Verwenden der Application Gateway-WAF zum Schutz Ihrer Anwendungen
Fügen Sie den Schutz der Web Application Firewall (WAF) für Anwendungen hinzu, die mit Microsoft Entra-Anwendungsproxy veröffentlicht werden.
Weitere Informationen zur Web Application Firewall finden Sie unter Was ist die Azure Web Application Firewall auf dem Azure Application Gateway?.
Bereitstellungsschritte
Dieser Artikel enthält die Schritte zum sicheren Verfügbarmachen einer Webanwendung im Internet mithilfe des Microsoft Entra-Anwendungsproxys mit Azure WAF auf dem Anwendungsgateway.
Konfigurieren Sie Azure Application Gateway, um Datenverkehr an Ihre interne Anwendung zu senden
Einige Schritte der Application Gateway-Konfiguration werden in diesem Artikel nicht aufgeführt. Eine ausführliche Anleitung zum Erstellen und Konfigurieren eines Anwendungsgateways finden Sie unter Schnellstart: Direkter Webverkehr mit Azure Application Gateway – Microsoft Entra Admin Center.
1. 1. Erstellen Sie einen privaten HTTPS-Listener
Erstellen Sie einen Listener, damit Benutzer privat auf die Webanwendung zugreifen können, wenn sie mit dem Unternehmensnetzwerk verbunden sind.
2. 2. Erstellen Sie einen Back-End-Pool mit den Webservern
In diesem Beispiel sind die Internetinformationsdienste (IIS) auf den Back-End-Servern installiert.
3. 3. Erstellen Sie eine Back-End-Einstellung
Eine Back-End-Einstellung bestimmt, wie Anforderungen die Back-End-Poolserver erreichen.
4. 4. Erstellen Sie eine Routingregel, die den Listener, den Back-End-Pool und die Back-End-Einstellung verknüpft, die in den vorherigen Schritten erstellt wurden
5. 5. Aktivieren Sie die WAF in Application Gateway und legen Sie diesen auf den Schutzmodus fest
Konfigurieren Ihrer Anwendung, sodass ein Remotezugriff über den Anwendungsproxy in Microsoft Entra ID möglich ist
Sowohl Connector-VMs, das Application Gateway wie auch die Back-End-Server werden in demselben virtuellen Netzwerk in Azure bereitgestellt. Die Einrichtung gilt auch für Anwendungen und Konnektoren, die lokal bereitgestellt werden.
Einen ausführlichen Leitfaden zum Hinzufügen Ihrer Anwendung zum Anwendungsproxy in Microsoft Entra ID finden Sie unter Tutorial: Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy in Microsoft Entra ID. Weitere Informationen zu Leistungsüberlegungen im Hinblick auf die privaten Netzwerkconnectors finden Sie unter Optimieren des Datenverkehrs mit dem Microsoft Entra-Anwendungsproxy.
In diesem Beispiel wurde dieselbe URL als interne und externe URL konfiguriert. Remoteclients greifen über das Internet an Port 443 über den Anwendungsproxy auf die Anwendung zu. Ein Client, der mit dem Unternehmensnetzwerk verbunden ist, greift privat auf die Anwendung zu. Der Zugriff erfolgt über das Anwendungsgateway direkt am Port 443. Einen ausführlichen Schritt zur Konfiguration von benutzerdefinierten Domänen im Anwendungsproxy finden Sie unter Konfigurieren von benutzerdefinierten Domänen mit dem Microsoft Entra-Anwendungsproxy.
Eine private Azure-DNS-Zone (Domain Name System) wird mit einem A-Datensatz erstellt. Der A-Eintrag verweist www.fabrikam.one
auf die private Front-End-IP-Adresse des Anwendungsgateways. Der Datensatz stellt sicher, dass die VMs des Connectors Anforderungen an das Anwendungsgateway senden.
Testen der Anwendung
Nachdem Sie zu Testzwecken einen Benutzer hinzugefügt haben, können Sie die Anwendung testen, indem Sie auf https://www.fabrikam.one zugreifen. Der Benutzer wird aufgefordert, sich mit Microsoft Entra ID zu authentifizieren, und nach erfolgreicher Authentifizierung kann er auf die Anwendung zugreifen.
Simulieren eines Angriffs
Um zu testen, ob die WAF böswillige Anforderungen blockiert, können Sie einen Angriff mithilfe einer grundlegenden SQL-Injektionssignatur simulieren. Beispiel: "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Eine HTTP 403-Antwort bestätigt, dass WAF die Anforderung blockiert hat.
Die Application Gateway-Firewall-Protokolle enthalten weitere Details über die Anforderung und die Gründe, weshalb die WAF sie blockiert.