Sdílet prostřednictvím

Konfigurace firewallu webových aplikací Cloudflare pomocí Microsoft Entra External ID

V tomto článku se dozvíte, jak nakonfigurovat Firewall webových aplikací Cloudflare (Cloudflare WAF) tak, aby chránila vaši organizaci před útoky, jako jsou distribuované útoky dosílání služby (DDoS), škodlivé roboty, projekt OWASP (Open Worldwide Application Security Project ) – 10 nejlepších bezpečnostních rizik a další.

Požadavky

Na začátek budete potřebovat:

Zjistěte více o tenantech a zabezpečení aplikací pro uživatele a zákazníky s pomocí Microsoft Entra External ID.

Popis scénáře

  • Tenant Microsoft Entra External ID – zprostředkovatel identity (IdP) a autorizační server, který ověřuje přihlašovací údaje uživatele pomocí vlastních zásad definovaných pro tenantu.
  • Azure Front Door – Umožňuje vlastní domény URL pro externí ID Microsoft Entra. Provoz na vlastní URL domény prochází Cloudflare WAF, poté pokračuje do AFD a následně do tenanta Microsoft Entra External ID.
  • Cloudflare WAF – bezpečnostní prvky pro ochranu provozu na autorizační server.

Povolení vlastních domén URL

Prvním krokem je povolení vlastních domén pomocí AFD. Postupujte podle pokynů v tématu Povolení vlastních domén URL pro aplikace v externích tenantech.

Vytvoření účtu Cloudflare

  1. Přejděte na Cloudflare.com/plans a vytvořte účet.
  2. Pokud chcete povolit WAF, na kartě Aplikační služby vyberte Pro.

Konfigurace serveru DNS (Domain Name Server)

Povolte WAF pro doménu.

  1. V konzole DNS pro CNAME povolte nastavení proxy serveru.

    Snímek obrazovky s možnostmi CNAME

  2. V části DNS u stavu proxy vyberte Proxied.

  3. Stav se změní na oranžovou barvu.

    Snímek obrazovky se stavem proxied

Poznámka:

Certifikáty spravované službou Azure Front Door se automaticky neprodlouží, pokud záznam CNAME vaší vlastní domény odkazuje na jiný záznam DNS než doména koncového bodu služby Azure Front Door (například při použití služby DNS jiného výrobce, jako je Cloudflare). Pokud chcete certifikát v takových případech obnovit, postupujte podle pokynů v článku o obnovení certifikátů spravovaných službou Azure Front Door .

Ovládací prvky zabezpečení Cloudflare

Pro zajištění optimální ochrany doporučujeme povolit bezpečnostní prvky Cloudflare.

ochrana před útoky DDoS

  1. Přejděte na řídicí panel Cloudflare.

  2. Rozbalte oddíl Zabezpečení.

  3. Vyberte DDoS.

  4. Zobrazí se zpráva .

    Snímek obrazovky se zprávou ochrany před útoky DDoS

Ochrana před roboty

  1. Přejděte na řídicí panel Cloudflare.

  2. Rozbalte oddíl Zabezpečení.

  3. V části Konfigurovat Super Bot bojový režim vyberte pro Rozhodně automatizované možnost Blokovat.

  4. Pro pravděpodobně automatizované vyberte spravovanou výzvu.

  5. U ověřených robotů vyberte Povolit.

    Snímek obrazovky s možnostmi ochrany robota

Pravidla brány firewall: Provoz ze sítě Tor

Pokud vaše organizace nepotřebuje podporovat provoz, doporučujeme blokovat provoz pocházející ze sítě proxy tor.

Poznámka:

Pokud nemůžete blokovat provoz Tor, vyberte Interaktivní výzva, ne Blokovat.

Blokování provozu ze sítě Tor

  1. Přejděte na řídicí panel Cloudflare.

  2. Rozbalte oddíl Zabezpečení.

  3. Vyberte WAF.

  4. Vyberte Vytvořit pravidlo.

  5. Jako název pravidla zadejte příslušný název.

  6. Pokud se příchozí požadavky shodují, jako pole vyberte Kontinent.

  7. Pro Operátor vyberte rovná se.

  8. Jako hodnotu vyberte Tor.

  9. Pak proveďte akci vybráním možnosti Blokovat.

  10. Jako místo vyberte První.

  11. Vyberte Nasadit.

    Snímek obrazovky s dialogovým oknem vytvořit pravidlo

Poznámka:

Pro návštěvníky můžete přidat vlastní stránky HTML.

Pravidla brány firewall: Provoz ze zemí nebo oblastí

Doporučujeme přísné bezpečnostní kontroly provozu ze zemí nebo oblastí, ve kterých není pravděpodobné, že by k provozu došlo, pokud vaše organizace nemá obchodní důvod pro podporu provozu ze všech zemí nebo oblastí.

Poznámka:

Pokud nemůžete blokovat provoz ze země nebo oblasti, vyberte Interaktivní výzva, ne Blokovat.

Blokování provozu ze zemí nebo oblastí

V následujících pokynech můžete pro návštěvníky přidat vlastní HTML stránky.

  1. Přejděte na řídicí panel Cloudflare.

  2. Rozbalte oddíl Zabezpečení.

  3. Vyberte WAF.

  4. Vyberte Vytvořit pravidlo.

  5. Jako název pravidla zadejte příslušný název.

  6. V poli Pokud se příchozí požadavky shodují, vyberte v poliZemi nebo Kontinent.

  7. Pro Operátor vyberte rovná se.

  8. Jako hodnotu vyberte zemi nebo kontinent, který chcete zablokovat.

  9. Pak proveďte akci vybráním možnosti Blokovat.

  10. U možnosti Místo na vyberte Poslední.

  11. Vyberte Nasadit.

    Snímek obrazovky s polem pro název v dialogovém okně vytvořit pravidlo

Pravidla OWASP a spravované sady pravidel

  1. Vyberte spravovaná pravidla.

  2. V sadě spravovaných pravidel Cloudflare vyberte Povoleno.

  3. V sadě základních pravidel cloudflare OWASP vyberte Povoleno.

    Snímek obrazovky se sadami pravidel

Další kroky