Application Gateway WAF gebruiken om uw toepassingen te beveiligen
WaF-beveiliging (Web Application Firewall) toevoegen voor apps die zijn gepubliceerd met de Microsoft Entra-toepassingsproxy.
Voor meer informatie over Web Application Firewall, zie Wat is Azure Web Application Firewall in Azure Application Gateway?.
Implementatiestappen
Dit artikel bevat de stappen voor het veilig beschikbaar maken van een webtoepassing op internet met behulp van de Microsoft Entra-toepassingsproxy met Azure WAF in Application Gateway.
Azure Application Gateway configureren om verkeer naar uw interne toepassing te verzenden
Sommige stappen van de Application Gateway-configuratie worden weggelaten in dit artikel. Zie Quickstart: Webverkeer omleiden met Azure Application Gateway - Microsoft Entra-beheercentrumvoor een gedetailleerde handleiding over het maken en configureren van een Application Gateway.
1. Een privégerichte HTTPS-listener maken
Maak een listener zodat gebruikers privé toegang hebben tot de webtoepassing wanneer ze zijn verbonden met het bedrijfsnetwerk.
2. Maak een back-endpool met de webservers
In dit voorbeeld is Internet Information Services (IIS) op de back-endservers geïnstalleerd.
3. Een backendinstelling maken
Een backend-instelling bepaalt hoe aanvragen de back-endpool-servers bereiken.
4. Maak een routeringsregel die de listener, de backendpool en de backendinstelling koppelt die in de vorige stappen zijn gemaakt.
5. Schakel de WAF in de Application Gateway in en stel deze in op de preventiemodus
Uw toepassing configureren voor externe toegang via de toepassingsproxy in Microsoft Entra-id
Beide connector-VM's, de Application Gateway en de back-endservers worden geïmplementeerd in hetzelfde virtuele netwerk in Azure. De installatie is ook van toepassing op toepassingen en connectors die on-premises zijn geïmplementeerd.
Zie Zelfstudie: Een on-premises toepassing toevoegen voor externe toegang via toepassingsproxy in Microsoft Entra IDvoor een gedetailleerde handleiding over het toevoegen van uw toepassing aan de toepassingsproxy in Microsoft Entra ID. Zie Verkeersstroom optimaliseren met microsoft Entra-toepassingsproxyvoor meer informatie over prestatieoverwegingen met betrekking tot de connectors voor privénetwerken.
In dit voorbeeld is dezelfde URL geconfigureerd als de interne en externe URL. Externe clients hebben toegang tot de toepassing via internet op poort 443, via de toepassingsproxy. Een client die is verbonden met het bedrijfsnetwerk, heeft privé toegang tot de toepassing. Toegang wordt rechtstreeks via application gateway uitgevoerd op poort 443. Zie Aangepaste domeinen configureren met Microsoft Entra-toepassingsproxyvoor een gedetailleerde stap voor het configureren van aangepaste domeinen in de toepassingsproxy.
Er wordt een Dns- zone (Private Domain Name System) van Azure gemaakt met een A-record. De A record wijst www.fabrikam.one naar het privé-front-end-IP-adres van de Application Gateway. De record zorgt ervoor dat de connector-VM's aanvragen verzenden naar de Application Gateway.
De toepassing testen
Nadat een gebruiker hebt toegevoegd voor het testen van, kunt u de toepassing testen door toegang te krijgen tot https://www.fabrikam.one. De gebruiker wordt gevraagd om zich te authentiseren in Microsoft Entra ID en na een geslaagde authenticatie krijgt de gebruiker toegang tot de toepassing.
Een aanval simuleren
Als u wilt testen of de WAF schadelijke aanvragen blokkeert, kunt u een aanval simuleren met behulp van een eenvoudige SQL-injectiehandtekening. Bijvoorbeeld'https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Een HTTP 403-antwoord bevestigt dat WAF de aanvraag heeft geblokkeerd.
De Application Gateway Firewall-logboeken meer informatie geven over de aanvraag en waarom WAF deze blokkeert.
Volgende stappen
- Web Application Firewall-regels
- Web Application Firewall-uitsluitingslijsten
- aangepaste regels voor Web Application Firewall