Creación de una puerta de enlace de aplicaciones con un firewall de aplicaciones web mediante Azure PortalCreate an application gateway with a web application firewall using the Azure portal

Puede usar Azure Portal para crear una puerta de enlace de aplicaciones con un firewall de aplicaciones web (WAF).You can use the Azure portal to create an application gateway with a web application firewall (WAF). WAF usa reglas de OWASP para proteger la aplicación.The WAF uses OWASP rules to protect your application. Estas reglas incluyen protección frente a ataques, como la inyección de SQL, ataques de scripts entre sitios y apropiaciones de sesión.These rules include protection against attacks such as SQL injection, cross-site scripting attacks, and session hijacks.

En este artículo, aprenderá a:In this article, you learn how to:

  • Crear una puerta de enlace de aplicaciones con WAF habilitadoCreate an application gateway with WAF enabled
  • Crear las máquinas virtuales que se utilizan como servidores back-endCreate the virtual machines used as backend servers
  • Crear una cuenta de almacenamiento y configurar los diagnósticosCreate a storage account and configure diagnostics

Ejemplo de firewall de aplicaciones web

Inicio de sesión en AzureLog in to Azure

Inicie sesión en Azure Portal en http://portal.azure.comLog in to the Azure portal at http://portal.azure.com

Creación de una puerta de enlace de aplicacionesCreate an application gateway

Se necesita una red virtual para la comunicación entre los recursos que se crean.A virtual network is needed for communication between the resources that you create. En este ejemplo se crean dos subredes: una para la puerta de enlace de aplicaciones y la otra para los servidores back-end.Two subnets are created in this example: one for the application gateway, and the other for the backend servers. Puede crear una red virtual a la vez que crea la puerta de enlace de aplicaciones.You can create a virtual network at the same time that you create the application gateway.

  1. Haga clic en Nuevo en la esquina superior izquierda de Azure Portal.Click New found on the upper left-hand corner of the Azure portal.
  2. Seleccione Redes y Application Gateway en la lista de destacados.Select Networking and then select Application Gateway in the Featured list.
  3. Especifique estos valores para la puerta de enlace de aplicaciones:Enter these values for the application gateway:

    • myAppGateway: como nombre de la puerta de enlace de aplicaciones.myAppGateway - for the name of the application gateway.
    • myResourceGroupAG: para el nuevo grupo de recursos.myResourceGroupAG - for the new resource group.
    • Seleccione WAF para el nivel de la puerta de enlace de aplicaciones.Select WAF for the tier of the application gateway.

      Creación de una nueva puerta de enlace de aplicaciones

  4. Acepte los valores predeterminados para las demás opciones y haga clic en Aceptar.Accept the default values for the other settings and then click OK.

  5. Haga clic en Elegir una red virtual, luego en Crear nueva y, después, especifique estos valores para la red virtual:Click Choose a virtual network, click Create new, and then enter these values for the virtual network:

    • myVNet: como nombre de la red virtual.myVNet - for the name of the virtual network.
    • 10.0.0.0/16: como espacio de direcciones de la red virtual.10.0.0.0/16 - for the virtual network address space.
    • myAGSubnet: como nombre de subred.myAGSubnet - for the subnet name.
    • 10.0.0.0/24: como espacio de direcciones de la subred.10.0.0.0/24 - for the subnet address space.

      Creación de una red virtual

  6. Haga clic en Aceptar para crear la red virtual y la subred.Click OK to create the virtual network and subnet.

  7. Haga clic en Elegir una dirección IP pública y en Crear nueva y, a continuación, escriba el nombre de la dirección IP pública.Click Choose a public IP address, click Create new, and then enter the name of the public IP address. En este ejemplo, la dirección IP pública se llama myAGPublicIPAddress.In this example, the public IP address is named myAGPublicIPAddress. Acepte los valores predeterminados para las demás opciones y haga clic en Aceptar.Accept the default values for the other settings and then click OK.
  8. Acepte los valores predeterminados para la configuración del agente de escucha, deje el firewall de aplicaciones web deshabilitado y, a continuación, haga clic en Aceptar.Accept the default values for the Listener configuration, leave the Web application firewall disabled, and then click OK.
  9. Revise la configuración en la página de resumen y, a continuación, haga clic en Aceptar para crear los recursos de red y la puerta de enlace de aplicaciones.Review the settings on the summary page, and then click OK to create network resources and the application gateway. La creación de la puerta de enlace de aplicaciones puede tardar varios minutos, espere a que finalice correctamente la implementación antes de pasar a la sección siguiente.It may take several minutes for the application gateway to be created, wait until the deployment finishes successfully before moving on to the next section.

Incorporación de una subredAdd a subnet

  1. Haga clic en Todos los recursos en el menú izquierdo y, después, haga clic en myVNet en la lista de recursos.Click All resources in the left-hand menu, and then click myVNet from the resources list.
  2. Haga clic en Subredes y en Subred.Click Subnets, and then click Subnet.

    Creación de una subred

  3. Escriba myBackendSubnet como nombre de la subred y, a continuación, haga clic en Aceptar.Enter myBackendSubnet for the name of the subnet and then click OK.

Creación de servidores back-endCreate backend servers

En este ejemplo, se crean dos máquinas virtuales que se usarán como servidores back-end para la puerta de enlace de aplicaciones.In this example, you create two virtual machines to be used as backend servers for the application gateway. También se instala IIS en las máquinas virtuales para comprobar que la puerta de enlace de aplicaciones se ha creado correctamente.You also install IIS on the virtual machines to verify that the application gateway was successfully created.

de una máquina virtualCreate a virtual machine

  1. Haga clic en Nuevo.Click New.
  2. Haga clic en Compute y, después, seleccione Windows Server 2016 Datacenter en la lista de destacados.Click Compute and then select Windows Server 2016 Datacenter in the Featured list.
  3. Especifique estos valores para la máquina virtual:Enter these values for the virtual machine:

    • myVM: como nombre de la máquina virtual.myVM - for the name of the virtual machine.
    • azureuser: como nombre del usuario administrador.azureuser - for the administrator user name.
    • Azure123456!Azure123456! como contraseña.for the password.
    • Seleccione Usar existente y myResourceGroupAG.Select Use existing, and then select myResourceGroupAG.
  4. Haga clic en OK.Click OK.

  5. Seleccione DS1_V2 como tamaño de la máquina virtual y haga clic en Seleccionar.Select DS1_V2 for the size of the virtual machine, and click Select.
  6. Asegúrese de que myVNet está seleccionada como red virtual y que la subred es myBackendSubnet.Make sure that myVNet is selected for the virtual network and the subnet is myBackendSubnet.
  7. Haga clic en Deshabilitado para deshabilitar los diagnósticos de arranque.Click Disabled to disable boot diagnostics.
  8. Haga clic en Aceptar, revise la configuración en la página de resumen y haga clic en Crear.Click OK, review the settings on the summary page, and then click Create.

Instalación de IISInstall IIS

  1. Abra el shell interactivo y asegúrese de que está establecido en PowerShell.Open the interactive shell and make sure that it is set to PowerShell.

    Instalación de la extensión personalizada

  2. Ejecute el siguiente comando para instalar IIS en la máquina virtual:Run the following command to install IIS on the virtual machine:

    Set-AzureRmVMExtension `
      -ResourceGroupName myResourceGroupAG `
      -ExtensionName IIS `
      -VMName myVM `
      -Publisher Microsoft.Compute `
      -ExtensionType CustomScriptExtension `
      -TypeHandlerVersion 1.4 `
      -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
      -Location EastUS
    
  3. Cree una segunda máquina virtual e instale IIS según los pasos que acaba de finalizar.Create a second virtual machine and install IIS using the steps that you just finished. Escriba myVM2 como nombre y como VMName en Set-AzureRmVMExtension.Enter myVM2 for its name and for VMName in Set-AzureRmVMExtension.

Incorporación de servidores back-endAdd backend servers

  1. Haga clic en Todos los recursos y en myAppGateway.Click All resources, and then click myAppGateway.
  2. Haga clic en Grupos de back-end.Click Backend pools. Con la puerta de enlace de aplicaciones se crea un grupo predeterminado.A default pool was automatically created with the application gateway. Haga clic en appGateayBackendPool.Click appGateayBackendPool.
  3. Haga clic en Agregar destino para agregar las máquinas virtuales que creó en el grupo de servidores back-end.Click Add target to add each virtual machine that you created to the backend pool.

    Incorporación de servidores back-end

  4. Haga clic en Save(Guardar).Click Save.

Crear una cuenta de almacenamiento y configurar los diagnósticosCreate a storage account and configure diagnostics

Crear una cuenta de almacenamientoCreate a storage account

En este tutorial, la puerta de enlace de aplicaciones usa una cuenta de almacenamiento para almacenar datos con fines de detección y prevención.In this tutorial, the application gateway uses a storage account to store data for detection and prevention purposes. También puede usar Log Analytics o una instancia de Event Hubs para registrar los datos.You could also use Log Analytics or Event Hub to record data.

  1. Haga clic en Nuevo en la esquina superior izquierda de Azure Portal.Click New found on the upper left-hand corner of the Azure portal.
  2. Seleccione Almacenamiento y, a continuación, seleccione Cuenta de almacenamiento: blob, archivo, tabla, cola.Select Storage, and then select Storage account - blob, file, table, queue.
  3. Escriba el nombre de la cuenta de almacenamiento, seleccione Usar existente para el grupo de recursos y, a continuación, seleccione myResourceGroupAG.Enter the name of the storage account, select Use existing for the resource group, and then select myResourceGroupAG. En este ejemplo, el nombre de la cuenta de almacenamiento es myagstore1.In this example, the storage account name is myagstore1. Acepte los valores predeterminados para las demás opciones y haga clic en Crear.Accept the default values for the other settings and then click Create.

Configuración de diagnósticoConfigure diagnostics

Configure los diagnósticos para registrar datos en los registros ApplicationGatewayAccessLog, ApplicationGatewayPerformanceLog y ApplicationGatewayFirewallLog.Configure diagnostics to record data into the ApplicationGatewayAccessLog, ApplicationGatewayPerformanceLog, and ApplicationGatewayFirewallLog logs.

  1. En el menú izquierdo, haga clic en Todos los recursos y, a continuación, seleccione myAppGateway.In the left-hand menu, click All resources, and then select myAppGateway.
  2. En Supervisión, haga clic en Registros de diagnóstico.Under Monitoring, click Diagnostics logs.
  3. Haga clic en Agregar configuración de diagnóstico.Click Add diagnostics setting.
  4. Escriba myDiagnosticsSettings como el nombre de la configuración de diagnóstico.Enter myDiagnosticsSettings as the name for the diagnostics settings.
  5. Seleccione Archivar en una cuenta de almacenamiento y, a continuación, haga clic en Configurar para seleccionar la cuenta de almacenamiento myagstore1 que creó anteriormente.Select Archive to a storage account, and then click Configure to select the myagstore1 storage account that you previously created.
  6. Seleccione los registros de la puerta de enlace de aplicaciones que se van a recopilar y conservar.Select the application gateway logs to collect and retain.
  7. Haga clic en Save(Guardar).Click Save.

    Configuración de diagnóstico

Prueba de la puerta de enlace de aplicacionesTest the application gateway

  1. Busque la dirección IP pública de la puerta de enlace de aplicaciones en la pantalla de información general.Find the public IP address for the application gateway on the Overview screen. Haga clic en Todos los recursos y en myAGPublicIPAddress.Click All resources and then click myAGPublicIPAddress.

    Registro de la dirección IP pública de la puerta de enlace de aplicaciones

  2. Copie la dirección IP pública y péguela en la barra de direcciones del explorador.Copy the public IP address, and then paste it into the address bar of your browser.

    Prueba de la puerta de enlace de aplicaciones

Pasos siguientesNext steps

En este artículo, ha aprendido cómo:In this article, you learned how to:

  • Crear una puerta de enlace de aplicaciones con WAF habilitadoCreate an application gateway with WAF enabled
  • Crear las máquinas virtuales que se utilizan como servidores back-endCreate the virtual machines used as backend servers
  • Crear una cuenta de almacenamiento y configurar los diagnósticosCreate a storage account and configure diagnostics

Para más información acerca de las puertas de enlace de aplicaciones y sus recursos asociados, vaya a los artículos de procedimientos.To learn more about application gateways and their associated resources, continue to the how-to articles.