān)鍵優(yōu)勢(shì)：

• 通過健康探測(cè)實(shí)現(xiàn)的低延遲全局路由，通過在不同區(qū)域部署更多資源，實(shí)現(xiàn)橫向擴(kuò)展，從而提供可靠性，使應(yīng)用程序免受區(qū)域性故障的影響。
• 為HTTP和HTTPS請(qǐng)求提供集中的保護(hù)。
• 消除了將內(nèi)部或PaaS服務(wù)暴露在互聯(lián)網(wǎng)上的需要。
• 通過在相同區(qū)域或不同區(qū)域部署更多資源，實(shí)現(xiàn)全局路由，從而實(shí)現(xiàn)水平擴(kuò)展。