Zelfstudie: Een toepassingsgateway met een Web Application Firewall maken met behulp van de Azure-portal

  • Artikel
  • 10 minuten om te lezen

In deze zelfstudie wordt uitgelegd hoe u de Azure Portal gebruikt om een toepassingsgateway met een Web Application Firewall (WAF) te maken. De WAF gebruikt OWASP-regels om uw toepassing te beveiligen. Deze regels omvatten bescherming tegen aanvallen als SQL-injectie, XSS-aanvallen (cross-site scripting) en sessiekapingen. Nadat u de toepassingsgateway hebt gemaakt, test u deze om te controleren of deze correct werkt. Met Azure Application Gateway kunt u webverkeer van uw toepassing omleiden naar specifieke resources door listeners toe te wijzen aan poorten, regels te maken en resources toe te voegen aan een back-endpool. Deze zelfstudie gebruikt een eenvoudige configuratie met een openbaar front-end-IP, een eenvoudige listener om een enkele site op deze toepassingsgateway te hosten, twee virtuele machines die worden gebruikt voor de back-endpool en een eenvoudige regel voor doorsturen van aanvragen.

In deze zelfstudie leert u het volgende:

  • Een toepassingsgateway maken met WAF ingeschakeld
  • De virtuele machines maken die als back-endservers worden gebruikt
  • Een opslagaccount maken en diagnostische gegevens configureren
  • De toepassingsgateway testen

Voorbeeld van een WAF (Web Application Firewall)

Notitie

In dit artikel wordt de Azure Az PowerShell-module gebruikt. Dit is de aanbevolen PowerShell-module voor interactie met Azure. Raadpleeg Azure PowerShell installeren om aan de slag te gaan met de Az PowerShell-module. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Vereisten

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Aanmelden bij Azure

Meld u aan bij de Azure Portal op https://portal.azure.com.

Een toepassingsgateway maken

  1. Selecteer Een resource maken in het linkermenu van de Azure-portal. Het venster Nieuw wordt weergegeven.

  2. Selecteer Netwerken en vervolgens Application Gateway in de lijst Aanbevolen.

Tabblad Basisbeginselen

  1. Op het tabblad Basisinformatie voert u deze waarden in voor de volgende toepassingsgateway-instellingen:

    • Resourcegroep: Selecteer myResourceGroupAG als de resourcegroep. Als deze nog niet bestaat, selecteert u Nieuwe maken om deze te maken.

    • Naam toepassingsgateway: Typ myAppGateway als naam voor de toepassingsgateway.

    • Laag: selecteer WAF V2.

      Nieuwe toepassingsgateway maken: Basisbeginselen

  2. Er is een virtueel netwerk nodig voor communicatie tussen de resources die u maakt. U kunt een nieuw virtueel netwerk maken of een bestaand gebruiken. In dit voorbeeld maakt u een virtueel netwerk op hetzelfde moment dat u de toepassingsgateway maakt. Instanties van toepassingsgateways worden in afzonderlijke subnetten gemaakt. In dit voorbeeld maakt u twee subnetten: één voor de toepassingsgateway en één voor de back-endservers.

    Selecteer onder Virtueel netwerk configureren de optie Nieuwe maken om een nieuw virtueel netwerk te maken. Voer in het venster Virtueel netwerk maken dat wordt geopend, de volgende waarden in om het virtuele netwerk en twee subnetten te maken:

    • Naam: Typ myVnet als naam voor het virtuele netwerk.

    • Subnetnaam (subnet van toepassingsgateway): Het raster Subnetten geeft een subnet met de naam Standaard weer. Wijzig de naam van dit subnet in myAGSubnet.
      Het subnet van de toepassingsgateway kan alleen bestaan uit toepassingsgateways. Andere resources zijn niet toegestaan.

    • Subnetnaam (subnet van back-endserver): In de tweede rij van het raster Subnetten voert u in de kolom Subnetnaam, myBackendSubnet in.

    • Adresbereik (subnet van back-endserver): In de tweede rij van het raster Subnetten voert u een adresbereik in dat niet overlapt met het adresbereik van myAGSubnet. Als het adresbereik van myAGSubnet bijvoorbeeld 10.21.0.0/24 is, voert u 10.21.1.0/24 in als adresbereik van myBackendSubnet.

    Selecteer OK om het venster Virtueel netwerk maken te sluiten en de instellingen van het virtuele netwerk op te slaan.

    Nieuwe toepassingsgateway maken: virtueel netwerk

  3. Accepteer in het tabblad Basisinstellingen de standaardwaarden voor de overige instellingen en selecteer dan Volgende: Front-ends.

Tabblad Front-ends

  1. Controleer in het tabblad Frontends of Front-end-IP-adres is ingesteld op Openbaar.
    U kunt afhankelijk van uw use-case het Frontend-IP configureren als openbaar of privé. In dit voorbeeld kiest u een openbaar front-end-IP.

    Notitie

    Voor de Application Gateway v2 SKU kunt u alleen een openbare front-end-IP-configuratie kiezen. De privé frontend-IP-configuratie is op dit moment niet ingeschakeld voor deze v2-SKU.

  2. Kies Nieuwe toevoegen voor het openbare IP-adres en voer myAGPublicIPAddress in als de naam van het openbare IP-adres. Selecteer vervolgens OK.

    Nieuwe toepassingsgateway maken: front-ends

  3. Selecteer Volgende: Back-ends.

Tabblad Back-ends

De back-endpool word gebruikt om aanvragen te routeren naar de back-endservers die de aanvraag verwerken. Back-endpools kunnen bestaan uit NIC's, virtuele-machineschaalsets, openbare IP's, interne IP's, FQDN's (Fully Qualified Domain Name) en multitenant back-ends als Azure App Service. In dit voorbeeld maakt u een lege back-endpool met uw toepassingsgateway en voegt u later back-enddoelen toe aan de back-endpool.

  1. Selecteer op het tabblad Back-ends de optie Een back-endpool toevoegen.

  2. Voer in het venster Een back-endpool toevoegen dat wordt geopend, de volgende waarden in om een lege back-endpool te maken:

    • Naam: Voer myBackendPool in als naam van de back-endpool.
    • Een back-endpool zonder doelen toevoegen: Selecteer Ja om een back-endpool zonder doelen te maken. U voegt na het maken van de toepassingsgateway de back-enddoelen toe.

  3. Selecteer in het venster Een back-endpool maken de optie Toevoegen om de configuratie van de back-endpool op te slaan en terug te keren naar het tabblad Back-ends.

    Nieuwe toepassingsgateway maken: back-ends

  4. Selecteer in het tabblad Back-ends de optie Volgende: Configuratie.

Tabblad Configuratie

In het tabblad Configuratie verbindt u de front-end- en de back-endpool die u hebt gemaakt met een regel voor doorsturen.

  1. Selecteer Een routeringsregel toevoegen in de kolom Routeringsregels.

  2. Voer in het venster Een regel voor doorsturen toevoegen dat wordt geopend, myRoutingRule in als de Regelnaam.

  3. Voor een regel voor doorsturen is een listener vereist. Voer in het tabblad Listener in het venster Een regel voor doorsturen toevoegen de volgende waarden in voor de listener:

    • Naam van listener: Voer myListener in als naam van de listener.

    • IP van front-end: Selecteer Openbaar om het openbare IP te kiezen dat u voor de front-end hebt gemaakt.

      Accepteer de standaardwaarden voor de overige instellingen in het tabblad Listener en selecteer vervolgens het tabblad Back-enddoelen om de rest van de regel voor doorsturen te configureren.

    Nieuwe toepassingsgateway maken: listener

  4. Selecteer in het tabblad Back-enddoelen de optie myBackendPool als het Back-enddoel.

  5. Voor de HTTP-instelling selecteert u Nieuwe toevoegen om een nieuwe HTTP-instelling te maken. De HTTP-instelling bepaalt het gedrag van de regel voor doorsturen. Voer in het venster Een HTTP-instelling toevoegen dat wordt geopend, myHTTPSetting in als de naam van de HTTP-instelling. Accepteer de standaardwaarden voor de overige instellingen in het venster Een HTTP-instelling toevoegen en selecteer vervolgens Toevoegen om terug te keren naar het venster Een regel voor doorsturen toevoegen.

    Nieuwe toepassingsgateway maken: HTTP-instelling

  6. Selecteer in het venster Een regel voor doorsturen toevoegen de optie Toevoegen om de routeringsregel op te slaan en terug te keren naar het tabblad Configuratie.

    Een nieuwe toepassingsgateway maken: regel voor doorsturen

  7. Selecteer Volgende: Tags en vervolgens Volgende: Beoordelen en maken.

Tabblad Beoordelen en maken

Controleer de instellingen op het tabblad Beoordelen en maken en selecteer vervolgens Maken om het virtuele netwerk, het openbare IP-adres en de toepassingsgateway te maken. Het kan enkele minuten duren om de toepassingsgateway te maken in Azure.

Wacht totdat de implementatie is voltooid voordat u doorgaat met de volgende sectie.

Back-enddoelen toevoegen

In dit voorbeeld gebruikt u virtuele machines als het doelback-end. U kunt bestaande virtuele machines gebruiken of nieuwe maken. U maakt twee virtuele machines die in Azure worden gebruikt als back-endservers voor de toepassingsgateway.

Hiervoor moet u het volgende doen:

  1. Maak twee nieuwe virtuele machines, myVM en myVM2 om te gebruiken als back-endservers.
  2. Installeer IIS op de virtuele machines om te controleren of de toepassingsgateway is gemaakt.
  3. Voeg de back-endservers toe aan de back-endpool.

Een virtuele machine maken

  1. Selecteer Een resource maken in de Azure-portal. Het venster Nieuw wordt weergegeven.

  2. Selecteer Windows Server 2019 Datacenter in de lijst Populair. De pagina Een virtuele machine maken wordt weergegeven.
    Toepassingsgateway kan verkeer routeren naar ieder type virtuele machine dat wordt gebruikt in de back-endpool. In dit voorbeeld gebruikt u een Windows Server 2019 Datacenter.

  3. Voer deze waarden in op het tabblad Basisinformatie voor de volgende instellingen voor de virtuele machine:

    • Resourcegroep: Selecteer myResourceGroupAG als naam van de resourcegroep.
    • Naam van virtuele machine: Typ myVM als naam voor de virtuele machine.
    • Gebruikersnaam: Voer een naam in voor de gebruikersnaam van de beheerder.
    • Wachtwoord: voer een wachtwoord in voor het beheerderswachtwoord.
    • Openbare binnenkomende poorten: selecteer Geen.

  4. Accepteer de overige standaardwaarden en klik op Volgende: Schijven.

  5. Accepteer de standaardwaarden op het tabblad Schijven en selecteer Volgende: Netwerken.

  6. Zorg ervoor dat, op het tabblad Netwerken, myVNet is geselecteerd bij Virtueel netwerk en dat Subnet is ingesteld op myBackendSubnet.

  7. Selecteer Geen voor Openbaar IP.

  8. Accepteer de overige standaardwaarden en klik op Volgende: Beheer.

  9. Op het tabblad Beheer stelt u Diagnostische gegevens over opstarten in op Uitschakelen. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  10. Controleer de instellingen op het tabblad Beoordelen en maken, corrigeer eventuele validatiefouten en selecteer vervolgens Maken.

  11. Wacht tot de virtuele machine is gemaakt voordat u verder gaat.

IIS installeren voor testen

In dit voorbeeld installeert u IIS alleen op de virtuele machines om te controleren of de toepassingsgateway in Azure is gemaakt.

  1. Open Azure PowerShell. Hiertoe selecteert u Cloud Shell in de bovenste navigatiebalk van de Azure-portal en vervolgens PowerShell in de vervolgkeuzelijst.

    Aangepaste extensie installeren

  2. Stel de locatieparameter voor uw omgeving in en voer de volgende opdracht uit om IIS op de virtuele machine te installeren:

    Set-AzVMExtension `
  -ResourceGroupName myResourceGroupAG `
  -ExtensionName IIS `
  -VMName myVM `
  -Publisher Microsoft.Compute `
  -ExtensionType CustomScriptExtension `
  -TypeHandlerVersion 1.4 `
  -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
  -Location EastUS

  3. Maak een tweede virtuele machine en installeer IIS met behulp van de stappen die u zojuist hebt voltooid. Gebruik myVM2 als naam voor de virtuele machine en voor de instelling VMName van de cmdlet Set-AzVMExtension.

Back-endservers toevoegen aan de back-endpool

  1. Selecteer Alle resources en vervolgens myAppGateway.

  2. Selecteer Back-endpools in het linkermenu.

  3. Selecteer myBackendPool.

  4. Selecteer onder Doeltype de optie Virtuele machine in de vervolgkeuzelijst.

  5. Selecteer onder Doel de bijbehorende netwerkinterface voor myVM in de vervolgkeuzelijst.

  6. Herhaal dit voor myVM2.

    Back-endservers toevoegen

  7. Selecteer Opslaan.

  8. Wacht tot de implementatie is voltooid voordat u doorgaat met de volgende stap.

Alle WAF-aanpassingen en -instellingen bevinden zich in een afzonderlijk object, een WAF-beleid genoemd. Het beleid moet worden gekoppeld aan uw toepassingsgateway.

Maak een basis WAF-beleid met een beheerde standaardregelset (DRS).

  1. Selecteer linksboven in de portal de optie Een resource maken. Zoek naar WAF, selecteer Web Application Firewall en selecteer vervolgens Maken.

  2. Voer op de pagina Een WAF-beleid maken het tabblad Basisbeginselen de volgende gegevens in of selecteer deze, accepteer de standaardwaarden voor de overige instellingen en selecteer controleren en maken:

    Instelling Waarde
    Beleid voor Regionale WAF (Application Gateway)
    Abonnement Selecteer de naam van uw abonnement
    Resourcegroep Selecteer myResourceGroupAG
    Beleidsnaam Typ een unieke naam voor uw WAF-beleid.

  3. Selecteer Volgende: Beheerde regels.

  4. Accepteer de standaardwaarden en selecteer vervolgens Volgende : Beleidsinstellingen.

  5. Accepteer de standaardwaarde en selecteer volgende: aangepaste regels.

  6. Selecteer Volgende: Association.

  7. Selecteer Associatie toevoegen en selecteer vervolgens Application Gateway.

  8. Schakel het selectievakje voor De configuratie van het Web Application Firewall toepassen in, zelfs als deze verschilt van de huidige configuratie .

  9. Selecteer Toevoegen.

    Notitie

    Als u een beleid toewijst aan uw Application Gateway (of listener) die al een beleid heeft, wordt het oorspronkelijke beleid overschreven en vervangen door het nieuwe beleid.

  10. Selecteer Controleren en maken en selecteer vervolgens Maken.

De toepassingsgateway testen

Het is niet nodig IIS te installeren om de toepassingsgateway te maken, maar u hebt het geïnstalleerd om te controleren of het maken van de toepassingsgateway in Azure is geslaagd. Gebruik IIS om de toepassingsgateway te testen:

  1. Zoek op de pagina Overzicht het openbare IP-adres voor de toepassingsgateway.Het openbare IP-adres van de toepassingsgateway registreren

    U kunt ook Alle resources selecteren, myAGPublicIPAddress invoeren in het zoekvak en het openbare IP-adres vervolgens selecteren in de lijst met zoekresultaten. Het openbare IP-adres wordt weergegeven op de pagina Overzicht.

  2. Kopieer het openbare IP-adres en plak het in de adresbalk van de browser.

  3. Controleer het antwoord. Een geldig antwoord verifieert dat de toepassingsgateway is gemaakt en verbinding kan maken met de back-end.

    Toepassingsgateway testen

Resources opschonen

Wanneer u de bij de toepassingsgateway gemaakte resources niet meer nodig hebt, verwijdert u de resourcegroep. Als u de resourcegroep verwijdert, worden ook de toepassingsgateway en alle gerelateerde resources verwijderd.

Ga als volgt te werk om de resourcegroep te verwijderen:

  1. Selecteer Resourcegroepen in het linkermenu van de Azure-portal.
  2. Zoek en selecteer myResourceGroupAG in de lijst op de pagina Resourcegroepen.
  3. Selecteer Resourcegroep verwijderen op de pagina van de resourcegroep.
  4. Voer myResourceGroupAG in bij TYP DE RESOURCEGROEPNAAM en selecteer vervolgens Verwijderen.

Volgende stappen

Meer informatie over Web Application Firewall