注意：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
• 它會使用 Oracle Cloud Infrastructure 證明資料、租用戶及區間的範例值。完成實驗室時，請將這些值替代為您雲端環境特定的值。

使用 Oracle Cloud Infrastructure Load Balancer 與區域 Web 應用程式防火牆保護企業內部部署 Web 應用系統

簡介

Oracle Cloud Infrastructure Web Application Firewall (OCI WAF) 是全方位的安全性服務，可保護您的 Web 應用系統免於各種威脅，包括 SQL 隱碼攻擊、跨網站命令檔 (XSS) 等。藉由部署這個強大的防火牆解決方案，您可以將 Web 應用程式分類，並降低未經授權存取或資料外洩的風險。

Oracle Cloud Infrastructure Load Balancer 可作為虛擬流量管理程式，以智慧型方式將內送要求分配給後端伺服器集區。透過有效率地平衡負載，消除單點故障，並確保應用程式能夠處理增加的流量量，為使用者提供不中斷的服務。

高層次處理作業包含使用連附至內部部署 Web 應用程式伺服器的 OCI 負載平衡器來分配負載。將在此負載平衡器上強制實施 OCI WAF，以保護內部部署 Web 應用程式免於遭受惡意流量的危害。

注意：如果您發現此教學課程對區域 Web 應用程式防火牆 (WAF) 的快速上線體驗相當實用，特別是在企業內部部署 Web 應用程式伺服器 IP 位址是公用 IP 位址，而且您沒有直接控制 DNS 管理。本教學課程的目標是提供使用者一個簡單的方法，探索及實驗 WAF 網頁應用程式的特色與功能。意圖簡化部署和組態流程，讓使用者無須部署和設定相關的複雜性即可測試 WAF 的功能。

目標

針對企業內部部署 Web 應用系統建立 OCI 負載平衡器並在其中強制執行 WAF 的逐步操作指南。

必要條件

1. WAF 目前僅適用於 OCI 負載平衡器 (不是網路負載平衡器) 與 HTTP 監聽器 (不是 TCP 監聽器) 相容。文件可在這裡取得。
2. OCI 中的使用者必須要有建立負載平衡器和 WAF 所需的原則。請點選此處連結，分別建立原則。
3. 企業內部部署的 Web 應用程式應可透過公用網際網路 IPSec 或 OCI FastConnect 連線。在此教學課程中，負載平衡器可以透過公用網際網路連線至企業內部部署 Web 應用系統 IP 位址。

作業 1：設定 OCI 負載平衡器

1. 在必要的區間中建立彈性公用負載平衡器。瀏覽至 OCI 主控台、網路、負載平衡器、建立負載平衡器。

   

   

   

   

   

   

   

   

2. 將後端新增至步驟 1 中建立的負載平衡器。瀏覽至後端集、後端名稱。從後端精靈選擇 IP 位址按鈕，然後將您的 Web 應用程式內部部署 IP 位址新增為負載平衡器的後端。

   

3. 新增使用公用 IP 的內部部署伺服器路由，指向負載平衡器子網路路由表中的 NAT 閘道。這可確保公用負載平衡器與其公用 IP 位址型後端之間的連線能力。瀏覽至 OCI 主控台、網路、負載平衡器、負載平衡器名稱、虛擬雲端網路名稱、路由表名稱、新增路由規則。

   

作業 2：設定 OCI WAF

1. 在必要的區間中建立一個 WAF 原則，然後新增在作業 1 中建立的負載平衡器。瀏覽至 OCI 主控台、身分識別與安全、 Web 應用程式防火牆、原則。

   

   

   

   

   

   

2. 啟用從 OCI 主控台、身分識別與安全、 Web 應用程式防火牆、原則、現有原則、防火牆、防火牆名稱、日誌、啟用日誌所建立之 WAF 原則的日誌。

   

作業 3：在 WAF 中設定保護規則

1. 啟用保護規則來測試 Web 應用程式的保護，避免一些 OWASP 漏洞 (例如 SQL 命令檔插入、跨端命令檔等等)。瀏覽至先前的 WAF 原則、保護、管理要求保護規則、新增保護規則。

2. 提供保護規則的名稱，並將動作名稱變更為 401 回應代碼。

   

3. 按一下選擇保護規則並篩選建議的規則。選取「全部」並套用以新增保護規則。

   

作業 4：驗證跨網站指令碼嘗試的測試案例

1. 存取嘗試此跨網站指令碼範例的 Web 應用程式。視需要將 app URL 變更至您的 Web 應用程式 URL。Web 應用程式應該由 WAF 傳回錯誤代碼。

   < app url>?id=<script>alert(“STORE”);</script>

   

作業 5：驗證 Web 應用程式的動作

執行下列步驟以驗證對 Web 應用程式的動作，都會如記錄在日誌中的預期般記錄。

1. 選取先前啟用的日誌名稱。瀏覽至 WAF 原則名稱、防火牆、防火牆名稱、日誌、日誌名稱。

   

   

接下來的步驟

下一步涉及探索區域 Web 應用程式防火牆 (WAF) 的功能，例如存取控制、速率限制等等。完成這項探索之後，您會與 Oracle 解決方案設計人員互動，以討論並開發將 Web 應用系統移轉至 Oracle Cloud Infrastructure (OCI) 的複雜策略。這些策略將利用各種 OCI 服務，例如負載平衡器、Web 應用程式防火牆 (WAF) 和日誌記錄服務。這項協同合作旨在確保無縫且安全的移轉流程，同時最佳化 OCI 強大功能的利用。

相關連結

• Oracle Cloud Infrastructure Web Application Firewall 文件

• Oracle Cloud Infrastructure Web Application Firewall 部落格

確認

認證者 - Vishak Chittuvalapil (資深雲端工程師)，Chaitanya Chintala (雲端安全顧問)

其他學習資源

探索 docs.oracle.com/learn 的其他實驗室，或者存取更多 Oracle Learning YouTube 頻道上的免費學習內容。此外，請瀏覽 education.oracle.com/learning-explorer 以成為 Oracle Learning 檔案總管。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與版權資訊

Protect on-premises Web Applications with Oracle Cloud Infrastructure Load Balancer and Regional Web Application Firewall

F86307-01

August 2023

Copyright © 2023, Oracle and/or its affiliates.