Uso de WAF de Application Gateway para proteger las aplicaciones
Agregue protección de cortafuegos de aplicaciones web (WAF) para aplicaciones publicadas con Microsoft Entra application proxy.
Para más información sobre el firewall de aplicaciones web, consulte ¿Qué es Azure Web Application Firewall en Azure Application Gateway?.
En este artículo se proporcionan los pasos para exponer de forma segura una aplicación web en Internet mediante el proxy de aplicación de Microsoft Entra con Azure WAF en Application Gateway.
En este artículo se omiten algunos pasos de la configuración de Application Gateway. Para obtener una guía detallada sobre cómo crear y configurar una instancia de Application Gateway, consulte Inicio rápido: Tráfico web directo con Azure Application Gateway: Centro de administración de Microsoft Entra.
Cree un agente de escucha para que los usuarios puedan acceder a la aplicación web de forma privada cuando estén conectados a la red corporativa.
En este ejemplo, los servidores back-end tienen instalado Internet Information Services (IIS).
Una configuración de back-end determina cómo las solicitudes llegan a los servidores del grupo de back-end.
4. Creación de una regla de enrutamiento que vincule el cliente de escucha, el grupo de back-end y la configuración de back-end creados en los pasos anteriores
Configure su aplicación para que se acceda de forma remota a través del proxy de aplicación en Microsoft Entra ID
Las máquinas virtuales del conector, Application Gateway y los servidores back-end se implementan en la misma red virtual de Azure. La configuración también se aplica a las aplicaciones y conectores implementados en el entorno local.
Para obtener una guía detallada sobre cómo agregar la aplicación al proxy de aplicación en microsoft Entra ID, consulte Tutorial: Adición de una aplicación local para el acceso remoto a través del proxy de aplicación en microsoft Entra ID. Para obtener más información sobre las consideraciones de rendimiento relativas a los conectores de red privada, consulte Optimizar el flujo de tráfico con el proxy de aplicación de Microsoft Entra.
En este ejemplo, se configuró la misma dirección URL como la dirección URL interna y externa. Los clientes remotos acceden a la aplicación a través de Internet en el puerto 443, a través del proxy de aplicación. Un cliente conectado a la red corporativa accede a la aplicación de forma privada. El acceso se realiza a través de Application Gateway directamente en el puerto 443. Para obtener un paso detallado sobre cómo configurar dominios personalizados en el proxy de aplicación, consulte Configurar dominios personalizados con el proxy de aplicación de Microsoft Entra.
Se crea una zona del Sistema de Nombres de Dominio (DNS) privado de Azure con un registro A. El registro A apunta www.fabrikam.one a la dirección IP de front-end privada de Application Gateway. El registro garantiza que las máquinas virtuales del conector envíen solicitudes a Application Gateway.
Después de agregar un usuario para realizar pruebas, puede probar la aplicación si accede a https://www.fabrikam.one. Se pide al usuario que se autentique en el identificador de Microsoft Entra y, tras la autenticación correcta, accede a la aplicación.
Para probar si el WAF está bloqueando solicitudes malintencionadas, puede simular un ataque usando una firma básica de inyección SQL. Por ejemplo, "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Una respuesta HTTP 403 confirma que WAF bloqueó la solicitud.
Los registros de Application Gateway Firewall proporcionan más detalles sobre la solicitud y por qué WAF lo bloquea.
