Ochrana aplikací pomocí WAF služby Application Gateway
Přidání ochrany firewallu webových aplikací (WAF) pro aplikace publikované pomocí proxy aplikací Microsoft Entra
Další informace o firewallu webových aplikací najdete v tématu Co je Azure Web Application Firewall ve službě Aplikace Azure Gateway?.
Postup nasazení
Tento článek obsahuje postup bezpečného zveřejnění webové aplikace na internetu pomocí proxy aplikací Microsoft Entra s Azure WAF ve službě Application Gateway.
Konfigurace brány Aplikace Azure pro odesílání provozu do interní aplikace
V tomto článku jsou vynechány některé kroky konfigurace služby Application Gateway. Podrobný průvodce vytvořením a konfigurací služby Application Gateway najdete v tématu Rychlý start: Směrování webového provozu pomocí služby Aplikace Azure Gateway – Centrum pro správu Microsoft Entra.
1. Vytvoření privátního naslouchacího procesu HTTPS
Vytvořte naslouchací proces, aby uživatelé mohli soukromě přistupovat k webové aplikaci při připojení k podnikové síti.
2. Vytvoření back-endového fondu s webovými servery
V tomto příkladu mají back-endové servery nainstalované Internetová informační služba (IIS).
3. Vytvoření nastavení back-endu
Nastavení back-endu určuje, jak požadavky dosáhnou serverů back-endového fondu.
4. Vytvořte pravidlo směrování, které prováže naslouchací proces, back-endový fond a nastavení back-endu vytvořené v předchozích krocích.
5. Povolte WAF ve službě Application Gateway a nastavte ho na režim prevence.
Nakonfigurujte aplikaci tak, aby byla vzdáleně přístupná prostřednictvím proxy aplikací v MICROSOFT Entra ID.
Oba virtuální počítače konektoru, Application Gateway a back-endové servery se nasazují ve stejné virtuální síti v Azure. Nastavení platí také pro aplikace a konektory nasazené místně.
Podrobný průvodce přidáním aplikace do proxy aplikací v Microsoft Entra ID naleznete v kurzu : Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID. Další informace o aspektech výkonu týkajících se konektorů privátní sítě naleznete v tématu Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra.
V tomto příkladu byla stejná adresa URL nakonfigurovaná jako interní a externí adresa URL. Vzdálení klienti přistupují k aplikaci přes internet na portu 443 prostřednictvím proxy aplikace. Klient připojený k podnikové síti přistupuje k aplikaci soukromě. Přístup je prostřednictvím služby Application Gateway přímo na portu 443. Podrobný krok konfigurace vlastních domén v proxy aplikací najdete v tématu Konfigurace vlastních domén pomocí proxy aplikací Microsoft Entra.
Zóna DNS (Private Domain Name System) Azure se vytvoří se záznamem A. Záznam A odkazuje www.fabrikam.one
na privátní IP adresu front-endu služby Application Gateway. Záznam zajišťuje, že virtuální počítače konektoru odesílají požadavky do služby Application Gateway.
Testování aplikace
Po přidání uživatele pro testování můžete aplikaci otestovat přístupem https://www.fabrikam.one. Uživateli se zobrazí výzva k ověření v MICROSOFT Entra ID a po úspěšném ověření se k aplikaci dostane.
Simulace útoku
Pokud chcete otestovat, jestli WAF blokuje škodlivé požadavky, můžete simulovat útok pomocí základního podpisu injektáže SQL. Například "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Odpověď HTTP 403 potvrzuje, že WAF zablokoval požadavek.
Protokoly brány firewall služby Application Gateway poskytují další podrobnosti o požadavku a důvodech, proč ho WAF blokuje.
Další kroky
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro