Application Gateway WAF gebruiken om uw toepassingen te beveiligen

Overzicht

WaF-beveiliging (Web Application Firewall) toevoegen voor apps die zijn gepubliceerd met de Microsoft Entra-toepassingsproxy.

Zie Wat is Azure Web Application Firewall in Azure Application Gateway? voor meer informatie over Web Application Firewall.

Implementatiestappen

Dit artikel bevat de stappen voor het veilig beschikbaar maken van een webtoepassing op internet met behulp van de Microsoft Entra-toepassingsproxy met Azure WAF in Application Gateway.

Architectuurdiagram van webtoepassingsverkeer van internet via Azure WAF en Application Gateway naar Microsoft Entra-toepassingsproxy en interne toepassingsservers.

Azure Application Gateway configureren om verkeer naar uw interne toepassing te verzenden

Sommige stappen van de Application Gateway-configuratie worden weggelaten in dit artikel. Zie Quickstart: Webverkeer omleiden met Azure Application Gateway - Microsoft Entra-beheercentrumvoor een gedetailleerde handleiding over het maken en configureren van een Application Gateway.

1. Een privégerichte HTTPS-listener maken

Maak een listener zodat gebruikers privé toegang hebben tot de webtoepassing wanneer ze zijn verbonden met het bedrijfsnetwerk.

De configuratiepagina van de listener van Application Gateway met instellingen voor privétoegang voor zakelijke netwerkgebruikers.

2. Maak een back-endpool met de webservers

In dit voorbeeld is Internet Information Services (IIS) op de back-endservers geïnstalleerd.

Configuratie van back-endpool van Application Gateway met IIS-webservers.

3. Een backendinstelling maken

Een backend-instelling bepaalt hoe aanvragen de back-endpool-servers bereiken.

Configuratiepagina voor back-endinstellingen van Application Gateway met routeringsparameters voor aanvragen.

4. Maak een routeringsregel die de listener, de backendpool en de backendinstelling koppelt die in de vorige stappen zijn gemaakt.

Configuratiepagina van Application Gateway-routeringsregel met de stap voor het selecteren van een luisteraar. De configuratiepagina van Application Gateway-routeringsregel met de selectie van achtergrondpool en achtergrondinstellingen.

5. Schakel de WAF in de Application Gateway in en stel deze in op de preventiemodus

De waf-configuratiepagina van Application Gateway met WAF ingeschakeld met de modus Preventie geselecteerd.

Uw toepassing configureren voor externe toegang via de toepassingsproxy in Microsoft Entra-id

Beide connector-VM's, de Application Gateway en de back-endservers worden geïmplementeerd in hetzelfde virtuele netwerk in Azure. De installatie is ook van toepassing op toepassingen en connectors die on-premises zijn geïmplementeerd.

Zie Zelfstudie: Een on-premises toepassing toevoegen voor externe toegang via toepassingsproxy in Microsoft Entra IDvoor een gedetailleerde handleiding over het toevoegen van uw toepassing aan de toepassingsproxy in Microsoft Entra ID. Zie Verkeersstroom optimaliseren met microsoft Entra-toepassingsproxyvoor meer informatie over prestatieoverwegingen met betrekking tot de connectors voor privénetwerken.

Microsoft Entra-toepassingsproxyconfiguratie met overeenkomende interne en externe URL's voor poort 443-toegang.

In dit voorbeeld is dezelfde URL geconfigureerd als de interne en externe URL. Externe clients hebben toegang tot de toepassing via internet op poort 443, via de toepassingsproxy. Een client die is verbonden met het bedrijfsnetwerk, heeft privé toegang tot de toepassing. Toegang wordt rechtstreeks via application gateway uitgevoerd op poort 443. Zie Aangepaste domeinen configureren met Microsoft Entra-toepassingsproxyvoor een gedetailleerde stap voor het configureren van aangepaste domeinen in de toepassingsproxy.

Er wordt een Dns- zone (Private Domain Name System) van Azure gemaakt met een A-record. De A record wijst www.fabrikam.one naar het privé-front-end-IP-adres van de Application Gateway. De record zorgt ervoor dat de connector-VM's aanvragen verzenden naar de Application Gateway.

De toepassing testen

Nadat een gebruiker hebt toegevoegd voor het testen van, kunt u de toepassing testen door toegang te krijgen tot https://www.fabrikam.one. De gebruiker wordt gevraagd om zich te authentiseren in Microsoft Entra ID en na een geslaagde authenticatie krijgt de gebruiker toegang tot de toepassing.

Microsoft Entra ID-aanmeldingspagina waarin de gebruiker om verificatie wordt gevraagd. Browser met geslaagde toegang tot toepassingen na verificatie.

Een aanval simuleren

Als u wilt testen of de WAF schadelijke aanvragen blokkeert, kunt u een aanval simuleren met behulp van een eenvoudige SQL-injectiehandtekening. Bijvoorbeeld'https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

Browser die HTTP 403 Verbodsfout van WAF blokkeert poging tot SQL-injectie.

Een HTTP 403-antwoord bevestigt dat WAF de aanvraag heeft geblokkeerd.

De Application Gateway Firewall-logboeken meer informatie geven over de aanvraag en waarom WAF deze blokkeert.

Application Gateway Firewall-logboekvermelding met geblokkeerde aanvraagdetails en schending van SQL-injectieregels.

Volgende stappen

  • Last updated on