Creación de una puerta de enlace de aplicaciones con un firewall de aplicaciones web en el portalCreate an application gateway with a web application firewall by using the portal

Aprenda a crear una puerta de enlace de aplicaciones web habilitada para un firewall de aplicaciones web (WAF).Learn how to create a web application firewall (WAF)-enabled application gateway.

El WAF de Azure Application Gateway protege las aplicaciones web de ataques web comunes, como inyección de código SQL, ataques de scripts entre sitios y secuestros de sesiones.The WAF in Azure Application Gateway protects web applications from common web-based attacks like SQL injection, cross-site scripting attacks, and session hijacks. El WAF sirve de protección frente a muchas de las vulnerabilidades web de OWASP Top 10.A WAF protects against many of the OWASP top 10 common web vulnerabilities.

EscenariosScenarios

En este artículo se presentan dos escenarios.This article presents two scenarios. En el primer escenario, aprenderá a crear una puerta de enlace de aplicaciones con un WAF.In the first scenario, you learn how to create an application gateway with a WAF. En el segundo escenario, aprenderá a agregar un WAF a una puerta de enlace de aplicaciones existente.In the second scenario, you learn how to add a WAF to an existing application gateway.

Escenario de ejemplo

Nota

Puede agregar sondeos de estado personalizados, direcciones del grupo de back-end y otras reglas a la puerta de enlace de aplicaciones.You can add custom health probes, back-end pool addresses, and additional rules to the application gateway. Estas aplicaciones se configuran después de la puerta de enlace de aplicaciones y no durante la implementación inicial.These applications are configured after the application gateway is configured and not during initial deployment.

Antes de empezarBefore you begin

Las puertas de enlace de aplicaciones necesitan su propia subred.An application gateway requires its own subnet. Cuando cree una red virtual, asegúrese de dejar suficiente espacio de direcciones para tener varias subredes.When you create a virtual network, ensure that you leave enough address space to have multiple subnets. Una vez que se implementa una puerta de enlace de aplicaciones en una subred, solo se puedan agregar otras puertas de enlace de aplicaciones a dicha subred.After you deploy an application gateway to a subnet, only additional application gateways can be added to the subnet.

Incorporación de un firewall de aplicaciones web a una puerta de enlace de aplicaciones existenteAdd a web application firewall to an existing application gateway

En este ejemplo, se actualiza una puerta de enlace de aplicaciones existente para que admita un WAF en el modo Prevención.This example updates an existing application gateway to support a WAF in Prevention mode.

  1. En el panel Favoritos de Azure Portal, seleccione Todos los recursos.In the Azure portal Favorites pane, select All resources. En la hoja Todos los recursos, seleccione la puerta de enlace de aplicaciones existente.On the All resources blade, select the existing application gateway. Si la suscripción seleccionada ya contiene varios recursos, puede escribir el nombre en Filtrar por nombre para acceder fácilmente a la zona DNS.If the subscription you selected already has several resources in it, enter the name in the Filter by name box to easily access the DNS zone.

    Selección de una puerta de enlace de aplicaciones existente

  2. Seleccione Firewall de aplicaciones web y actualice la configuración de la puerta de enlace de aplicaciones.Select Web application firewall, and update the application gateway settings. Cuando la actualización finalice, seleccione Guardar.When the update finishes, select Save.

  3. Utilice la siguiente configuración para actualizar una puerta de enlace de aplicaciones existente de forma que admita el uso de un WAF:Use the following settings to update an existing application gateway to support a WAF:

    ConfiguraciónSetting ValorValue DetallesDetails
    Actualizar al nivel WAFUpgrade to WAF tier ActivadoChecked Esta opción establece el nivel de la puerta de enlace de aplicaciones en el nivel WAF.This option sets the tier of the application gateway to the WAF tier.
    Estado de FirewallFirewall status habilitadoEnabled Esta configuración habilita el firewall en el WAF.This setting enables the firewall on the WAF.
    Modo de firewallFirewall mode PrevenciónPrevention Esta opción determina cómo va a administrar el WAF el tráfico malintencionado.This setting is how a WAF deals with malicious traffic. El modo Detección solo registra los eventos.Detection mode only logs the events. El modo Prevención registra los eventos y detiene el tráfico malintencionado.Prevention mode logs the events and stops the malicious traffic.
    Conjunto de reglasRule set 3.03.0 Esta opción determina el conjunto de reglas básico que se usa para proteger a los miembros del grupo de back-end.This setting determines the core rule set that's used to protect the back-end pool members.
    Configurar reglas deshabilitadasConfigure disabled rules VaríaVaries Para evitar posibles falsos positivos, puede utilizar esta opción para deshabilitar algunas reglas y grupos de reglas.To prevent possible false positives, you can use this setting to disable certain rules and rule groups.

    Nota

    Cuando se actualiza una puerta de enlace de aplicaciones existente a la SKU de WAF, el tamaño de la SKU cambia a medio.When you upgrade an existing application gateway to the WAF SKU, the SKU size changes to medium. Una vez que finalice la configuración, podrá configurar de nuevo esta opción.After configuration finishes, you can reconfigure this setting.

    Configuración básica

    Nota

    Para consultar los logs de WAF, habilite el diagnóstico y seleccione ApplicationGatewayFirewallLog.To view WAF logs, enable diagnostics and select ApplicationGatewayFirewallLog. Solo debe elegir 1 como número de instancias para realizar pruebas.Choose an instance count of 1 for testing purposes only. No es recomendable utilizar un número de instancias inferior a 2, ya que no está cubierto por el SLA.We do not recommend an instance count under 2 because it's not covered by the SLA. Las puertas de enlace pequeñas no están disponibles cuando se usa un WAF.Small gateways aren't available when you use a WAF.

Creación de una puerta de enlace de aplicaciones con un firewall de aplicaciones webCreate an application gateway with a web application firewall

En este escenario:This scenario will:

  • Creará una puerta de enlace de aplicaciones de WAF de tamaño medio con dos instancias.Create a medium WAF application gateway with two instances.
  • Creará una red virtual denominada AdatumAppGatewayVNET con un bloque CIDR reservado de 10.0.0.0/16.Create a virtual network named AdatumAppGatewayVNET with a reserved CIDR block of 10.0.0.0/16.
  • Creará una subred denominada Appgatewaysubnet que usa 10.0.0.0/28 como bloque CIDR.Create a subnet called Appgatewaysubnet that uses 10.0.0.0/28 as its CIDR block.
  • Configurará un certificado para la descarga SSL.Configure a certificate for SSL offload.
  1. Inicie sesión en el Portal de Azure.Sign in to the Azure portal. Si aún no tiene una cuenta, puede registrarse para disfrutar de una evaluación gratuita de un mes.If you don't already have an account, you can sign up for a free one-month trial.

  2. En el panel Favoritos del portal, seleccione Nuevo.In the Favorites pane on the portal, select New.

  3. En la hoja Nuevo, seleccione Redes.On the New blade, select Networking. En la hoja Redes, seleccione Puerta de enlace de aplicaciones, tal y como se muestra en la siguiente imagen:On the Networking blade, select Application Gateway, as shown in the following image:

    Creación de puertas de enlace de aplicaciones

  4. En la hoja Datos básicos que aparece, escriba los valores siguientes y seleccione Aceptar:On the Basics blade that appears, enter the following values, and then select OK:

    ConfiguraciónSetting ValorValue DetallesDetails
    NameName AdatumAppGatewayAdatumAppGateway Nombre de la puerta de enlace de aplicaciones.The name of the application gateway.
    NivelTier WAFWAF Los valores disponibles son Estándar y WAF.Available values are Standard and WAF. Para más información sobre los WAF, consulte Firewall de aplicaciones web.To learn more about a WAF, see Web application firewall.
    Tamaño de la SKUSKU Size MedianoMedium Las opciones del nivel estándar son Pequeño, Medio y Grande.Standard tier options are Small, Medium, and Large. Las opciones del nivel WAF son exclusivamente Medio y Grande.WAF tier options are Medium and Large only.
    Recuento de instanciasInstance count 22 Número de instancias de la puerta de enlace de aplicaciones para alta disponibilidad.The number of instances of the application gateway for high availability. Solo debe elegir 1 como número de instancias para realizar pruebas.Use instance counts of 1 for testing purposes only.
    SuscripciónSubscription [Su suscripción][Your subscription] Seleccione la suscripción que va a utilizar para crear la puerta de enlace de aplicaciones.Select a subscription to use to create the application gateway.
    Grupos de recursosResource group Crear nuevo: AdatumAppGatewayRGCreate new: AdatumAppGatewayRG Cree un grupo de recursos.Create a resource group. El nombre del grupo de recursos debe ser único dentro de la suscripción seleccionada.The resource group name must be unique within the subscription you selected. Para más información sobre los grupos de recursos, lea el artículo Información general de Azure Resource Manager.To learn more about resource groups, read the Resource Manager overview article.
    UbicaciónLocation Oeste de EE. UU.West US

    Opciones de configuración básicas

  5. En la hoja Configuración que aparece en Red virtual, seleccione Elegir una red virtual.On the Settings blade that appears under Virtual network, select Choose a virtual network. En la hoja Elegir red virtual, haga clic en Crear nuevo.On the Choose virtual network blade, select Create new.

    Opción de red virtual

  6. En la hoja Crear red virtual, escriba los valores siguientes y seleccione Aceptar.On the Create virtual network blade, enter the following values, and then select OK. El campo Subred de la hoja Configuración se rellena con la subred elegida.The Subnet field on the Settings blade is populated with the subnet you chose.

    ConfiguraciónSetting ValorValue DetallesDetails
    NameName AdatumAppGatewayVNETAdatumAppGatewayVNET Nombre de la puerta de enlace de aplicaciones.The name of the application gateway.
    Espacio de direccionesAddress space 10.0.0.0/1610.0.0.0/16 Este valor es el espacio de direcciones de la red virtual.This value is the address space for the virtual network.
    Nombre de subredSubnet name AppGatewaySubnetAppGatewaySubnet Nombre de la subred de la puerta de enlace de aplicaciones.The name of the subnet for the application gateway.
    Intervalo de direcciones de subredSubnet address range 10.0.0.0/2810.0.0.0/28 Esta subred permite más subredes en la red virtual para los miembros del grupo de back-end.This subnet allows more additional subnets in the virtual network for back-end pool members.
  7. En la hoja Configuración, en Configuración de IP de front-end, seleccione Pública como Tipo de dirección IP.On the Settings blade under Frontend IP configuration, select Public as the IP address type.

  8. En la hoja Configuración, en Dirección IP pública, seleccione Elegir una dirección IP pública.On the Settings blade under Public IP address, select Choose a public IP address. En la hoja Elegir dirección IP pública, seleccione Crear nuevo.On the Choose public IP address blade, select Create new.

    Opción de dirección IP pública

  9. En la hoja Crear dirección IP pública, acepte el valor predeterminado y seleccione Aceptar.On the Create public IP address blade, accept the default value, and select OK. El campo Dirección IP pública se rellena con la dirección IP pública elegida.The Public IP address field is populated with the public IP address you chose.

  10. En la hoja Configuración, en Configuración de agente de escucha, haga clic en la opción HTTP de Protocolo.On the Settings blade under Listener configuration, select HTTP under Protocol. Para usar HTTPS, se requiere un certificado.A certificate is required to use HTTPS. Se necesita la clave privada del certificado.The private key for the certificate is needed. Proporcione una exportación .pfx del certificado y escriba la contraseña del archivo.Provide a .pfx export of the certificate, and enter the password for the file.

  11. Configure los valores específicos de WAF.Configure specific settings for the WAF.

    ConfiguraciónSetting ValorValue DetallesDetails
    Estado de FirewallFirewall status habilitadoEnabled Esta opción activa o desactiva el WAF.This setting turns the WAF on or off.
    Modo de firewallFirewall mode PrevenciónPrevention Esta configuración determina las acciones que realiza el WAF sobre el tráfico malintencionado.This setting determines the actions the WAF takes on malicious traffic. El modo Detección solamente registra el tráfico.Detection mode only logs traffic. El modo Prevención registra y detiene el tráfico con una respuesta de tipo 403-No autorizado.Prevention mode logs and stops traffic with a 403 Unauthorized response.
  12. Consulte la página Resumen y seleccione Aceptar.Review the Summary page, and select OK. La puerta de enlace de aplicaciones se pone en cola y se crea.Now the application gateway is queued up and created.

  13. Una vez creada la puerta de enlace de aplicaciones, navegue hasta ella en el portal para continuar con la configuración de la puerta de enlace de aplicaciones.After the application gateway is created, go to it in the portal to continue configuration of the application gateway.

    Vista de los recursos de la puerta de enlace de aplicaciones

Este procedimiento permite crear una puerta de enlace de aplicaciones básica con la configuración predeterminada para el agente de escucha, el grupo de back-end, la configuración HTTP de back-end y las reglas.These steps create a basic application gateway with default settings for the listener, back-end pool, back-end HTTP settings, and rules. Una vez que la operación de aprovisionamiento finalice correctamente, podrá modificar esta configuración para adaptarla a su implementación.After the provisioning finishes successfully, you can modify these settings to suit your deployment.

Nota

Las puertas de enlace de aplicaciones creadas con la configuración básica de WAF se configuran con CRS 3.0 como medida de protección.Application gateways created with the basic WAF configuration are configured with CRS 3.0 for protections.

Pasos siguientesNext steps

Si desea configurar un alias de dominio personalizado para la dirección IP pública, puede utilizar Azure DNS u otro proveedor de DNS.To configure a custom domain alias for the public IP address, you can use Azure DNS or another DNS provider.

Si desea configurar un registro de diagnóstico para incluir todos los eventos que se detecten o se impidan con un WAF, consulte este artículo sobre diagnósticos de Application Gateway.To configure diagnostic logging to log the events that are detected or prevented with WAF, see Application Gateway diagnostics.

Si desea crear sondeos de estado personalizados, consulte este artículo sobre la creación de un sondeo de estado personalizado.To create custom health probes, see Create a custom health probe.

Si desea configurar la descarga SSL y eliminar la costosa suscripción a SSL de los servidores web, consulte este artículo sobre la configuración de la descarga SSL.To configure SSL offloading and take the costly SSL subscription off your web servers, see Configure SSL offload.