Partager via


Utilisation de WAF Application Gateway pour protéger vos applications

Ajouter la protection WAF (Web Application Firewall) à des applications publiées avec un proxy d’application Microsoft Entra.

Pour plus d’informations sur Web Application Firewall, consultez Présentation de Web Application Firewall sur Azure Application Gateway.

Étapes du déploiement

Cet article décrit les étapes permettant d’exposer de façon sécurisée une application web sur Internet en utilisant le proxy d’application Microsoft Entra avec Azure WAF sur Application Gateway.

Diagramme du déploiement décrit.

Configurer Azure Application Gateway pour envoyer du trafic à votre application interne

Certaines étapes de la configuration d’Application Gateway seront omises dans cet article. Pour obtenir un guide détaillé sur la création et la configuration d’une passerelle d’application, consultez Démarrage rapide : Trafic web direct avec Azure Application Gateway – Centre d’administration Microsoft Entra.

1. Créer un écouteur HTTPS privé

Créez un écouteur pour permettre aux utilisateurs d’accéder à l’application web en privé quand ils sont connectés au réseau d’entreprise.

Capture d’écran de l’écran Application Gateway.

2. Créer un pool de back-ends avec les serveurs web

Dans cet exemple, les serveurs principaux disposent d’Internet Information Services (IIS) installés.

Capture d’écran du backend Application Gateway.

3. Créer un paramètre de back-end

Un paramètre de back-end détermine la façon dont les requêtes atteignent les serveurs du pool de back-ends.

Capture d’écran du paramètre principal Application Gateway.

4. Créer une règle de routage qui lie l’écouteur, le pool de back-ends et le paramètre de back-end créés dans les étapes précédentes

Capture d'écran de l'ajout d'une règle à Application Gateway 1.Capture d'écran de l'ajout d'une règle à Application Gateway 2.

5. Activer le WAF dans la passerelle d’application et la définir sur le mode Prévention

Capture d’écran de l’activation WAF dans Application Gateway.

Configurer votre application pour qu’elle soit accessible à distance via un proxy d’application dans Microsoft Entra ID

Les deux machines virtuelles du connecteur, la passerelle d’application et les serveurs de back-ends ont été déployés dans le même réseau virtuel dans Azure. Cette configuration s’applique également aux applications et aux connecteurs déployés localement.

Pour obtenir un guide détaillé sur l’ajout de votre application au proxy d’application dans Microsoft Entra ID, consultez Tutoriel : Ajouter une application locale pour l’accès à distance via le proxy d’application dans Microsoft Entra ID. Pour plus d’informations sur les performances concernant les connecteurs du réseau privé, consultez Optimiser le flux de trafic avec le proxy d’application Microsoft Entra.

Exemple de configuration du proxy d’application.

Dans cet exemple, la même URL a été configurée que l’URL interne et externe. Les clients distants accèdent à l’application via Internet sur le port 443, via le proxy d’application. Un client connecté au réseau d’entreprise accède à l’application en privé. L’accès se fait via la passerelle d’application directement sur le port 443. Pour une étape détaillée sur la configuration de domaines personnalisés dans le proxy d’application, consultez Configurer des domaines personnalisés avec le proxy d’application Microsoft Entra.

Une zone DNS (Domain Name System) privée Azure est créée avec un enregistrement A. L’enregistrement A pointe vers www.fabrikam.one à l’adresse IP front-end privée de la passerelle d’application. L’enregistrement fait que les machines virtuelles du connecteur envoient les requêtes à la passerelle d’application.

Test de l’application

Après avoir ajouté un utilisateur pour le test, vous pouvez tester l’application en accédant à https://www.fabrikam.one. L’utilisateur est invité à s’authentifier dans Microsoft Entra ID et, une fois l’authentification réussie, il accède à l’application.

Capture d’écran de l’étape d’authentification.Capture d’écran de la réponse du serveur.

Simuler une attaque

Pour tester si le WAF bloque les demandes malveillantes, vous pouvez simuler une attaque à l’aide d’une signature d’injection SQL de base. Par exemple : "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

Capture d’écran d’une réponse de WAF.

Une réponse HTTP 403 confirme que WAF a bloqué la requête.

Les journaux de pare-feu Application Gateway fournissent plus de détails sur la requête et la raison pour laquelle WAF la bloque.

Capture d’écran des journaux WAF.

Étapes suivantes