Ochrana aplikací pomocí WAF služby Application Gateway

Přidání ochrany firewallu webových aplikací (WAF) pro aplikace publikované pomocí proxy aplikací Microsoft Entra

Další informace o firewallu webových aplikací najdete v tématu Co je Azure Web Application Firewall ve službě Aplikace Azure Gateway?.

Postup nasazení

Tento článek obsahuje postup bezpečného zveřejnění webové aplikace na internetu pomocí proxy aplikací Microsoft Entra s Azure WAF ve službě Application Gateway.

Konfigurace brány Aplikace Azure pro odesílání provozu do interní aplikace

V tomto článku jsou vynechány některé kroky konfigurace služby Application Gateway. Podrobný průvodce vytvořením a konfigurací služby Application Gateway najdete v tématu Rychlý start: Směrování webového provozu pomocí služby Aplikace Azure Gateway – Centrum pro správu Microsoft Entra.

1. Vytvoření privátního naslouchacího procesu HTTPS

Vytvořte naslouchací proces, aby uživatelé mohli soukromě přistupovat k webové aplikaci při připojení k podnikové síti.

2. Vytvoření back-endového fondu s webovými servery

V tomto příkladu mají back-endové servery nainstalované Internetová informační služba (IIS).

3. Vytvoření nastavení back-endu

Nastavení back-endu určuje, jak požadavky dosáhnou serverů back-endového fondu.

4. Vytvořte pravidlo směrování, které prováže naslouchací proces, back-endový fond a nastavení back-endu vytvořené v předchozích krocích.

5. Povolte WAF ve službě Application Gateway a nastavte ho na režim prevence.

Nakonfigurujte aplikaci tak, aby byla vzdáleně přístupná prostřednictvím proxy aplikací v MICROSOFT Entra ID.

Oba virtuální počítače konektoru, Application Gateway a back-endové servery se nasazují ve stejné virtuální síti v Azure. Nastavení platí také pro aplikace a konektory nasazené místně.

Podrobný průvodce přidáním aplikace do proxy aplikací v Microsoft Entra ID naleznete v kurzu : Přidání místní aplikace pro vzdálený přístup prostřednictvím proxy aplikací v Microsoft Entra ID. Další informace o aspektech výkonu týkajících se konektorů privátní sítě naleznete v tématu Optimalizace toku provozu pomocí proxy aplikací Microsoft Entra.

V tomto příkladu byla stejná adresa URL nakonfigurovaná jako interní a externí adresa URL. Vzdálení klienti přistupují k aplikaci přes internet na portu 443 prostřednictvím proxy aplikace. Klient připojený k podnikové síti přistupuje k aplikaci soukromě. Přístup je prostřednictvím služby Application Gateway přímo na portu 443. Podrobný krok konfigurace vlastních domén v proxy aplikací najdete v tématu Konfigurace vlastních domén pomocí proxy aplikací Microsoft Entra.

Zóna DNS (Private Domain Name System) Azure se vytvoří se záznamem A. Záznam A odkazuje www.fabrikam.one na privátní IP adresu front-endu služby Application Gateway. Záznam zajišťuje, že virtuální počítače konektoru odesílají požadavky do služby Application Gateway.

Testování aplikace

Po přidání uživatele pro testování můžete aplikaci otestovat přístupem https://www.fabrikam.one. Uživateli se zobrazí výzva k ověření v MICROSOFT Entra ID a po úspěšném ověření se k aplikaci dostane.

Simulace útoku

Pokud chcete otestovat, jestli WAF blokuje škodlivé požadavky, můžete simulovat útok pomocí základního podpisu injektáže SQL. Například "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

Odpověď HTTP 403 potvrzuje, že WAF zablokoval požadavek.

Protokoly brány firewall služby Application Gateway poskytují další podrobnosti o požadavku a důvodech, proč ho WAF blokuje.

Další kroky

• Pravidla firewallu webových aplikací
• Seznamy vyloučení Firewallu webových aplikací
• Vlastní pravidla firewallu webových aplikací