Application Gateway WAF gebruiken om uw toepassingen te beveiligen

WaF-beveiliging (Web Application Firewall) toevoegen voor apps die zijn gepubliceerd met de Microsoft Entra-toepassingsproxy.

Zie Wat is Azure Web Application Firewall op Azure-toepassing Gateway? voor meer informatie over Web Application Firewall.

Installatiestappen

Dit artikel bevat de stappen voor het veilig beschikbaar maken van een webtoepassing op internet met behulp van de Microsoft Entra-toepassingsproxy met Azure WAF in Application Gateway.

Azure-toepassing Gateway configureren om verkeer naar uw interne toepassing te verzenden

Sommige stappen van de Application Gateway-configuratie worden weggelaten in dit artikel. Zie quickstart: Webverkeer omleiden met Azure-toepassing Gateway - Microsoft Entra-beheercentrum voor een gedetailleerde handleiding over het maken en configureren van een Application Gateway.

1. Een privégerichte HTTPS-listener maken

Maak een listener zodat gebruikers privé toegang hebben tot de webtoepassing wanneer ze zijn verbonden met het bedrijfsnetwerk.

2. Maak een back-endpool met de webservers

In dit voorbeeld is Internet Information Services (IIS) geïnstalleerd op de back-endservers.

3. Een back-endinstelling maken

Een back-endinstelling bepaalt hoe aanvragen de back-endpoolservers bereiken.

4. Maak een routeringsregel die de listener, de back-endpool en de back-endinstelling koppelt die in de vorige stappen is gemaakt

5. Schakel de WAF in de Application Gateway in en stel deze in op de preventiemodus

Uw toepassing configureren voor externe toegang via de toepassingsproxy in Microsoft Entra-id

Beide connector-VM's, de Application Gateway en de back-endservers worden geïmplementeerd in hetzelfde virtuele netwerk in Azure. De installatie is ook van toepassing op toepassingen en connectors die on-premises zijn geïmplementeerd.

Zie zelfstudie: Een on-premises toepassing toevoegen voor externe toegang via toepassingsproxy in Microsoft Entra ID voor gedetailleerde instructies voor het toevoegen van uw toepassing aan de toepassingsproxy in Microsoft Entra ID. Zie Verkeersstroom optimaliseren met de Microsoft Entra-toepassingsproxy voor meer informatie over prestatieoverwegingen met betrekking tot de connectors van het privénetwerk.

In dit voorbeeld is dezelfde URL geconfigureerd als de interne en externe URL. Externe clients hebben toegang tot de toepassing via internet op poort 443, via de toepassingsproxy. Een client die is verbonden met het bedrijfsnetwerk, heeft privé toegang tot de toepassing. Toegang wordt rechtstreeks via application gateway uitgevoerd op poort 443. Zie Aangepaste domeinen configureren met Microsoft Entra-toepassingsproxy voor een gedetailleerde stap voor het configureren van aangepaste domeinen in de toepassingsproxy.

Er wordt een DNS-zone (Private Domain Name System) gemaakt met een A-record. De A-record verwijst www.fabrikam.one naar het privé-front-end-IP-adres van de Application Gateway. De record zorgt ervoor dat de connector-VM's aanvragen verzenden naar de Application Gateway.

De toepassing testen

Nadat u een gebruiker voor testen hebt toegevoegd, kunt u de toepassing testen door https://www.fabrikam.one te openen. De gebruiker wordt gevraagd om zich te verifiëren in Microsoft Entra ID en na een geslaagde verificatie krijgt de toepassing toegang.

Een aanval simuleren

Als u wilt testen of de WAF schadelijke aanvragen blokkeert, kunt u een aanval simuleren met behulp van een eenvoudige SQL-injectiehandtekening. Bijvoorbeeld "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

Een HTTP 403-antwoord bevestigt dat WAF de aanvraag heeft geblokkeerd.

De Application Gateway Firewall-logboeken bieden meer informatie over de aanvraag en waarom WAF deze blokkeert.

Volgende stappen

• Web Application Firewall-regels
• Uitsluitingslijsten voor Web Application Firewall
• Aangepaste regels voor Web Application Firewall