Udostępnij za pośrednictwem


Korzystanie z WAF usługi Application Gateway w celu ochrony aplikacji

Dodaj ochronę zapory aplikacji webowej (WAF) dla aplikacji opublikowanych za pomocą serwera proxy aplikacji Microsoft Entra.

Aby dowiedzieć się więcej o Azure Web Application Firewall, zobacz Co to jest Azure Web Application Firewall w Azure Application Gateway?.

Kroki wdrażania

Ten artykuł zawiera kroki umożliwiające bezpieczne udostępnienie aplikacji internetowej w sieci przy użyciu Microsoft Entra Application Proxy z Azure WAF w usłudze Application Gateway.

diagram wdrożenia opisany.

Konfigurowanie usługi Azure Application Gateway do wysyłania ruchu do aplikacji wewnętrznej

Niektóre kroki konfiguracji usługi Application Gateway zostały pominięte w tym artykule. Aby uzyskać szczegółowy przewodnik dotyczący tworzenia i konfigurowania usługi Application Gateway, zobacz Szybki start: bezpośredni ruch internetowy za pomocą usługi Azure Application Gateway — Centrum administracyjne firmy Microsoft Entra.

1. Tworzenie odbiornika HTTPS z dostępem prywatnym

Utwórz odbiornik, aby użytkownicy mogli prywatnie uzyskiwać dostęp do aplikacji internetowej po nawiązaniu połączenia z siecią firmową.

zrzut ekranu odbiornika usługi Application Gateway.

2. Utwórz pulę zaplecza z serwerami WWW

W tym przykładzie serwery zaplecza mają zainstalowane usługi Internet Information Services (IIS).

zrzut ekranu zaplecza usługi Application Gateway.

3. Tworzenie ustawienia zaplecza

Ustawienie zaplecza określa, jak żądania docierają do serwerów puli zaplecza.

Zrzut ekranu przedstawiający ustawienie zaplecza usługi Application Gateway.

4. Utwórz regułę routingu, która łączy odbiornik, pulę zaplecza i ustawienie zaplecza utworzone w poprzednich krokach

Zrzut ekranu przedstawiający dodawanie reguły do usługi Application Gateway 1. Zrzut ekranu przedstawiający dodawanie reguły do usługi Application Gateway 2.

5. Włącz WAF w usłudze Application Gateway i ustaw ją na tryb ochrony

zrzut ekranu przedstawiający włączanie WAF w Application Gateway.

Skonfiguruj swoją aplikację do zdalnego dostępu za pośrednictwem serwera proxy aplikacji w Microsoft Entra ID

Obie maszyny wirtualne łącznika, usługa Application Gateway i serwery zaplecza są wdrażane w tej samej sieci wirtualnej na platformie Azure. Konfiguracja ma również zastosowanie do aplikacji i łączników wdrożonych lokalnie.

Aby uzyskać szczegółowy przewodnik dotyczący dodawania aplikacji do serwera proxy aplikacji w Microsoft Entra ID, zobacz Samouczek: Dodaj aplikację lokalną do zdalnego dostępu poprzez serwer proxy aplikacji w Microsoft Entra ID. Aby uzyskać więcej informacji na temat kwestii wydajności łączników sieci prywatnej, zobacz Optymalizowanie przepływu ruchu za pomocą serwera proxy aplikacji Microsoft Entra.

Zrzut ekranu przedstawiający konfigurację serwera proxy aplikacji.

W tym przykładzie ten sam adres URL został skonfigurowany jako wewnętrzny i zewnętrzny adres URL. Klienci zdalni uzyskują dostęp do aplikacji przez Internet na porcie 443 za pośrednictwem serwera proxy aplikacji. Klient połączony z siecią firmową uzyskuje dostęp do aplikacji prywatnie. Dostęp odbywa się za pośrednictwem usługi Application Gateway bezpośrednio na porcie 443. Aby uzyskać szczegółowy krok konfigurowania domen niestandardowych na serwerze proxy aplikacji, zobacz Configure custom domains with Microsoft Entra application proxy.

Strefa DNS (Private Domain Name System) w Azure jest tworzona z rekordem A. Rekord A wskazuje www.fabrikam.one na prywatny adres IP frontonu usługi Application Gateway. Rekord zapewnia, że maszyny wirtualne łącznika wysyłają żądania do usługi Application Gateway.

Testowanie aplikacji

Po dodaniu użytkownika do testowania, możesz przetestować aplikację, uzyskując dostęp do https://www.fabrikam.one. Użytkownik jest monitowany o uwierzytelnienie w identyfikatorze Entra firmy Microsoft, a po pomyślnym uwierzytelnieniu uzyskuje dostęp do aplikacji.

Zrzut ekranu przedstawiający krok uwierzytelniania. Zrzut ekranu przedstawiający odpowiedź serwera.

Symulowanie ataku

Aby sprawdzić, czy WAF blokuje złośliwe żądania, możesz zasymulować atak za pomocą podstawowego wzorca iniekcji SQL. Na przykład "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

zrzut ekranu odpowiedzi zapory sieciowej.

Odpowiedź HTTP 403 potwierdza, że zapora WAF zablokowała żądanie.

Dzienniki zapory usługi Application Gateway zawierają więcej szczegółowych informacji o żądaniu i przyczynach blokowania go przez zaporę aplikacji internetowej.

Zrzut ekranu dzienników WAF.

Następne kroki