網(wǎng)絡安全入口涵蓋了幾種設計模式，包括全局路由模式、全局卸載模式和健康終端監(jiān)控模式。網(wǎng)絡安全入口側重于：全局路由、低延遲故障切換和在邊緣處減輕攻擊。

上圖包含了3個需求：

• 網(wǎng)絡安全入口模式封裝了全局路由模式。因此，實現(xiàn)可以將請求路由到不同區(qū)域的工作負載。
• 實現(xiàn)必須能夠識別出健康和不健康的工作負載，并能夠及時地根據(jù)需要進行路由調整。延遲應能夠在幾分鐘內支持路由調整。
• 在邊緣處減輕攻擊需要實現(xiàn)中的“網(wǎng)絡安全”部分。工作負載或平臺即服務（PaaS）服務不應通過互聯(lián)網(wǎng)訪問?；ヂ?lián)網(wǎng)流量只能通過網(wǎng)關進行路由。網(wǎng)關應具有減輕攻擊的能力。

下面是使用Azure云服務的實現(xiàn)示例。

圖片

請求流程

• 用戶發(fā)出HTTP或HTTPS請求到Azure Front Door端點。
• 評估WAF規(guī)則。始終記錄匹配的規(guī)則。如果Azure Front Door WAF策略模式設置為阻止模式，并且匹配的規(guī)則的操作設置為異常情況下阻止，則阻止請求。否則，繼續(xù)請求或重定向，或評估后續(xù)規(guī)則。
• 匹配Azure Front Door中配置的路由，并選擇正確的源組。在此示例中，路徑是指向網(wǎng)站的靜態(tài)內容。
• 從源組中選擇源。
• a. 在此示例中，健康探測將網(wǎng)站視為不健康，因此從可能的源中排除。b. 選擇此網(wǎng)站。
• 請求通過Microsoft骨干網(wǎng)絡通過Private Link路由到Azure存儲帳戶。

主要優(yōu)勢

在實現(xiàn)網(wǎng)絡安全入口模式時，以下是關鍵優(yōu)勢：

• 通過健康探測實現(xiàn)的低延遲全局路由，通過在不同區(qū)域部署更多資源，實現(xiàn)橫向擴展，從而提供可靠性，使應用程序免受區(qū)域性故障的影響。
• 為HTTP和HTTPS請求提供集中的保護。
• 消除了將內部或PaaS服務暴露在互聯(lián)網(wǎng)上的需要。
• 通過在相同區(qū)域或不同區(qū)域部署更多資源，實現(xiàn)全局路由，從而實現(xiàn)水平擴展。