Sdílet prostřednictvím


Kurz: Konfigurace firewallu webových aplikací Cloudflare pomocí Microsoft Entra Externí ID

V tomto kurzu se dozvíte, jak nakonfigurovat Firewall webových aplikací Cloudflare (Cloudflare WAF) tak, aby chránila vaši organizaci před útoky, jako jsou distribuovaný útok do služby (DDoS), škodlivé roboty, projekt OWASP (Open Worldwide Application Security Project) Top-10 a další.

Požadavky

Na začátek budete potřebovat:

Seznamte se s tenanty a zabezpečením aplikací pro uživatele a zákazníky pomocí Microsoft Entra Externí ID.

Popis scénáře

  • Microsoft Entra Externí ID tenant – zprostředkovatel identity (IdP) a autorizační server, který ověřuje přihlašovací údaje uživatele pomocí vlastních zásad definovaných pro tenanta.
  • Azure Front Door – Umožňuje pro Microsoft Entra Externí ID vlastní domény URL. Provoz do vlastních domén URL prochází cloudflare WAF, pak přejde do AFD a pak do Microsoft Entra Externí ID tenanta.
  • Cloudflare WAF – bezpečnostní prvky pro ochranu provozu na autorizační server.

Povolení vlastních domén URL

Prvním krokem je povolení vlastních domén pomocí AFD. Postupujte podle pokynů v tématu Povolení vlastních domén URL pro aplikace v externích tenantech (Preview).

Vytvoření účtu Cloudflare

  1. Přejděte na Cloudflare.com/plans a vytvořte účet.
  2. Pokud chcete povolit WAF, na kartě Aplikační služby vyberte Pro.

Konfigurace serveru DNS (Domain Name Server)

Povolte WAF pro doménu.

  1. V konzole DNS pro CNAME povolte nastavení proxy serveru.

    Snímek obrazovky s možnostmi CNAME

  2. V části DNS jako stav proxy vyberte Možnost Proxied.

  3. Stav se změní na oranžovou.

    Snímek obrazovky se stavem proxied

Ovládací prvky zabezpečení Cloudflare

Pro zajištění optimální ochrany doporučujeme povolit bezpečnostní prvky Cloudflare.

Ochrana před útoky DDoS

  1. Přejděte na řídicí panel Cloudflare.

  2. Rozbalte oddíl Zabezpečení.

  3. Vyberte DDoS.

  4. Zobrazí se zpráva .

    Snímek obrazovky se zprávou ochrany před útoky DDoS

Ochrana před roboty

  1. Přejděte na řídicí panel Cloudflare.

  2. Rozbalte oddíl Zabezpečení.

  3. V části Konfigurovat superbot bojový režim, pro rozhodně automatizované, vyberte Blokovat.

  4. V případě pravděpodobnosti automatizovaného výběru spravované výzvy.

  5. U ověřených robotů vyberte Povolit.

    Snímek obrazovky s možnostmi ochrany robota

Pravidla brány firewall: Provoz ze sítě Tor

Pokud vaše organizace nepotřebuje podporovat provoz, doporučujeme blokovat provoz pocházející ze sítě proxy tor.

Poznámka:

Pokud nemůžete blokovat provoz Tor, vyberte Interaktivní výzva, ne Blokovat.

Blokování provozu ze sítě Tor

  1. Přejděte na řídicí panel Cloudflare.

  2. Rozbalte oddíl Zabezpečení.

  3. Vyberte WAF.

  4. Vyberte Vytvořit pravidlo.

  5. Jako název pravidla zadejte příslušný název.

  6. Pokud se příchozí požadavky shodují, jako pole vyberte Kontinent.

  7. V části Operátor vyberte rovná se.

  8. Jako hodnotu vyberte Tor.

  9. V případě akce Pak vyberte Blokovat.

  10. Jako místo vyberte První.

  11. Vyberte Nasadit.

    Snímek obrazovky s dialogovým oknem vytvořit pravidlo

Poznámka:

Pro návštěvníky můžete přidat vlastní stránky HTML.

Pravidla brány firewall: Provoz ze zemí nebo oblastí

Doporučujeme přísné bezpečnostní kontroly provozu ze zemí nebo oblastí, ve kterých není pravděpodobné, že by k provozu došlo, pokud vaše organizace nemá obchodní důvod pro podporu provozu ze všech zemí nebo oblastí.

Poznámka:

Pokud nemůžete blokovat provoz ze země nebo oblasti, vyberte Interaktivní výzva, ne Blokovat.

Blokování provozu ze zemí nebo oblastí

Pro následující pokyny můžete pro návštěvníky přidat vlastní stránky HTML.

  1. Přejděte na řídicí panel Cloudflare.

  2. Rozbalte oddíl Zabezpečení.

  3. Vyberte WAF.

  4. Vyberte Vytvořit pravidlo.

  5. Jako název pravidla zadejte příslušný název.

  6. V poli Pokud se příchozí požadavky shodují, vyberte v poli Zemi nebo Kontinent.

  7. V části Operátor vyberte rovná se.

  8. Jako hodnotu vyberte zemi nebo kontinent, který chcete zablokovat.

  9. V případě akce Pak vyberte Blokovat.

  10. V části Místo na vyberte Poslední.

  11. Vyberte Nasadit.

    Snímek obrazovky s polem pro název v dialogovém okně vytvořit pravidlo

Sady pravidel OWASP a spravované sady pravidel

  1. Vyberte spravovaná pravidla.

  2. V sadě spravovaných pravidel Cloudflare vyberte Povoleno.

  3. V sadě základních pravidel cloudflare OWASP vyberte Povoleno.

    Snímek obrazovky se sadami pravidel

Další kroky