Использование WAF шлюза приложений для защиты приложений
Добавьте защиту брандмауэра веб-приложений (WAF) для приложений, опубликованных с помощью прокси приложения Microsoft Entra.
Дополнительные сведения о брандмауэре веб-приложения см. в статье Что такое брандмауэр веб-приложений Azure в шлюзе приложений Azure?.
Действия по развертыванию
В этой статье приведены действия по безопасному доступу к веб-приложению в Интернете с помощью прокси приложения Microsoft Entra с Azure WAF в шлюзе приложений.
Настройка шлюза приложений Azure для отправки трафика во внутреннее приложение
Некоторые шаги конфигурации шлюза приложений опущены в этой статье. Подробное руководство по созданию и настройке шлюза приложений вы можете найти в разделе Краткое руководство: Управление веб-трафиком с помощью шлюза приложений Azure — Центр администрирования Microsoft Entra.
1. Создание прослушивателя HTTPS с частным подключением
Создайте прослушиватель, чтобы пользователи могли получить доступ к веб-приложению в частном порядке при подключении к корпоративной сети.
2. Создание серверного пула с веб-серверами
В этом примере на серверах установлены Internet Information Services (IIS).
Создайте настройку серверной части
Параметр серверной части определяет, как запросы обращаются к серверам внутреннего пула.
4. Создайте правило маршрутизации, которое связывает прослушиватель, внутренний пул и параметр серверной части, созданный на предыдущих шагах.
5. Включите WAF в шлюзе приложений и установите его в режиме предотвращения
Настройка удаленного доступа к приложению с помощью прокси приложения в идентификаторе Microsoft Entra
Виртуальные машины соединителя, шлюз приложений и серверные серверы развертываются в одной виртуальной сети в Azure. Программа установки также применяется к приложениям и соединителям, развернутыми локально.
Для получения подробного руководства по добавлению приложения в прокси приложения в Microsoft Entra ID, см. учебник: добавление локального приложения для удаленного доступа через прокси приложения в Microsoft Entra ID. Дополнительные сведения о производительности соединителей частной сети см. в статье Оптимизация потока трафика с помощью прокси приложения Microsoft Entra.
В этом примере был настроен тот же URL-адрес, что и внутренний и внешний URL-адрес. Удаленные клиенты получают доступ к приложению через Интернет через порт 443 через прокси приложения. Клиент, подключенный к корпоративной сети, обращается к приложению в частном порядке. Доступ осуществляется через шлюз приложений непосредственно через порт 443. Подробный шаг по настройке пользовательских доменов в прокси приложения см. в статье Настройка пользовательских доменов с помощью прокси приложения Microsoft Entra.
зона частных доменных имен Azure (DNS) создается с записью A. Запись A указывает www.fabrikam.one на частный внутренний IP-адрес шлюза приложения. Запись гарантирует, что виртуальные машины соединителя отправляют запросы в шлюз приложений.
Тестирование приложения
После добавления пользователя для тестированиявы можете протестировать приложение, получив доступ к https://www.fabrikam.one. Пользователю предлагается пройти проверку подлинности в идентификаторе Microsoft Entra и после успешной проверки подлинности получить доступ к приложению.
Имитация атаки
Чтобы проверить, блокирует ли WAF вредоносные запросы, можно имитировать атаку с помощью базовой сигнатуры SQL-инъекции. Например, "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Ответ HTTP 403 подтверждает, что WAF заблокировал запрос.
Журналы брандмауэра шлюза приложений содержат дополнительные сведения о запросе и о том, почему WAF блокирует его.
Дальнейшие действия
- правила брандмауэра веб-приложения
- Список исключений брандмауэра веб-приложений
- пользовательские правила брандмауэра веб-приложений