Web Application Proxy по суті виконує функцію зворотного проксі сервера (HTTP reverse proxy). організовуючи ретрансляцію запитів клієнтів з зовнішньої мережі на внутрішній сервер, і є фаєрволом на прикладному рівні.
Сервер зі службою Web Application Proxy отримує зовнішній HTTP / HTTPS трафік і терминирующего його, після чого від свого імені ініціює нове підключення до внутрішнього додатком (веб-сервера). Тобто зовнішні користувачі прямого доступу до внутрішнього додатком реально не отримують. Будь-який інший трафік, одержуваний Web Application Proxy, відхиляється (в тому числі відхиляються HTTP / HTTPS запити, які можуть бути використані при DoS, SSL і 0-day атаках).
Вимоги до організації Web Application Proxy і ключові особливості:
Для забезпечення додаткової безпеки преаутентіфкація зовнішніх клієнтів виконується на сервері ADFS, в іншому випадку використовується pass-through аутентифікація на кінцевому сервері додатка (що менш секьюрно). Тому перший крок під час налаштування Web Application Proxy - установка на окремому сервері ролі Active Directory Federation Services.
При установці ADFS потрібно вибрати SSL сертифікат, який буде використовуватися для шифрування, а також DNS імена, які будуть використовуватися клієнтами при підключенні (відповідні записи в DNS зоні доведеться створити самостійно).
І, нарешті, вказати базу даних, в якій буде зберігатися інформація: це може бути вбудована база на цьому ж сервері (WID - Windows Internal Database) або окрема база на виділеному SQL-сервері.Установка служби Web Application Proxy
На першому етапі майстер запропонує Вам вказати ім'я ADFS сервера і параметри облікового запису, що має доступ до даної службі.
Далі потрібно вказати сертифікат (переконайтеся, що в альтернативних іменах сертифіката міститься ім'я сервера ADFS).
Порада. Перевірте, що ваші DNSзони налаштовані коректно: сервер з роллю WAP повинен мати можливість отрезолвіть ім'я сервера ADFS, а він в свою чергу може дозволити ім'я проксі сервера. Сертифікати на обох серверах повинні включати ім'я служби федерації.
Публікація додатка через Web Application Proxy
Порада. Якщо необхідно перенаправити зовнішню програму на альтернативний порт, необхідно задати його в URL, указаивающем на внутрішній сервер. Наприклад, якщо необхідно перенаправити зовнішні https запити (443 порт) на 4443 порт, потрібно вказати:
Backend server URL. lync.winitpro.local: 4443