Condividi tramite

Utilizzare Application Gateway WAF per proteggere le applicazioni

Informazioni generali

Aggiungere la protezione Web Application Firewall (WAF) per le app pubblicate con il proxy dell'applicazione Microsoft Entra.

Per ulteriori informazioni sul Web Application Firewall, vedere Che cos'è Azure Web Application Firewall su Azure Application Gateway?.

Passaggi di distribuzione

Questo articolo illustra la procedura per esporre in modo sicuro un'applicazione Web su Internet usando il proxy dell'applicazione Microsoft Entra con Azure WAF su Application Gateway.

Diagramma dell'architettura che illustra il flusso del traffico dell'applicazione Web da Internet attraverso WAF di Azure e l'Application Gateway al proxy dell'applicazione Microsoft Entra e ai server applicativi interni.

Configurare Azure Application Gateway per inviare il traffico all'applicazione interna

Alcuni passaggi della configurazione dell'Application Gateway vengono omessi in questo articolo. Per una guida dettagliata sulla creazione e la configurazione di un gateway applicativo, vedere Avvio rapido: Indirizzare il traffico Web utilizzando il gateway applicativo di Azure - centro di amministrazione di Microsoft Entra.

1. Creare un listener HTTPS privato

Creare un listener in modo che gli utenti possano accedere privatamente all'applicazione Web quando si è connessi alla rete aziendale.

Pagina di configurazione del listener del gateway applicativo che mostra le impostazioni di accesso privato per gli utenti aziendali.

2. Creare un pool di backend con i server web

In questo esempio, nei server back-end è installato Internet Information Services (IIS).

Configurazione del pool back-end del gateway dell'applicazione che mostra i server web IIS.

3. Creare un'impostazione del back-end

Un'impostazione back-end determina il modo in cui le richieste raggiungono i server del pool back-end.

Pagina di configurazione delle impostazioni back-end del gateway applicativo che mostra i parametri di routing delle richieste.

4. Creare una regola di routing che collega il listener, il pool back-end e la configurazione del back-end creata nei passaggi precedenti

Pagina di configurazione della regola di routing di Application Gateway che mostra il passaggio di selezione del listener. Pagina di configurazione della regola di routing di Application Gateway che mostra la selezione del pool backend e delle impostazioni backend.

5. Abilitare il WAF in Application Gateway e impostarlo sulla modalità prevenzione

Pagina di configurazione WAF del Gateway Applicazione che mostra WAF abilitato con la Modalità Prevenzione selezionata.

Configurare l'applicazione per l'accesso remoto tramite il proxy dell'applicazione in Microsoft Entra ID

Entrambe le macchine virtuali connettore, l'Application Gateway e i server back-end sono distribuiti nella stessa rete virtuale in Azure. La configurazione si applica anche alle applicazioni e ai connettori distribuiti in locale.

Per una guida dettagliata su come aggiungere l'applicazione al proxy dell'applicazione in Microsoft Entra ID, vedere Tutorial: Aggiungere un'applicazione in locale per l'accesso remoto tramite il proxy dell'applicazione in Microsoft Entra ID. Per altre informazioni sulle considerazioni sulle prestazioni relative ai connettori di rete privata, vedere Ottimizzare il flusso del traffico con il proxy dell'applicazione Microsoft Entra.

Configurazione del proxy dell'applicazione Microsoft Entra che mostra gli URL interni ed esterni corrispondenti per l'accesso alla porta 443.

In questo esempio lo stesso URL è stato configurato come URL interno ed esterno. I client remoti accedono all'applicazione tramite Internet sulla porta 443, tramite il proxy dell'applicazione. Un client connesso alla rete aziendale accede privatamente all'applicazione. L'accesso avviene tramite il gateway dell'applicazione direttamente sulla porta 443. Per un passaggio dettagliato sulla configurazione di domini personalizzati nel proxy dell'applicazione, vedere Configurare domini personalizzati con il proxy dell'applicazione Microsoft Entra.

Viene creata una zona DNS privata di Azure (, Private Domain Name System) con un record A. Il record A punta www.fabrikam.one all'indirizzo IP front-end privato dell'Application Gateway. Il record garantisce che le macchine virtuali del connettore inviino richieste al gateway delle applicazioni.

Testare l'applicazione

Dopo aver aggiunto un utente per il test, è possibile testare l'applicazione accedendo a https://www.fabrikam.one. All'utente viene richiesto di eseguire l'autenticazione in Microsoft Entra ID e, al termine dell'autenticazione, accede all'applicazione.

Pagina di accesso di Microsoft Entra ID che richiede l'autenticazione dell'utente. Browser che mostra l'accesso corretto dell'applicazione dopo l'autenticazione.

Simulare un attacco

Per verificare se il WAF blocca le richieste dannose, è possibile simulare un attacco usando una firma di base per SQL injection. Ad esempio, "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

Browser che mostra l'errore HTTP 403 Proibito causato dal WAF che blocca un tentativo di injection SQL.

Una risposta HTTP 403 conferma che WAF ha bloccato la richiesta.

I log del firewall del gateway applicativo forniscono altri dettagli sulla richiesta e sul motivo per cui il WAF lo sta bloccando.

Voce di log del firewall del gateway dell'applicazione che mostra i dettagli delle richieste bloccate e la violazione della regola SQL injection.

Passaggi successivi

  • Last updated on