Поделиться через


Использование WAF шлюза приложений для защиты приложений

Добавьте защиту брандмауэра веб-приложений (WAF) для приложений, опубликованных с помощью прокси приложения Microsoft Entra.

Дополнительные сведения о брандмауэре веб-приложения см. в статье Что такое брандмауэр веб-приложений Azure в шлюзе приложений Azure?.

Действия по развертыванию

В этой статье приведены действия по безопасному доступу к веб-приложению в Интернете с помощью прокси приложения Microsoft Entra с Azure WAF в шлюзе приложений.

Схема развертывания описана.

Настройка шлюза приложений Azure для отправки трафика во внутреннее приложение

Некоторые шаги конфигурации шлюза приложений опущены в этой статье. Подробное руководство по созданию и настройке шлюза приложений вы можете найти в разделе Краткое руководство: Управление веб-трафиком с помощью шлюза приложений Azure — Центр администрирования Microsoft Entra.

1. Создание прослушивателя HTTPS с частным подключением

Создайте прослушиватель, чтобы пользователи могли получить доступ к веб-приложению в частном порядке при подключении к корпоративной сети.

снимок экрана прослушивателя шлюза приложений.

2. Создание серверного пула с веб-серверами

В этом примере на серверах установлены Internet Information Services (IIS).

снимок экрана серверной части шлюза приложений.

Создайте настройку серверной части

Параметр серверной части определяет, как запросы обращаются к серверам внутреннего пула.

Снимок экрана настроек бэкэнда в шлюзе приложений.

4. Создайте правило маршрутизации, которое связывает прослушиватель, внутренний пул и параметр серверной части, созданный на предыдущих шагах.

снимок экрана: добавление правила в шлюз приложений 1. снимок экрана: добавление правила в шлюз приложений 2.

5. Включите WAF в шлюзе приложений и установите его в режиме предотвращения

снимок экрана: включение WAF в шлюзе приложений.

Настройка удаленного доступа к приложению с помощью прокси приложения в идентификаторе Microsoft Entra

Виртуальные машины соединителя, шлюз приложений и серверные серверы развертываются в одной виртуальной сети в Azure. Программа установки также применяется к приложениям и соединителям, развернутыми локально.

Для получения подробного руководства по добавлению приложения в прокси приложения в Microsoft Entra ID, см. учебник: добавление локального приложения для удаленного доступа через прокси приложения в Microsoft Entra ID. Дополнительные сведения о производительности соединителей частной сети см. в статье Оптимизация потока трафика с помощью прокси приложения Microsoft Entra.

снимок экрана конфигурации прокси приложения.

В этом примере был настроен тот же URL-адрес, что и внутренний и внешний URL-адрес. Удаленные клиенты получают доступ к приложению через Интернет через порт 443 через прокси приложения. Клиент, подключенный к корпоративной сети, обращается к приложению в частном порядке. Доступ осуществляется через шлюз приложений непосредственно через порт 443. Подробный шаг по настройке пользовательских доменов в прокси приложения см. в статье Настройка пользовательских доменов с помощью прокси приложения Microsoft Entra.

зона частных доменных имен Azure (DNS) создается с записью A. Запись A указывает www.fabrikam.one на частный внутренний IP-адрес шлюза приложения. Запись гарантирует, что виртуальные машины соединителя отправляют запросы в шлюз приложений.

Тестирование приложения

После добавления пользователя для тестированиявы можете протестировать приложение, получив доступ к https://www.fabrikam.one. Пользователю предлагается пройти проверку подлинности в идентификаторе Microsoft Entra и после успешной проверки подлинности получить доступ к приложению.

снимок экрана шага проверки подлинности. снимок экрана ответа сервера.

Имитация атаки

Чтобы проверить, блокирует ли WAF вредоносные запросы, можно имитировать атаку с помощью базовой сигнатуры SQL-инъекции. Например, "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

снимок экрана ответа WAF.

Ответ HTTP 403 подтверждает, что WAF заблокировал запрос.

Журналы брандмауэра шлюза приложений содержат дополнительные сведения о запросе и о том, почему WAF блокирует его.

снимок экрана журналов WAF.

Дальнейшие действия