Uso del Gateway delle Applicazioni WAF per proteggere le vostre applicazioni
Aggiungere la protezione Web Application Firewall (WAF) per le app pubblicate con il proxy dell'applicazione Microsoft Entra.
Per ulteriori informazioni su Web Application Firewall, consultare Che cos'è il Web Application Firewall di Azure nel Gateway delle Applicazioni di Azure?.
Passaggi di distribuzione
Questo articolo illustra la procedura per esporre in modo sicuro un'applicazione Web su Internet usando il proxy dell'applicazione Microsoft Entra con Azure WAF su Application Gateway.
Configurare Azure Application Gateway per inviare il traffico all'applicazione interna
Alcuni passaggi della configurazione dell'Application Gateway vengono omessi in questo articolo. Per una guida dettagliata sulla creazione e la configurazione di un gateway applicativo, vedere Avvio rapido: Indirizzare il traffico Web utilizzando il gateway applicativo di Azure - centro di amministrazione di Microsoft Entra.
1. Creare un listener HTTPS privato
Creare un listener in modo che gli utenti possano accedere privatamente all'applicazione Web quando si è connessi alla rete aziendale.
2. Creare un pool di backend con i server web
In questo esempio, nei server back-end è installato Internet Information Services (IIS).
3. Creare un'impostazione del back-end
Un'impostazione back-end determina il modo in cui le richieste raggiungono i server del pool back-end.
4. Creare una regola di routing che collega il listener, il pool back-end e la configurazione del back-end creata nei passaggi precedenti
5. Abilitare il WAF in Application Gateway e impostarlo sulla modalità prevenzione
Configurare l'applicazione per l'accesso remoto tramite il proxy dell'applicazione in Microsoft Entra ID
Entrambe le macchine virtuali connettore, l'Application Gateway e i server back-end sono distribuiti nella stessa rete virtuale in Azure. La configurazione si applica anche alle applicazioni e ai connettori distribuiti in locale.
Per una guida dettagliata su come aggiungere l'applicazione al proxy dell'applicazione in Microsoft Entra ID, vedere Tutorial: Aggiungere un'applicazione in locale per l'accesso remoto tramite il proxy dell'applicazione in Microsoft Entra ID. Per altre informazioni sulle considerazioni sulle prestazioni relative ai connettori di rete privata, vedere Ottimizzare il flusso del traffico con il proxy dell'applicazione Microsoft Entra.
In questo esempio lo stesso URL è stato configurato come URL interno ed esterno. I client remoti accedono all'applicazione tramite Internet sulla porta 443, tramite il proxy dell'applicazione. Un client connesso alla rete aziendale accede privatamente all'applicazione. L'accesso avviene tramite il gateway dell'applicazione direttamente sulla porta 443. Per un passaggio dettagliato sulla configurazione di domini personalizzati nel proxy dell'applicazione, vedere Configurare domini personalizzati con il proxy dell'applicazione Microsoft Entra.
Viene creata una zona DNS privata di Azure (, Private Domain Name System) con un record A. Il record A punta www.fabrikam.one all'indirizzo IP front-end privato dell'Application Gateway. Il record garantisce che le macchine virtuali del connettore inviino richieste al gateway delle applicazioni.
Testare l'applicazione
Dopo aver aggiunto un utente per il test, è possibile testare l'applicazione accedendo a https://www.fabrikam.one. All'utente viene richiesto di eseguire l'autenticazione in Microsoft Entra ID e, al termine dell'autenticazione, accede all'applicazione.
Simulare un attacco
Per verificare se il WAF blocca le richieste dannose, è possibile simulare un attacco usando una firma di base per SQL injection. Ad esempio, "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Una risposta HTTP 403 conferma che WAF ha bloccato la richiesta.
I log del firewall del gateway applicativo forniscono altri dettagli sulla richiesta e sul motivo per cui il WAF lo sta bloccando.
