Använda Application Gateway WAF för att skydda dina program

Översikt

Lägg till WAF-skydd (Web Application Firewall) för appar som publicerats med Microsoft Entra-programproxy.

Mer information om brandväggen för webbprogram finns i Vad är Azure Web Application Firewall på Azure Application Gateway?.

Implementeringssteg

Den här artikeln innehåller stegen för att på ett säkert sätt exponera ett webbprogram på Internet med hjälp av Microsoft Entra-programproxy med Azure WAF på Application Gateway.

Arkitekturdiagram som visar trafikflödet för webbprogram från Internet via Azure WAF och Application Gateway till Microsoft Entra-programproxy och interna programservrar.

Konfigurera Azure Application Gateway för att skicka trafik till ditt interna program

Vissa steg i Application Gateway-konfigurationen utelämnas i den här artikeln. En detaljerad guide om hur du skapar och konfigurerar en Application Gateway finns i Snabbstart: Dirigera webbtrafik med Azure Application Gateway – Administrationscenter för Microsoft Entra.

1. Skapa en privat HTTPS-lyssnare

Skapa en lyssnare så att användarna kan komma åt webbprogrammet privat när de är anslutna till företagsnätverket.

Konfigurationssidan för Application Gateway-lyssnaren som visar inställningar för privat åtkomst för företagsnätverksanvändare.

2. Skapa en backend-pool med webbservrar

I det här exemplet har backendservrarna Internet Information Services (IIS) installerat.

Konfiguration av Application Gateway-serverdelspoolen som visar IIS-webbservrar.

3. Skapa en serverdelsinställning

En inställning i serverdelen bestämmer hur förfrågningar når servrarna i serverpoolen.

Konfigurationssidan för Application Gateway-serverdelsinställningar som visar parametrar för begärandedirigering.

4. Skapa en routningsregel som kopplar lyssnaren, serverdelspoolen och serverdelsinställningen som skapades i föregående steg

Konfigurationssidan för routningsregeln i Application Gateway som visar steget för val av lyssnare. Konfigurationssidan för routningsregeln i Application Gateway som visar valet av backend-pool och backend-inställningar.

5. Aktivera WAF i Application Gateway och ställ in den på Förebyggande läge

Application Gateway WAF-konfigurationssida som visar WAF aktiverat med förebyggande läge valt.

Konfigurera programmet så att det kan nås fjärrledes genom en programproxy i Microsoft Entra ID.

Både anslutnings-VM:erna, Application Gateway och backend-servrarna distribueras i samma virtuella nätverk i Azure. Konfigurationen gäller även för program och anslutningsappar som distribueras lokalt.

En detaljerad guide om hur du lägger till ditt program i programproxyn i Microsoft Entra-ID finns i Självstudie: Lägga till ett lokalt program för fjärråtkomst via programproxy i Microsoft Entra ID. Mer information om prestandaöverväganden för privata nätverksanslutningar finns i Optimera trafikflödet med Microsoft Entra-programproxy.

Microsoft Entra-programproxykonfiguration som visar matchande interna och externa URL:er för port 443-åtkomst.

I det här exemplet konfigurerades samma URL som den interna och externa URL:en. Fjärrklienter får åtkomst till programmet via Internet på port 443 via programproxyn. En klient som är ansluten till företagsnätverket har åtkomst till programmet privat. Åtkomst sker via Application Gateway direkt på port 443. Ett detaljerat steg för att konfigurera anpassade domäner i programproxy finns i Konfigurera anpassade domäner med Microsoft Entra-programproxy.

En Azure Private Domain Name System (DNS)-zon skapas med en A-post. A-posten pekar www.fabrikam.one till Application Gateways privata frontend-IP-adress. Inspelningen säkerställer att de virtuella anslutningsdatorerna skickar begäranden till Application Gateway.

Testa programmet

När lägger till en användare för att testakan du testa programmet genom att komma åt https://www.fabrikam.one. Användaren uppmanas att autentisera i Microsoft Entra-ID och vid lyckad autentisering får åtkomst till programmet.

Inloggningssidan för Microsoft Entra-ID frågar användaren om autentisering. Webbläsare som visar lyckad programåtkomst efter autentisering.

Simulera en attack

Om du vill testa om WAF blockerar skadliga begäranden kan du simulera en attack med en grundläggande SQL-inmatningssignatur. Till exempel "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

Webbläsare som visar HTTP 403 Förbjudet fel från WAF som blockerar SQL-inmatningsförsök.

Ett HTTP 403-svar bekräftar att WAF blockerade begäran.

Application Gateway Brandväggsloggar ger mer information om begäran och om varför WAF blockerar den.

Application Gateway Firewall-loggpost som visar information om blockerade begäranden och överträdelse av SQL-inmatningsregeln.

Nästa steg

  • Last updated on