Ochrana aplikací pomocí WAF služby Application Gateway
Přidání ochrany firewallu webových aplikací (WAF) pro aplikace publikované pomocí proxy aplikací Microsoft Entra
Další informace o firewallu webových aplikací najdete v tématu Co je Azure Web Application Firewall ve službě Azure Application Gateway?.
Kroky nasazení
Tento článek obsahuje postup bezpečného zveřejnění webové aplikace na internetu pomocí proxy aplikací Microsoft Entra s Azure WAF ve službě Application Gateway.
Konfigurace služby Azure Application Gateway pro odesílání provozu do interní aplikace
V tomto článku jsou vynechány některé kroky konfigurace služby Application Gateway. Podrobný průvodce vytvořením a konfigurací služby Application Gateway najdete v tématu Rychlý start: Směrování webového provozu pomocí služby Azure Application Gateway – Centrum pro správu Microsoft Entra.
1. Vytvořte privátní HTTPS naslouchací zařízení
Vytvořte naslouchací službu, aby uživatelé mohli přistupovat k webové aplikaci soukromě při připojení k podnikové síti.
2. Vytvoření back-endového fondu s webovými servery
V tomto příkladu mají back-endové servery nainstalovanou internetovou informační službu (IIS).
3. Vytvoření nastavení back-endu
Nastavení back-endu určuje, jak jsou požadavky směrovány na servery backendového fondu.
4. Vytvořte pravidlo směrování, které prováže naslouchací prvek, fond backend a nastavení backendu vytvořené v předchozích krocích.
5. Povolte WAF ve službě Application Gateway a nastavte ho na režim prevence.
Nakonfigurujte aplikaci tak, aby byla vzdáleně přístupná prostřednictvím proxy aplikací v MICROSOFT Entra ID.
Oba virtuální počítače konektoru, aplikační brána a backend servery jsou nasazeny ve stejné virtuální síti v Azure. Nastavení platí také pro aplikace a konektory nasazené místně.
Podrobný průvodce přidáním aplikace do proxy aplikací v Microsoft Entra ID naleznete v Kurz: Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID. Další informace o aspektech výkonu týkajících se privátních síťových konektorů najdete v tématu Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra.
V tomto příkladu byla stejná adresa URL nakonfigurovaná jako interní a externí adresa URL. Vzdálení klienti přistupují k aplikaci přes internet na portu 443 prostřednictvím proxy aplikace. Klient připojený k podnikové síti přistupuje k aplikaci soukromě. Přístup je prostřednictvím služby Application Gateway přímo na portu 443. Podrobný krok konfigurace vlastních domén v proxy aplikací najdete v tématu Konfigurace vlastních domén pomocí proxy aplikací Microsoft Entra.
Zóna služby Azure Private Domain Name System (DNS) je vytvořena se záznamem A. Záznam A odkazuje www.fabrikam.one na privátní IP adresu front-endu služby Application Gateway. Záznam zajišťuje, že virtuální počítače konektoru odesílají požadavky do služby Application Gateway.
Otestování aplikace
Po přidání uživatele pro testovánímůžete aplikaci otestovat přístupem k https://www.fabrikam.one. Uživateli se zobrazí výzva k ověření v MICROSOFT Entra ID a po úspěšném ověření se k aplikaci dostane.
Simulace útoku
Pokud chcete otestovat, jestli WAF blokuje škodlivé požadavky, můžete simulovat útok pomocí základního podpisu injektáže SQL. Například "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Odpověď HTTP 403 potvrzuje, že WAF zablokoval požadavek.
Protokoly brány firewall služby Application Gateway poskytují další podrobnosti o požadavku a důvodech, proč ho WAF blokuje.
Další kroky
- pravidla firewallu webových aplikací
- seznamy vyloučení brány firewall webových aplikací
- vlastní pravidla webového aplikačního firewallu