Partilhar via


Usando o WAF do Application Gateway para proteger seus aplicativos

Adicione proteção do Web Application Firewall (WAF) para aplicativos publicados com o proxy de aplicativo Microsoft Entra.

Para saber mais sobre o Firewall de Aplicativo Web, consulte O que é o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure?.

Etapas de implantação

Este artigo fornece as etapas para expor com segurança um aplicativo Web na Internet usando o proxy de aplicativo Microsoft Entra com o Azure WAF no Application Gateway.

Diagrama de implantação descrito.

Configurar o Gateway de Aplicativo do Azure para enviar tráfego para seu aplicativo interno

Algumas etapas da configuração do Application Gateway são omitidas neste artigo. Para obter um guia detalhado sobre como criar e configurar um Gateway de Aplicativo, consulte Guia de início rápido: tráfego da Web direto com o Gateway de Aplicativo do Azure - Centro de administração do Microsoft Entra.

1. Crie um listener HTTPS voltado para o lado privado

Crie um ouvinte para que os usuários possam acessar o aplicativo Web de forma privada quando conectados à rede corporativa.

Captura de tela do ouvinte do Application Gateway.

2. Crie um pool de back-end com os servidores Web

Neste exemplo, os servidores back-end têm o IIS (Serviços de Informações da Internet) instalado.

Captura de tela do back-end do Application Gateway.

3. Crie uma configuração de back-end

Uma configuração de back-end determina como as solicitações chegam aos servidores do pool de back-end.

Captura de tela da configuração de back-end do Application Gateway.

4. Crie uma regra de roteamento que vincule o ouvinte, o pool de back-end e a configuração de back-end criada nas etapas anteriores

Captura de tela mostrando a adição de regra ao Application Gateway 1. Captura de tela mostrando a adição de regra ao Application Gateway 2.

5. Habilite o WAF no Application Gateway e defina-o para o modo de Prevenção

Captura de tela da ativação do waf no Application Gateway.

Configure seu aplicativo para ser acessado remotamente por meio de proxy de aplicativo no Microsoft Entra ID

Ambas as VMs de conector, o Gateway de Aplicativo e os servidores de back-end são implantados na mesma rede virtual no Azure. A configuração também se aplica a aplicativos e conectores implantados localmente.

Para obter um guia detalhado sobre como adicionar seu aplicativo ao proxy de aplicativo no Microsoft Entra ID, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID. Para obter mais informações sobre considerações de desempenho relativas aos conectores de rede privada, consulte Otimizar o fluxo de tráfego com o proxy de aplicativo Microsoft Entra.

Captura de tela da configuração do proxy do aplicativo.

Neste exemplo, a mesma URL foi configurada como a URL interna e externa. Clientes remotos acessam o aplicativo pela Internet na porta 443, através do proxy do aplicativo. Um cliente conectado à rede corporativa acessa o aplicativo de forma privada. O acesso é feito através do Application Gateway diretamente na porta 443. Para obter uma etapa detalhada sobre como configurar domínios personalizados no proxy de aplicativo, consulte Configurar domínios personalizados com o proxy de aplicativo do Microsoft Entra.

Uma zona DNS (Sistema de Nomes de Domínio) Privada do Azure é criada com um registo A. O registro A aponta www.fabrikam.one para o endereço IP de front-end privado do Application Gateway. O registro garante que as VMs do conector enviem solicitações para o Application Gateway.

Testar a aplicação

Depois de adicionar um usuário para testar, você pode testar o aplicativo acessando https://www.fabrikam.one. O usuário é solicitado a autenticar no Microsoft Entra ID e, após a autenticação bem-sucedida, acessa o aplicativo.

Captura de tela da etapa de autenticação. Captura de tela da resposta do servidor.

Simular um ataque

Para testar se o WAF está bloqueando solicitações maliciosas, você pode simular um ataque usando uma assinatura básica de injeção de SQL. Por exemplo, "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".

Captura de tela da resposta do WAF.

Uma resposta HTTP 403 confirma que o WAF bloqueou a solicitação.

Os logs dos Application Gateway Firewall fornecem mais detalhes sobre a solicitação e por que o WAF a está bloquear.

Captura de ecrã de logs do waf.

Próximos passos