应用程序网关和加密

在传输过程中加密数据是保护应用程序的重要步骤。 可以从证书颁发机构购买证书，并使用它们来加密传入和传出服务器的消息。 此加密可防止未经授权的用户在传输时截获和检查这些消息中的信息。

在发货门户中，加密很重要，因为我们正在处理发货客户订单。 如果有人可以访问传输的数据，他们可以查看敏感信息，例如客户详细信息或财务帐户数据。

为了帮助保护此数据，可以使用 Azure 应用程序网关。 它会加密从用户到应用程序服务器遍历网络的数据。

应用程序网关及其优势

Azure 应用程序网关是应用程序传送控制器。 它提供负载均衡 HTTP 流量、Web 应用程序防火墙以及数据 SSL 加密等功能。 应用程序网关支持加密用户与应用程序网关之间的流量，以及应用程序服务器与应用程序网关之间的流量。

应用程序网关的图示表示形式。

在应用程序网关上终止 SSL 连接时，它会从服务器卸载 CPU 密集型 SSL 终止工作负荷。 此外，无需在服务器上安装证书并配置 SSL。

如果需要端到端加密，应用程序网关可以使用私钥解密网关上的流量。 然后，它会使用在后端池中运行的服务的公钥重新加密流量。

通过应用程序网关公开网站或 Web 应用程序也意味着你不会直接将服务器连接到 Web。 会仅公开应用程序网关上的端口 80 或端口 443。 无法直接从 Internet 访问 Web 服务器，从而减少基础结构的攻击面。

应用程序网关组件

应用程序网关有多个组件。 加密的主要部分是前端端口、侦听器和后端池。

下图显示了如何解密从客户端到应用程序网关的传入流量，然后在发送到后端池中的服务器时重新加密。

前端端口和侦听器

流量通过前端端口进入网关。 你可以打开多个端口，应用程序网关可以在任一个端口上接收消息。 流量通过端口进入网关时会首先遇到侦听器。 它设置为侦听特定主机名、特定端口和特定 IP 地址。 侦听器可以使用 SSL 证书解密进入网关的流量。 然后，侦听器使用定义的规则将传入请求定向到后端池。

后端池

后端池包含应用程序服务器。 这些服务器可能是虚拟机、虚拟机规模集或 Azure 应用服务上运行的应用程序。 可以在此池中的服务器之间对传入请求进行负载均衡。 后端池有一个 HTTP 设置，该设置引用用于对后端服务器进行身份验证的证书。 在将流量发送到后端池中的某个服务器之前，网关会使用此证书重新加密流量。

如果使用 Azure 应用服务托管后端应用程序，则无需在应用程序网关中安装任何证书才能连接到后端池。 所有通信均会自动加密。 应用程序网关信任服务器是因为 Azure 对其进行管理。