Web application proxy в windows server 2018 r2, windows для системних адміністраторів

Web Application Proxy по суті виконує функцію зворотного проксі сервера (HTTP reverse proxy). організовуючи ретрансляцію запитів клієнтів з зовнішньої мережі на внутрішній сервер, і є фаєрволом на прикладному рівні.

Сервер зі службою Web Application Proxy отримує зовнішній HTTP / HTTPS трафік і терминирующего його, після чого від свого імені ініціює нове підключення до внутрішнього додатком (веб-сервера). Тобто зовнішні користувачі прямого доступу до внутрішнього додатком реально не отримують. Будь-який інший трафік, одержуваний Web Application Proxy, відхиляється (в тому числі відхиляються HTTP / HTTPS запити, які можуть бути використані при DoS, SSL і 0-day атаках).

Вимоги до організації Web Application Proxy і ключові особливості:

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

Для забезпечення додаткової безпеки преаутентіфкація зовнішніх клієнтів виконується на сервері ADFS, в іншому випадку використовується pass-through аутентифікація на кінцевому сервері додатка (що менш секьюрно). Тому перший крок під час налаштування Web Application Proxy - установка на окремому сервері ролі Active Directory Federation Services.

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

При установці ADFS потрібно вибрати SSL сертифікат, який буде використовуватися для шифрування, а також DNS імена, які будуть використовуватися клієнтами при підключенні (відповідні записи в DNS зоні доведеться створити самостійно).

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

Web application proxy в windows server 2012 r2, windows для системних адміністраторів
І, нарешті, вказати базу даних, в якій буде зберігатися інформація: це може бути вбудована база на цьому ж сервері (WID - Windows Internal Database) або окрема база на виділеному SQL-сервері.
Web application proxy в windows server 2012 r2, windows для системних адміністраторів

Установка служби Web Application Proxy

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

На першому етапі майстер запропонує Вам вказати ім'я ADFS сервера і параметри облікового запису, що має доступ до даної службі.

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

Далі потрібно вказати сертифікат (переконайтеся, що в альтернативних іменах сертифіката міститься ім'я сервера ADFS).

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

Порада. Перевірте, що ваші DNSзони налаштовані коректно: сервер з роллю WAP повинен мати можливість отрезолвіть ім'я сервера ADFS, а він в свою чергу може дозволити ім'я проксі сервера. Сертифікати на обох серверах повинні включати ім'я служби федерації.

Публікація додатка через Web Application Proxy

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

Порада. Якщо необхідно перенаправити зовнішню програму на альтернативний порт, необхідно задати його в URL, указаивающем на внутрішній сервер. Наприклад, якщо необхідно перенаправити зовнішні https запити (443 порт) на 4443 порт, потрібно вказати:

Backend server URL. lync.winitpro.local: 4443

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

Web application proxy в windows server 2012 r2, windows для системних адміністраторів

Схожі статті