Uso de WAF de Application Gateway para proteger las aplicaciones
Agregue la protección de Web Application Firewall para aplicaciones publicadas con el proxy de aplicaciones de Microsoft Entra.
Para más información sobre el firewall de aplicaciones web, consulte ¿Qué es Azure Web Application Firewall en Azure Application Gateway?.
Pasos de implementación
En este artículo se proporcionan los pasos para exponer de forma segura una aplicación web en Internet mediante el proxy de aplicación de Microsoft Entra con Azure WAF en Application Gateway.
Configuración de Azure Application Gateway para enviar tráfico a la aplicación interna
En este artículo se omiten algunos pasos de la configuración de Application Gateway. Para obtener una guía detallada sobre cómo crear y configurar una instancia de Application Gateway, consulte Inicio rápido: Tráfico web directo con Azure Application Gateway: centro de administración de Microsoft Entra.
1. Creación de un cliente de escucha HTTPS de acceso privado
Cree un agente de escucha para que los usuarios puedan acceder a la aplicación web de forma privada cuando estén conectados a la red corporativa.
2. Creación de un grupo de back-end con los servidores web
En este ejemplo, en los servidores de back-end se instala Internet Information Services (IIS).
3. Creación de una configuración de back-end
Una configuración de back-end determina cómo las solicitudes llegan a los servidores del grupo de back-end.
4. Creación de una regla de enrutamiento que vincule el cliente de escucha, el grupo de back-end y la configuración de back-end creados en los pasos anteriores
5. Habilitación del WAF en Application Gateway y establézcalo en Modo de prevención
Configure la aplicación para que se pueda acceder de forma remota a ella a través del proxy de aplicación en Microsoft Entra ID
Las máquinas virtuales del conector, Application Gateway y los servidores back-end se implementan en la misma red virtual de Azure. La configuración también se aplica a aplicaciones y conectores implementados en el entorno local.
Para obtener una guía detallada sobre cómo agregar una aplicación a un proxy de aplicación en Microsoft Entra ID, consulte Tutorial: Adición de una aplicación local para el acceso remoto mediante el proxy de aplicación en Microsoft Entra ID. Para obtener más información sobre las consideraciones de rendimiento relativas a los conectores de red privada, consulte Optimizar el flujo de tráfico con el proxy de aplicación de Microsoft Entra.
En este ejemplo, se ha configurado la misma URL como dirección URL interna y externa. Los clientes remotos acceden a la aplicación a través de Internet en el puerto 443, a través del proxy de aplicación. Un cliente conectado a la red corporativa accede a la aplicación de forma privada. El acceso se realiza a través de Application Gateway directamente en el puerto 443. Para obtener un paso detallado sobre cómo configurar dominios personalizados en el proxy de aplicación, consulte Configurar dominios personalizados con el proxy de aplicación de Microsoft Entra.
Se crea una zona del sistema de nombres de dominio privado (DNS) de Azure con un registro A. El registro A apunta www.fabrikam.one a la dirección IP de front-end privada de Application Gateway. El registro garantiza que las máquinas virtuales del conector envíen solicitudes a Application Gateway.
Prueba de la aplicación
Después de agregar un usuario para realizar pruebas, puede probar la aplicación si accede a https://www.fabrikam.one. Se pide al usuario que se autentique en Microsoft Entra ID y, si la autenticación es correcta, accede a la aplicación.
Simulación de un ataque
Para probar si el firewall de aplicaciones web bloquea las solicitudes malintencionadas, puede simular un ataque mediante una firma básica de inyección de código SQL. Por ejemplo, "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Una respuesta HTTP 403 confirma que WAF bloqueó la solicitud.
Los registros de firewall de Application Gateway proporcionan más detalles sobre la solicitud y por qué WAF lo bloquea.
