Korzystanie z WAF usługi Application Gateway w celu ochrony aplikacji
Dodaj ochronę zapory aplikacji webowej (WAF) dla aplikacji opublikowanych za pomocą serwera proxy aplikacji Microsoft Entra.
Aby dowiedzieć się więcej o Azure Web Application Firewall, zobacz Co to jest Azure Web Application Firewall w Azure Application Gateway?.
Kroki wdrażania
Ten artykuł zawiera kroki umożliwiające bezpieczne udostępnienie aplikacji internetowej w sieci przy użyciu Microsoft Entra Application Proxy z Azure WAF w usłudze Application Gateway.
Konfigurowanie usługi Azure Application Gateway do wysyłania ruchu do aplikacji wewnętrznej
Niektóre kroki konfiguracji usługi Application Gateway zostały pominięte w tym artykule. Aby uzyskać szczegółowy przewodnik dotyczący tworzenia i konfigurowania usługi Application Gateway, zobacz Szybki start: bezpośredni ruch internetowy za pomocą usługi Azure Application Gateway — Centrum administracyjne firmy Microsoft Entra.
1. Tworzenie odbiornika HTTPS z dostępem prywatnym
Utwórz odbiornik, aby użytkownicy mogli prywatnie uzyskiwać dostęp do aplikacji internetowej po nawiązaniu połączenia z siecią firmową.
2. Utwórz pulę zaplecza z serwerami WWW
W tym przykładzie serwery zaplecza mają zainstalowane usługi Internet Information Services (IIS).
3. Tworzenie ustawienia zaplecza
Ustawienie zaplecza określa, jak żądania docierają do serwerów puli zaplecza.
4. Utwórz regułę routingu, która łączy odbiornik, pulę zaplecza i ustawienie zaplecza utworzone w poprzednich krokach
5. Włącz WAF w usłudze Application Gateway i ustaw ją na tryb ochrony
Skonfiguruj swoją aplikację do zdalnego dostępu za pośrednictwem serwera proxy aplikacji w Microsoft Entra ID
Obie maszyny wirtualne łącznika, usługa Application Gateway i serwery zaplecza są wdrażane w tej samej sieci wirtualnej na platformie Azure. Konfiguracja ma również zastosowanie do aplikacji i łączników wdrożonych lokalnie.
Aby uzyskać szczegółowy przewodnik dotyczący dodawania aplikacji do serwera proxy aplikacji w Microsoft Entra ID, zobacz Samouczek: Dodaj aplikację lokalną do zdalnego dostępu poprzez serwer proxy aplikacji w Microsoft Entra ID. Aby uzyskać więcej informacji na temat kwestii wydajności łączników sieci prywatnej, zobacz Optymalizowanie przepływu ruchu za pomocą serwera proxy aplikacji Microsoft Entra.
W tym przykładzie ten sam adres URL został skonfigurowany jako wewnętrzny i zewnętrzny adres URL. Klienci zdalni uzyskują dostęp do aplikacji przez Internet na porcie 443 za pośrednictwem serwera proxy aplikacji. Klient połączony z siecią firmową uzyskuje dostęp do aplikacji prywatnie. Dostęp odbywa się za pośrednictwem usługi Application Gateway bezpośrednio na porcie 443. Aby uzyskać szczegółowy krok konfigurowania domen niestandardowych na serwerze proxy aplikacji, zobacz Configure custom domains with Microsoft Entra application proxy.
Strefa DNS (Private Domain Name System) w Azure jest tworzona z rekordem A. Rekord A wskazuje www.fabrikam.one
na prywatny adres IP frontonu usługi Application Gateway. Rekord zapewnia, że maszyny wirtualne łącznika wysyłają żądania do usługi Application Gateway.
Testowanie aplikacji
Po dodaniu użytkownika do testowania, możesz przetestować aplikację, uzyskując dostęp do https://www.fabrikam.one
. Użytkownik jest monitowany o uwierzytelnienie w identyfikatorze Entra firmy Microsoft, a po pomyślnym uwierzytelnieniu uzyskuje dostęp do aplikacji.
Symulowanie ataku
Aby sprawdzić, czy WAF blokuje złośliwe żądania, możesz zasymulować atak za pomocą podstawowego wzorca iniekcji SQL. Na przykład "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Odpowiedź HTTP 403 potwierdza, że zapora WAF zablokowała żądanie.
Dzienniki zapory usługi Application Gateway zawierają więcej szczegółowych informacji o żądaniu i przyczynach blokowania go przez zaporę aplikacji internetowej.
Następne kroki
- Reguły zapory aplikacji internetowej
- Listy wykluczeń zapory sieciowej aplikacji webowych
- Reguły niestandardowe Zapory Aplikacji Internetowej