注意:

使用 OCI 网络防火墙和 OCI WAF Edge 通过 Let’s Encrypt 证书保护应用

简介

在一个由无处不在的数字化转型主导的环境中,确保应用程序的安全性不仅仅是一个考虑因素,它是一个不妥协的优先事项。随着企业将工作负载迁移到 Oracle Cloud Infrastructure (OCI),强大的网络威胁防御策略变得不可或缺。OCI 提供了一整套工具来强化您的应用,在本教程中,我们将指导您完成使用 OCI 网络防火墙和 OCI Web 应用防火墙 (WAF) 边缘保护数字资产的过程。

为什么本教程至关重要?

当您的应用程序与外部世界通信时,它们面临着网络安全威胁的不断挑战。本教程可帮助您构建多层防御,利用 OCI 网络防火墙和 OCI WAF 边缘的强大功能,保护您的应用免受已知和新兴威胁的影响。我们将探索重要的概念,包括多域支持以及使用标准工具生成或更新 X.509 证书。此外,我们将深入研究广泛认可的免费服务 Let’s Encrypt 的使用。通过此,您将全面了解用于保护应用程序的基本实践。

本教程的受众是谁?

本教程专为希望全面了解 Oracle Cloud Infrastructure 安全功能的云架构师、安全专家和开发人员而设计。无论您是经验丰富的云从业人员,还是刚刚开始您的云安全之旅,本教程都将为您提供围绕您的应用程序构建强大防御的技能。

什么是 OCI 网络防火墙

Oracle Cloud Infrastructure Network Firewall 是使用 Palo Alto Networks 构建的先进托管防火墙服务。这是下一代防火墙技术 (NGFW)。它提供基于机器学习的防火墙功能来保护您的 OCI 工作负载,并且易于在 OCI 上使用。作为 OCI 原生防火墙即服务产品,OCI 网络防火墙可帮助您充分利用防火墙功能,而无需配置和管理其他安全基础设施。OCI 网络防火墙实例具有高度的可扩展性和内置高可用性,可以在您选择的虚拟云网络 (VCN) 和子网中创建。

OCI 网络防火墙服务可深入洞察进入云环境的数据流,从而处理传入和子网间或 VCN 之间的通信。从本质上讲,它提供了对南北网络流量和东西方网络流量的可见性。有关更多信息,请参见 OCI Network Firewall

什么是 OCI Web 应用程序防火墙边缘

OCI WAF 边缘是一项基于云的 Web 应用防火墙服务。它通过过滤网络边缘的恶意流量来保护 Web 应用程序免受 SQL 注入和 DDoS 攻击等在线威胁,从而增强安全性。有关详细信息,请参阅 OCI Web 应用防火墙

体系结构

体系结构

此建议的体系结构将使用以下组件全面保护租户负载。

数据流图表

在以下网络图中可以很容易地看到网络数据流,绿点线中的传入请求,红点线中的响应。

体系结构

此图遵循为南北流量部署 OCI 网络防火墙的最佳实践。在初始阶段,传入流量(以绿色表示并在第 7 层运行)通过 OCI WAF 边缘第 7 层防火墙进行定向。OCI WAF 边缘可对 TLS/SSL 连接执行终止和响应,随后启动与 OCI 的辅助 TLS/SSL 连接,充当背靠背用户代理。

在网络流之后,流量从 OCI WAF 边缘流入 OCI 互联网网关。在 Internet 网关内,路由表已配置为将流量重定向到 OCI 网络防火墙所在的专用 IP 地址。值得注意的是,OCI 网络防火墙在不终止 TLS/SSL 连接的情况下无缝接收流量。OCI 网络防火墙应用解密概要信息来解密 TLS 流量,从而进行深度数据包检查。有关详细信息,请参阅使用 OCI 网络防火墙进行 SSL 解密

OCI 网络防火墙全面检查流量后,将转到 OCI 负载平衡器。平衡器负责终止和响应 TLS/SSL 连接。它执行负载平衡路由,然后启动到所选后端服务器的辅助连接。

对于来自后端服务器的返回流量,后端服务器最初会响应 OCI 负载平衡器(以红色图示并在第 7 层运行)。达到负载平衡器后,负载平衡器子网中的路由表会将流量重定向回 OCI 网络防火墙所在的专用 IP。这使 OCI 网络防火墙能够全面检查响应。在 OCI 网络防火墙完成检查后,它会根据与下一代防火墙 (NGFW) 子网关联的路由表命令返回 Internet 网关。

随后,返回的流量将到达 OCI WAF 边缘,以便最终检查响应。OCI WAF 边缘完成检查后,它将流量安全地传送回互联网上的用户。

目标

本教程的主要目的是通过与 OCI 网络防火墙一起有效设置 OCI WAF 边缘,使用户能够增强云工作负载。通过结合 Let’s Encrypt 为 OCI WAF 边缘前端提供的签名 X.509 证书,用户可以确保建立安全且经过验证的连接。本教程进一步指导用户实施面向南北流量的 OCI 网络防火墙优秀实践,并部署应用 OCI 负载平衡器。值得注意的是,此配置使用非自签名证书从战略上将 OCI WAF 边缘指定为唯一组件 - 让我们加密证书,而采用传输层安全 (Transport Layer Security,TLS) 的其他元素则使用易于管理的无麻烦自签名证书。

此外,我们将演示 OCI WAF 边缘和 OCI 网络防火墙中多个子域的使用情况,设置 OCI WAF 边缘以接受通配符域并在 X.509 证书中使用通配符域。

先决条件

任务 1:部署 OCI Web 应用防火墙 (Web Application Firewall,WAF) 边缘

我们要部署的第一个组件是 WAF 边缘。

  1. 登录到 OCI 控制台,然后单击 Web 应用防火墙

    WAF 菜单 1

  2. 策略中,单击创建 WAF 策略并输入以下信息。

    WAF 创建策略

    要创建 OCI WAF 边缘,请单击在此处使用传统工作流(如果需要保护您的非 OCI Web 应用程序)。默认情况下,会创建一个适用于附加到负载平衡器的本地 WAF 策略。本教程的重点是 OCI WAF 边缘(称为旧工作流 WAF),它是 OCI 的外部元素,可以保护 OCI 和非 OCI 源(公共 IP 服务器)。请注意,OCI WAF 边缘是与 OCI WAF 本地策略不同的产品,具有机器人管理(Captcha 质询、JavaScript 质询、人工交互质询等)和缓存规则(类似于 CDN 缓存机制)等功能。

  3. 创建边缘策略中,输入所需的信息。

    创建边缘策略

    此时,两个关键概念需要澄清。

    • 域:WAF 边缘表示公众可访问的 Internet 域,用于访问 Web 服务(例如:www.myexamplewebshop.com)。此域充当所有用户(包括使用移动设备和笔记本电脑的用户)的主要连接点。此域仅支持默认的 http 80 https 443 TCP 端口。

      中,您可以添加网站的主域(例如:www.example.com),并继续添加更多附加域app1.example.comcustomer1.example.com 等)。如果要添加通配符域,您需要使用 OCI CLI 手动添加该域。访问 OCI CLI 的最快方式是通过 OCI 开发人员工具 Cloud Shell,您可以在其中从 OCI 控制台访问基于 Web 浏览器的终端,使用预配置的 Linux shell 以及最新版本的 OCI CLI 和许多有用的工具。有关更多信息,请参见 OCI Command Line Interface (CLI)OCI Cloud Shell

      要将通配符域添加为附加域,请打开 OCI Cloud Shell 并执行。

      oci waas waas-policy update --additional-domains '["*.yourmaindomain.xxx"]' --waas-policy-id your-WAF-policy-ID

( You can get your policy ID from OCI Web Console->Web application firewall->Policies->Policy details -> Policy Information Tab -> OCID )

      通过使用通配符域,您的 WAF 策略将能够接收 http(s) 请求,包括任何子域,例如 \*.example.com。例如:myapp1.example.commycustomer2.example.com 等。

    • WAF 源:我们有 WAF 边缘。源是指位于 WAF 后面的实际 Web 服务器。在 WAF 术语中,origin 表示最终目标服务器受到保护。这些源应专门与负责保护它们的 WAF 边缘服务器通信。必须确保源服务器支持此保护,通常通过安全列表或网络安全组 (NSG) 在 OCI 中实现,这些安全列表或网络安全组仅允许从指定的 OCI WAF 边缘源 IP 访问。有关详细信息,请参阅保护 WAF 。通常,您将在此处输入实际 Web 服务器或源的公共 IP 地址或 FQDN。但是,在本教程中,我们将利用灵活的负载平衡器的公共 IP 地址。如果已创建负载平衡器,则可以使用其公共 IP 地址作为 WAF 源。否则,您最初可以添加任何 IP 地址,并在创建公共负载平衡器后进行更新。

      您可以为每个组创建具有多个源的不同源组,并在它们之间进行负载平衡(IP_Hash、Round_robin、Sticky_Cookie),包括定期运行状况检查。有关更多信息,请参见 Origin Management 。此外,在高级源选项下,您将能够更改默认的 http 80 https 443 TCP 端口(仅适用于源,不适用于域)。

  4. 单击 Create Edge Policy 。大约需要 2 分钟,我们将看到创建。之后,我们将获得 ACTIVE ,以便继续设置 OCI WAF。

任务 2:为 OCI WAF Edge 配置 DNS

现在,我们已启动并运行 OCI WAF 边缘的基本配置。为了确保主域和其他域(包括通配符)重定向到 OCI WAF 边缘服务器,我们需要使用控制台中显示的相应 CNAME 配置托管域的 DNS 服务器。

DNS 名称

在本教程中,我们将使用 OCI 公共 DNS 服务器,为建议值添加 CNAME,如下图所示。

OCI DNS 配置

配置和发布后,任何连接到 \*.example.com 的尝试都将重定向到 OCI WAF 边缘服务器,以便在 www-example-com.o.waas.oci.oraclecloud.net 上进行第 7 层检查。检测完成后,OCI WAF 边缘将在 WAF 检测后通过干净的流量对配置的源进行负载平衡。

任务 3:为 OCI WAF Edge 启用 HTTPS 支持

在此任务中,我们将在 OCI WAF 边缘上启用 HTTPS 支持。如今,几乎所有的 Web 服务都需要安全的 HTTP 或 HTTPS 实现,依赖于 SSL / TLS 连接。深入了解 TLS/SSL 概念(包括 X.509 管理)至关重要,这不仅可以在 OCI WAF 边缘有效支持 HTTPS,还可以在本教程中讨论的即将推出的软件组件上有效支持 HTTPS。

  1. 转到 OCI 控制台,在边缘策略下,单击设置

    边缘策略设置

  2. 要启用 HTTPS,请单击启用 HTTPS 支持

    HTTPS 启用

在此处,您需要上载服务器证书及其私钥。此证书将表示您在创建 OCI WAF 边缘期间选择的主域其他域,因此证书的通用名称和主题替代名称 (SAN) 字段必须包括这些域。有关更多信息,请参见 What is the SSL Certificate Subject Alternative Name?

如果您使用未由公共 CA 签名的自签名证书,请选择自签名证书。上载由公共 CA 签名的证书时,确保上载整个链证书非常重要。链证书由证书列表组成,通常以最终实体证书、服务器证书及其公钥开头,后跟一个或多个 CA 证书(中间体),并且可以选择使用根 CA 证书(自签名)。

任务 4:使用 Let’s Encrypt 签名服务器证书

在本教程中,我们将使用名为 Let’s Encrypt 的免费公共 CA 服务来签署我们的服务器证书。因此,链证书将显示如下:

1.-End-user Certificate - Issued to: *.example.com; Issued By: Let’s Encrypt R3
2.-Intermediate Certificate 1 - Issued to: Let’s Encrypt R3 (RSA 2048, O = Let's Encrypt, CN = R3); Issued By: Signed by ISRG Root X1:ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
3.-Root certificate - Issued by and to: ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1) , Selfsigned

In PEM format:

-----BEGIN CERTIFICATE-----
MDIxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQswCQYDVQQD
EwJSMzAeFw0yNDAxMTUxNjAyMTNaFw0yNDA0MTQxNjAyMTJaMBgxFjAUBgNVBAMM
DSouZnd0ZXN0LnNpdGUwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC1
3NkuEB3r0m/cIWjYBvXEg8QAcib3QjkGO2YwDRu9IwjyxTYTqiWp0F8ZYh2hM1zP
...xxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
oIEdyb3VwMRUwEwYDVQQDEwxJU1JHIFJvb3QgWDEwHhcNMjAwOTA0MDAwMDAw
WhcNMjUwOTE1MTYwMDAwWjAyMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNTGV0J3Mg
RW5jcnlwdDELMAkGA1UEAxMCUjMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
AoIBAQC7AhUozPaglNMPEuyNVZLD+ILxmaZ6QoinXSaqtSu5xUyxr45r+XXIo9cP
R5QUVTVXjJ6oojkZ9YI8QqlObvU7wy7bjcCwXPNZOOftz2nwWgsbvsCUJCWH+jdx
sxPnHKzhm+/b5Dt....XXXX
-----BEGIN CERTIFICATE-----
oOFTJOwT2e4ZvxCzSow/iaNhUd6shweU9GNx7C7ib1uYgeGJXDR5
bHbvO5BieebbpJovJsXQEOEO3tkQjhb7t/eo98flAgeYjzYIlefiN5YNNnWe+w5y
sR2bvAP5SQXYgd0FtCrWQemsAXaVCg/Y39W9Eh81LygXbNKYwagJZHduRze6zqxZ
Xmidf3LWicUGQSk+WT7dJvUsWqNMQB9GoZm1pzpRboY7nn1ypxIFeFntPlF4
FQsDj43QLwWyPntKHEtzBRL8xurgUBN8Q5N0s8p0544fAQjQMNRbcTa0B7rBMDBc
SLeCO5imfWCKoqMpgsy6vYMEG6KDA0Gh1gXxG8K28Kh8hjtGqEgqiNx2mna/H2ql
PRmP6zjzZN7IKw0KKP/32+IVQtQi0Cdd4Xn+GOd....xxx
-----END CERTIFICATE-----

因此,在使用 Let’s Encrypt 之前,我们需要安装某些软件,以帮助我们创建 Let’s Encrypt 证书或签署一份 CSR 签名。有关详细信息,请参阅让我们加密

对于签名,我们将使用 Let’s Encrypt 中的 certbot。有关设置说明的更多信息,请参阅设置说明。要在 Oracle Linux 上安装,请参见 Let's Encrypt - Free Certificates on Oracle Linux (CertBot)

安装 certbot 后,可以通过执行以下命令轻松创建签名的 x.509 证书。

sudo certbot certonly --manual --preferred-challenges=dns --email YOUR EMAIL ADDRESS --server https://acme-v02.api.letsencrypt.org/directory --agree-tos -d *.example.com --key-type rsa

由于我们正在使用通配符域 (_.example.com),因此 certbot 需要验证质询才能确认 _.example.com 的所有权。我们使用 -preferred-challenges=dns 选项来选择 DNS 质询。在执行 certbot 期间,我们将收到有关 DNS 质询的消息,如下图所示。

Certbot DNS 质询

由于我们使用的是 OCI DNS 服务,因此我们只是在 example.com 区域中创建 txt 记录。

OCI DNS TXT 挑战

现在,certbot 应完成该过程,允许您获取最终用户证书,完成完整的 CA 链及其对应的私钥。然后,您可以将这些资源上载到任务 3 中的 OCI WAF HTTPS 菜单。

在任务 3 中上载刚签名的证书后,您将看到您有 1 个未发布的更改消息。单击全部发布,大约需要 20-30 分钟。

此时,您的 OCI WAF 边缘配置为接收 HTTPS 流量。以后,在创建 OCI 负载平衡器时,您需要获取负载平衡器公共 IP 并将其设置为 OCI WAF 边缘源。

WAF 边缘源公共 IP

任务 5:配置 OCI 负载平衡器

完成 OCI WAF 边缘的设置后,我们的下一个目标是将 OCI 负载平衡器部署在第 4 到 7 层(也称为 OCI 灵活负载平衡器)中,作为 OCI WAF 边缘的面向公众的服务源。请注意,OCI 负载平衡器提供启用和附加内部或区域 OCI WAF(提供 WAF 功能)的功能,这一点非常重要。但是,值得一提的是,该 OCI WAF 区域是一个具有自己独特功能集的独特产品。本教程专门介绍 OCI WAF 边缘实施。

  1. 打开 OCI 控制台,单击网络负载平衡器

    Load Balancer 1

  2. 单击创建负载平衡器并输入以下信息,然后单击下一步

    • 负载平衡器名称:输入负载平衡器的名称。
    • 选择可见性类型:选择公共负载平衡器,请记住 OCI WAF 边缘仅保护公共 IP 源。
    • 带宽:选择负载平衡器配置和其他配置详细信息。
    • 选择网络:选择至少具有两个公共子网的 VCN;一个用于 OCI 负载平衡器,另一个用于 OCI 网络防火墙。

    架构中所述,确保负载平衡器仅接受来自 OCI WAF 边缘服务器范围的流量,请参阅 CIDR 范围

    可以通过在网络安全组 (Network Security Group,NSG) 中应用防火墙规则、单击使用网络安全组控制流量并利用 NSG 或配置负载平衡器子网安全列表来实现这一点。

    负载平衡器主菜单

  3. 跳过选择后端部分,因为在创建负载平衡器后,我们将稍后添加后端服务器,然后单击下一步

  4. 配置监听程序中,输入以下信息,然后单击下一步

    "Load Balancer Listener" 菜单

    我们将配置传入请求负载平衡器监听程序,本质上是负载平衡器的主要入口点,在其中接收来自外部世界的所有连接。我们需要在默认端口 443 上为安全 HTTP 设置 HTTPS,这不可避免地需要使用 X.509 证书(SSL 证书)。通过使用 HTTPS,我们将确保所有连接都将安全加密。

    在一种典型的场景中,公共负载平衡器充当互联网上最终用户的主要入口点,必须上载由知名公共证书颁发机构 (CA) 签名的 SSL 证书,例如 Digicert、Global Sign、Let’s Encrypt 等。此外,暴露于互联网的这些证书需要在到期日期附近续订,以确保客户不会遇到不必要的消息,例如您的连接不是私密的!!ERR_CERT_DATE_INVALID.

    在本教程中,我们使用 OCI WAF 边缘作为用户在互联网上访问 Web 服务的主要入口点。我们的服务源自公共负载平衡器将位于 OCI WAF 边缘之后,这意味着它们只会接收来自 OCI WAF 边缘节点的流量。由于进行了此设置,因此无需将 SSL 证书从公共 CA 上载到负载平衡器。相反,我们可以轻松地安装一个没有到期日期或很长的自签名 SSL 证书,使管理更简单。

    需要注意的是,OCI WAF 边缘不会检查从负载平衡器接收的 SSL 证书的详细信息,例如通用名称或主题替代名称,也不会检查证书签名。不过,它仍将在 OCI WAF 边缘与 OCI 负载平衡器的目标源之间建立安全、加密的连接。

    我们使用任何外部工具(例如 opensslXCA )创建了自签名证书。您还可以使用与 OCI 负载平衡器集成的 Oracle 证书托管服务。在本教程中,我们使用 XCA 创建自签名证书,并将其手动上载到 OCI 负载平衡器及其私钥。上载的自签名证书使用任何通用名称或 SAN,有效期为 50 年。OCI WAF 不会检查该信息。

  5. 管理日志记录是可选配置,不在本教程的范围内。单击提交

  6. 过一段时间后,将创建负载平衡器。现在,我们需要配置后端服务器。由于 SSL 将用于后端服务器,因此我们需要先在负载平衡器的证书部分中至少创建一个证书,该证书用于设置与后端服务器的 SSL 连接。如上所述,可以使用第三方工具手动创建此证书包,也可以使用 OCI 证书管理服务。对于本教程,我们将使用 XCA 工具。

    转至网络负载平衡器负载平衡器负载平衡器详细信息证书

  7. 证书部分中,选择证书资源作为负载平衡器管理证书,然后单击添加证书

    负载平衡器证书源

    添加用于签署后端服务器的 SSL 证书的公共 CA 根或中间 CA 证书。作为提醒,我们一直在使用具有任何通用名称和 SAN 的自签名证书,并且没有到期日期。您无需在此处安装任何服务器证书,因为负载平衡器将完全使用根 CA 进行后端服务器证书验证。

    负载平衡器正在添加证书

  8. 要创建后端服务器,请选择 BackEnd 集,然后单击创建后端集

    负载平衡器后端集 1

  9. 创建后端集中,输入以下信息。

    • 后端集名称:输入后端集名称。
    • 选择 SSL
    • 选择负载平衡器管理证书
    • 添加您在步骤 7 中创建的证书。如果要确保负载平衡器检查收到的 SSL 证书签名,请单击验证对等证书
    • 健康检查:
      • Protocol(协议):选择 HTTP
      • 端口:选择 443 端口。
      • 间隔和超时:保留默认间隔和超时(10000 和 3000 毫秒)。
      • 对于运行状况检查的运行状况响应,请选择 200。
      • URL 路径 (URI):从 Web 服务器上存在的 URL 添加任何资源。例如:index.htmlmainpage.html 等。

    负载平衡器后端集 1

任务 6:配置 OCI 网络防火墙

设置 OCI 负载平衡器后,我们的目标是配置 OCI 网络防火墙以保护南北流量。防火墙将放置在新配置的负载平衡器和 Internet 网关之间。要继续设置 OCI 网络防火墙,请参阅使用 OCI 网络防火墙进行 SSL 转发代理和使用解密规则的入站检查并完成以下操作。

任务 7:配置 OCI 路由

OCI 网络防火墙已部署,我们需要确保南北流量从两个方向遍历。首先要做的就是为与 OCI 网络防火墙所在的 VCN 关联的 Internet 网关创建专用路由表。

  1. 在 VCN 中创建路由表,并将目标类型的条目添加为 private IP目标添加为 CIDR 块,引入负载平衡器子网 CIDR 块,在本教程 192.168.6.0/24目标中,作为分配给任务 6 中部署的 OCI 网络防火墙的专用 IP。

    Internet GW 路由表

  2. 将路由表与 Internet 网关关联,单击三个点和“关联路由”表,然后选择路由表。

    Internet GW 路由表

  3. 此路由表与 Internet 网关关联后,指向公共负载平衡器 192.168.6.0/24 的所有流量最初将重定向到 OCI 网络防火墙所在的专用 IP 192.168.5.78

    从 OCI Network Firewall 专用 IP 192.168.5.78,经过 OCI Network Firewall 的数据包检查后,数据包将持续迁移到 OCI Load Balancer。从那里,它们被定向到所选后端服务器中的最终目标,由负载平衡器的路由配置确定。

    现在,务必确保返回 Internet 用户的数据包按相反顺序遵循相同的路径,并穿越 OCI 网络防火墙以检查响应。我们需要为负载平衡器公共子网创建路由表,以便通过 OCI 网络防火墙专用 IP 192.168.5.78 路由后端服务器的响应,如下图中所示。

    负载平衡器路由表

在 OCI 网络防火墙子网中,我们需要通过向 Internet 网关添加 0.0.0.0/0 路由来确保响应路由到 Internet 网关。

网络防火墙路由表

在到达 Internet 网关后,数据包会路由回其源 OCI WAF 边缘,以便最终检查响应,然后再定向到 Internet 用户。

确认

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室,或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心