Använda Application Gateway WAF för att skydda dina program
Lägg till WAF-skydd (Web Application Firewall) för appar som publicerats med Microsoft Entra-programproxy.
För att lära dig mer om Web Application Firewall, se Vad är Azure Web Application Firewall på Azure Application Gateway?.
Implementeringssteg
Den här artikeln innehåller stegen för att på ett säkert sätt exponera ett webbprogram på Internet med hjälp av Microsoft Entra-programproxy med Azure WAF på Application Gateway.
Konfigurera Azure Application Gateway för att skicka trafik till ditt interna program
Vissa steg i Application Gateway-konfigurationen utelämnas i den här artikeln. En detaljerad guide om hur du skapar och konfigurerar en Application Gateway finns i Snabbstart: Dirigera webbtrafik med Azure Application Gateway – Administrationscenter för Microsoft Entra.
1. Skapa en privat HTTPS-lyssnare
Skapa en lyssnare så att användarna kan komma åt webbprogrammet privat när de är anslutna till företagsnätverket.
2. Skapa en backend-pool med webbservrar
I det här exemplet har backendservrarna Internet Information Services (IIS) installerat.
3. Skapa en serverdelsinställning
En inställning i serverdelen bestämmer hur förfrågningar når servrarna i serverpoolen.
4. Skapa en routningsregel som kopplar lyssnaren, serverdelspoolen och serverdelsinställningen som skapades i föregående steg
5. Aktivera WAF i Application Gateway och ställ in den på Förebyggande läge
Konfigurera programmet så att det kan nås fjärrledes genom en programproxy i Microsoft Entra ID.
Både anslutnings-VM:erna, Application Gateway och backend-servrarna distribueras i samma virtuella nätverk i Azure. Konfigurationen gäller även för program och anslutningsappar som distribueras lokalt.
En detaljerad guide om hur du lägger till ditt program i programproxyn i Microsoft Entra-ID finns i Självstudie: Lägga till ett lokalt program för fjärråtkomst via programproxy i Microsoft Entra ID. Mer information om prestandaöverväganden för privata nätverksanslutningar finns i Optimera trafikflödet med Microsoft Entra-programproxy.
I det här exemplet konfigurerades samma URL som den interna och externa URL:en. Fjärrklienter får åtkomst till programmet via Internet på port 443 via programproxyn. En klient som är ansluten till företagsnätverket har åtkomst till programmet privat. Åtkomst sker via Application Gateway direkt på port 443. Ett detaljerat steg för att konfigurera anpassade domäner i programproxy finns i Konfigurera anpassade domäner med Microsoft Entra-programproxy.
En DNS-zon (Azure Private Domain Name System) skapas med en A-post. A-posten pekar www.fabrikam.one till application gatewayens privata klientdels-IP-adress. Inspelningen säkerställer att de virtuella anslutningsdatorerna skickar begäranden till Application Gateway.
Testa programmet
När lägger till en användare för att testakan du testa programmet genom att komma åt https://www.fabrikam.one. Användaren uppmanas att autentisera i Microsoft Entra-ID och vid lyckad autentisering får åtkomst till programmet.
Simulera en attack
Om du vill testa om WAF blockerar skadliga begäranden kan du simulera en attack med en grundläggande SQL-inmatningssignatur. Till exempel "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Ett HTTP 403-svar bekräftar att WAF blockerade begäran.
Application Gateway Brandväggsloggar ger mer information om begäran och om varför WAF blockerar den.
