Application Gateway WAF를 사용하여 애플리케이션 보호

아티클
12/13/2024

Microsoft Entra 애플리케이션 프록시를 사용하여 게시된 앱에 대한 WAF(웹 애플리케이션 방화벽) 보호를 추가합니다.

Azure 웹 애플리케이션 방화벽에 대한 자세한 내용을 알아보려면 Azure Application Gateway에서의 Azure 웹 애플리케이션 방화벽이란? 을 참조하십시오.

배포 단계

이 문서에서는 Application Gateway에서 Azure WAF와 함께 Microsoft Entra 애플리케이션 프록시를 사용하여 인터넷에서 웹 애플리케이션을 안전하게 노출하는 단계를 제공합니다.

설명된 배포 다이어그램

내부 애플리케이션으로 트래픽을 보내도록 Azure Application Gateway 구성

Application Gateway 구성의 일부 단계는 이 문서에서 생략됩니다. Application Gateway를 만들고 구성하는 방법에 대한 자세한 가이드는 빠른 시작: Azure Application Gateway를 사용한 직접 웹 트래픽 - Microsoft Entra 관리 센터참조하세요.

1. 프라이빗 연결 HTTPS 수신기 만들기

사용자가 회사 네트워크에 연결할 때 웹 애플리케이션에 비공개로 액세스할 수 있도록 수신기를 만듭니다.

Application Gateway 수신기의 스크린샷

2. 웹 서버를 사용하여 백 엔드 풀 만들기

이 예제에서는 백 엔드 서버에 IIS(인터넷 정보 서비스)가 설치되어 있습니다.

Application Gateway 백엔드의 스크린샷

3. 백 엔드 설정 만들기

백 엔드 설정은 요청이 백 엔드 풀 서버에 도달하는 방법을 결정합니다.

Application Gateway 백 엔드 설정의 스크린샷

4. 이전 단계에서 만든 수신기, 백 엔드 풀 및 백 엔드 설정을 연결하는 라우팅 규칙 만들기

Application Gateway 1에 규칙을 추가하는 스크린샷 Application Gateway 2에 규칙을 추가하는 스크린샷

5. Application Gateway에서 WAF를 사용하도록 설정하고 방지 모드로 설정합니다.

Application Gateway에서 waf를 사용하도록 설정하는 스크린샷

Microsoft Entra ID에서 애플리케이션 프록시를 통해 원격으로 액세스하도록 애플리케이션 구성

커넥터 VM, Application Gateway 및 백 엔드 서버는 모두 Azure의 동일한 가상 네트워크에 배포됩니다. 이 설정은 온-프레미스에 배포된 애플리케이션 및 커넥터에도 적용됩니다.

Microsoft Entra ID에서 애플리케이션 프록시에 애플리케이션을 추가하는 방법에 대한 자세한 가이드는 자습서: Microsoft Entra ID애플리케이션 프록시를 통해 원격 액세스를 위한 온-프레미스 애플리케이션 추가를 참조하세요. 프라이빗 네트워크 커넥터와 관련된 성능 고려 사항에 대한 자세한 내용은 Microsoft Entra 애플리케이션 프록시사용하여 트래픽 흐름 최적화 참조하세요.

애플리케이션 프록시 구성의 스크린샷

이 예제에서는 내부 및 외부 URL과 동일한 URL을 구성했습니다. 원격 클라이언트는 애플리케이션 프록시를 통해 포트 443에서 인터넷을 통해 애플리케이션에 액세스합니다. 회사 네트워크에 연결된 클라이언트는 애플리케이션에 비공개로 액세스합니다. 액세스는 포트 443에서 직접 Application Gateway를 통해서입니다. 애플리케이션 프록시에서 사용자 지정 도메인을 구성하는 방법에 대한 자세한 단계는 Microsoft Entra 애플리케이션 프록시사용하여 사용자 지정 도메인 구성을 참조하세요.

Azure Private Domain Name System(DNS) 영역이 A 레코드와 함께 생성됩니다. A 레코드는 www.fabrikam.one에서 Application Gateway의 프라이빗 프론트엔드 IP 주소를 가리킵니다. 이 레코드는 커넥터 VM이 Application Gateway에 요청을 보내도록 합니다.