Freigeben über

Verwenden des Anwendungsgateways WAF zum Schutz Ihrer Anwendungen

Übersicht

Hinzufügen des WAF-Schutzes (Web Application Firewall) für Apps, die mit dem Microsoft Entra-Anwendungsproxy veröffentlicht wurden.

Weitere Informationen zur Webanwendungsfirewall finden Sie unter Was ist die Azure-Webanwendungsfirewall auf dem Azure-Anwendungsgateway?.

Implementierungsschritte

Dieser Artikel enthält die Schritte zum sicheren Verfügbarmachen einer Webanwendung im Internet mithilfe des Microsoft Entra-Anwendungsproxys mit Azure WAF auf dem Anwendungsgateway.

Architekturdiagramm, das den Datenverkehr von Webanwendungen über Azure WAF und Anwendungsgateway zu Microsoft Entra-Anwendungsproxy und internen Anwendungsservern zeigt.

Konfigurieren des Azure-Anwendungsgateways zum Senden von Datenverkehr an Ihre interne Anwendung

Einige Schritte der Anwendungsgateway-Konfiguration werden in diesem Artikel nicht angegeben. Eine ausführliche Anleitung zum Erstellen und Konfigurieren eines Anwendungsgateways finden Sie in der Schnellstartanleitung: Direkter Webdatenverkehr mit Azure Application Gateway – Microsoft Entra Admin Center.

1. Erstellen eines privaten HTTPS-Listeners

Erstellen Sie einen Listener, damit Benutzer privat auf die Webanwendung zugreifen können, wenn sie mit dem Unternehmensnetzwerk verbunden sind.

Konfigurationsseite des Application Gateway mit Einstellungen für privaten Zugriff für Nutzer des Unternehmensnetzwerks.

2. Erstellen eines Back-End-Pools mit den Webservern

In diesem Beispiel haben die Back-End-Server Internet Information Services (IIS, Internetinformationsdienste) installiert.

Anwendungsgateway-Back-End-Poolkonfiguration mit IIS-Webservern.

3. Erstellen einer Back-End-Einstellung

Eine Back-End-Einstellung bestimmt, wie Anforderungen die Back-End-Poolserver erreichen.

Konfigurationsseite für Anwendungsgateway-Back-End-Einstellungen mit Anforderungsroutingparametern.

4. Erstellen Sie eine Routingregel, die den Listener, den Back-End-Pool und die in den vorherigen Schritten erstellte Back-End-Einstellung verknüpft.

Konfigurationsseite für Anwendungsgateway-Routingregel mit Schritt zur Auswahl des Listeners. Konfigurationsseite für Anwendungsgateway-Routingregel mit Auswahl von Backend-Pool und Backend-Einstellungen.

5. Aktivieren Sie das WAF im Anwendungsgateway, und legen Sie ihn auf den Verhinderungsmodus fest.

Konfigurationsseite der WAF des Anwendungsgateways zeigt WAF aktiviert mit ausgewähltem Präventionsmodus.

Konfigurieren Ihrer Anwendung für den Remotezugriff über den Anwendungsproxy in der Microsoft Entra-ID

Sowohl Connector-VMs, das Anwendungsgateway als auch die Back-End-Server werden in demselben virtuellen Netzwerk in Azure bereitgestellt. Das Setup gilt auch für Anwendungen und Connectors, die lokal bereitgestellt werden.

Eine ausführliche Anleitung zum Hinzufügen Ihrer Anwendung zum Anwendungsproxy in der Microsoft Entra-ID finden Sie im Lernprogramm: Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy in der Microsoft Entra-ID. Weitere Informationen zu Leistungsaspekten von privaten Netzwerk-Connectoren erhalten Sie unter Optimieren des Datenverkehrsflusses mit dem Microsoft Entra-Anwendungsproxy.

Microsoft Entra-Anwendungsproxykonfiguration mit übereinstimmenden internen und externen URLs für port 443-Zugriff.

In diesem Beispiel wurde dieselbe URL wie die interne und externe URL konfiguriert. Remoteclients greifen über das Internet an Port 443 über den Anwendungsproxy auf die Anwendung zu. Ein client, der mit dem Unternehmensnetzwerk verbunden ist, greift privat auf die Anwendung zu. Der Zugriff erfolgt über das Anwendungsgateway direkt am Port 443. Einen detaillierten Schritt zum Konfigurieren von benutzerdefinierten Domänen im Anwendungsproxy finden Sie unter Konfigurieren von benutzerdefinierten Domänen mit dem Microsoft Entra-Anwendungsproxy.

Eine Azure Private Domain Name System (DNS)-Zone wird mit einem A-Eintrag erstellt. Der A-Eintrag verweist www.fabrikam.one auf die private Frontend-IP-Adresse des Anwendungsgateways. Der Datensatz stellt sicher, dass die VMs des Connectors Anforderungen an das Anwendungsgateway senden.

Testen der Anwendung

Nachdem Sie einen Benutzer zum Testen hinzugefügt haben, können Sie die Anwendung testen, indem Sie auf die Anwendung zugreifen https://www.fabrikam.one. Der Benutzer wird aufgefordert, sich in der Microsoft Entra-ID zu authentifizieren, und bei erfolgreicher Authentifizierung greift auf die Anwendung zu.

Anmeldeseite der Microsoft Entra-ID, die den Benutzer zur Authentifizierung auffordert. Browser mit erfolgreichem Anwendungszugriff nach der Authentifizierung.

Simulieren eines Angriffs

Um zu testen, ob das WAF bösartige Anforderungen blockiert, können Sie einen Angriff mit einer einfachen SQL-Einfügungssignatur simulieren. Beispiel: "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

Browser zeigt HTTP 403-Verbot-Fehler aufgrund der Blockierung eines SQL-Injektionsversuchs durch die WAF.

Eine HTTP 403-Antwort bestätigt, dass WAF die Anforderung blockiert hat.

Die Application Gateway-Firewall-Protokolle enthalten weitere Details zu der Anforderung und warum WAF sie blockiert.

Protokolleintrag der Anwendungs-Gateway-Firewall mit blockierten Anforderungsdetails und SQL-Injection-Regelverletzung.

Nächste Schritte

  • Last updated on