Azure上部署Barracuda WAF叢集 --- 1

公有雲上的第一層防護，一般要采用Proxy模式的安全裝置。

梭子魚的WAF是最早支援Azure China公有雲的安全裝置。

本文記錄了在Azure上安裝部署Barracuda的過程。下面就是安裝部署的全過程：

1. 下載下傳Barracuda的鏡像:

   下載下傳位址：http://pan.baidu.com/s/1eQEq4nC 提取密碼：v6rq 

   下載下傳後的檔案為：BarracudaWebAppFirewall-vm4.1.4-fw7.9.0.020-20141201-azure.rar，解壓縮。

   在D: \BarracudaWebAppFirewall-vm4.1.4-fw7.9.0.020-20141201-azure\HyperV\Virtual Hard Disks下有WAF的vhd虛拟磁盤檔案：BarracudaWebAppFirewall-vm4.1.4-fw7.9.0.020-20141201.vhd

2. 上傳vhd鏡像：

   首先在Azure的Storage中建立一個Container：

   

   然後打開Powershell_ise，用指令行上傳鏡像：

   PS C:\Users\hengz> Add-AzureVhd -LocalFilePath D:\BarracudaWebAppFirewall-vm4.1.4-fw7.9.0.020-20141201.vhd -Destination https://portalvhds6mlqtd15wqmm7.blob.core.chinacloudapi.cn/barracuda/barracuda.vhd

   MD5 hash is being calculated for the file D:\BarracudaWebAppFirewall-vm4.1.4-fw7.9.0.020-20141201.vhd.

   

   

   指令會對vhd進行處理，符合Azure的标準後上傳到Azure的存儲中。上傳的速度還是可以的，在辦公室的無線環境中可以達到50多Mbps的速度，還是相當可以的。

   上傳成功：

   MD5 hash calculation is completed.

   Elapsed time for the operation: 00:02:39

   Creating new page blob of size 53687091712...

   Elapsed time for upload: 00:06:49

   LocalFilePath DestinationUri

   ------------- --------------

   D:\BarracudaWebAppFirewall-vm4.1.4-fw7.9.0.020-20141201.vhd https://portalvhds6mlqtd15wqmm7.blob.core.chinacloudapi.cn/barracuda/barracuda.vhd

   上傳結束後，首先把上傳的VHD建立成Image：

   

   

   

   這是看到的vhd的大小是50GB。

3. 用建立好的Image建立兩台虛拟機

   Barracuda的WAF的License分4個level：Level 1、Level 5、Level 10、Level 15。分别對應Azure的A1、A2、A3、A4。根據License的類型選擇虛拟機的型号。我拿到的Licence是Level 5，是以選擇的是A2的VM。

   

   

   

   也可以用powershell的指令行建立虛拟機：

   PS C:\Users\hengz> New-AzureVMConfig -Name azurebrcd02 -InstanceSize Medium -ImageName $vmimage.ImageName | Add-AzureProvisioningConfig -Linux -LinuxUser hengwei -Password xxxxxx | Set-AzureSubnet -SubnetNames Subnet-1 | New-AzureVM -ServiceName azurebrcd -Location "China East" -VNetName hebarracuda

4. 建立Endpoint，設定管理Endpoint和業務Endpoint：

   Barracuda WAF的管理端口是8000，前面設定的ssh在安裝以後不會使用。是以添加local port是8000的endpoint。

   第一台裝置，local port是8000，public port是8003：

   PS C:\Users\hengz> get-azurevm -ServiceName azurebrcd -Name azurebrcd01 | Add-AzureEndpoint -Name brcdmgmt -Protocol tcp -LocalPort 8000 -PublicPort 8003 | Update-AzureVM

   OperationDescription OperationId OperationStatus

   -------------------- ----------- ---------------

   Update-AzureVM 42e7032e-778e-4303-b0b5-aa227249e2ef Succeeded

   第二台裝置，local port是8000，public port是8004：

   PS C:\Users\hengz> get-azurevm -ServiceName azurebrcd -Name azurebrcd02 | Add-AzureEndpoint -Name brcdmgmt -Protocol tcp -LocalPort 8000 -PublicPort 8004 | Update-AzureVM

   Update-AzureVM cae9d85a-b099-46d4-b80a-a8d276f65890 Succeeded

   設定http的Endpoint，生成httpset的SLB組，80端口在兩台Barracuda的伺服器間實作負載均衡:

   PS C:\Users\hengz> get-azurevm -ServiceName azurebrcd -Name azurebrcd02 | Add-AzureEndpoint -Name http -Protocol tcp -LocalPort 80 -PublicPort 80 -LBSetName httpset -ProbePort 80 -ProbeProtocol tcp -LoadBalancerDistribution sourceIP | Update-AzureVM

   Update-AzureVM ebd56971-ad96-47da-8e6a-bed9703c313f Succeeded

   PS C:\Users\hengz> get-azurevm -ServiceName azurebrcd -Name azurebrcd01 | Add-AzureEndpoint -Name http -Protocol tcp -LocalPort 80 -PublicPort 80 -LBSetName httpset -ProbePort 80 -ProbeProtocol tcp -LoadBalancerDistribution sourceIP | Update-AzureVM

   Update-AzureVM 7b3a9f00-91ef-427f-b107-2ffbcce9aefb Succeeded

   當然，上面兩步操作都可以在Portal頁面上完成。

   

   至此，Endpoint都建立完成。

5. 兩台Barracuda伺服器做成Azure的HAset

   在Configure頁面中建立Availability Set: brcdha，并把兩台都加入這個HA Set。

   

   至此Barracuda在Azure上的部署工作完成，後面是Barracuda裝置的配置工作。