Kurz: Konfigurace firewallu webových aplikací Cloudflare pomocí Microsoft Entra Externí ID
V tomto kurzu se dozvíte, jak nakonfigurovat Firewall webových aplikací Cloudflare (Cloudflare WAF) tak, aby chránila vaši organizaci před útoky, jako jsou distribuovaný útok do služby (DDoS), škodlivé roboty, projekt OWASP (Open Worldwide Application Security Project) Top-10 a další.
Požadavky
Na začátek budete potřebovat:
- Microsoft Entra Externí ID tenant
- Microsoft Azure Front Door (AFD)
- Účet Cloudflare s WAF
Seznamte se s tenanty a zabezpečením aplikací pro uživatele a zákazníky pomocí Microsoft Entra Externí ID.
Popis scénáře
- Microsoft Entra Externí ID tenant – zprostředkovatel identity (IdP) a autorizační server, který ověřuje přihlašovací údaje uživatele pomocí vlastních zásad definovaných pro tenanta.
- Azure Front Door – Umožňuje pro Microsoft Entra Externí ID vlastní domény URL. Provoz do vlastních domén URL prochází cloudflare WAF, pak přejde do AFD a pak do Microsoft Entra Externí ID tenanta.
- Cloudflare WAF – bezpečnostní prvky pro ochranu provozu na autorizační server.
Povolení vlastních domén URL
Prvním krokem je povolení vlastních domén pomocí AFD. Postupujte podle pokynů v tématu Povolení vlastních domén URL pro aplikace v externích tenantech (Preview).
Vytvoření účtu Cloudflare
- Přejděte na Cloudflare.com/plans a vytvořte účet.
- Pokud chcete povolit WAF, na kartě Aplikační služby vyberte Pro.
Konfigurace serveru DNS (Domain Name Server)
Povolte WAF pro doménu.
V konzole DNS pro CNAME povolte nastavení proxy serveru.
V části DNS jako stav proxy vyberte Možnost Proxied.
Stav se změní na oranžovou.
Ovládací prvky zabezpečení Cloudflare
Pro zajištění optimální ochrany doporučujeme povolit bezpečnostní prvky Cloudflare.
Ochrana před útoky DDoS
Přejděte na řídicí panel Cloudflare.
Rozbalte oddíl Zabezpečení.
Vyberte DDoS.
Zobrazí se zpráva .
Ochrana před roboty
Přejděte na řídicí panel Cloudflare.
Rozbalte oddíl Zabezpečení.
V části Konfigurovat superbot bojový režim, pro rozhodně automatizované, vyberte Blokovat.
V případě pravděpodobnosti automatizovaného výběru spravované výzvy.
U ověřených robotů vyberte Povolit.
Pravidla brány firewall: Provoz ze sítě Tor
Pokud vaše organizace nepotřebuje podporovat provoz, doporučujeme blokovat provoz pocházející ze sítě proxy tor.
Poznámka:
Pokud nemůžete blokovat provoz Tor, vyberte Interaktivní výzva, ne Blokovat.
Blokování provozu ze sítě Tor
Přejděte na řídicí panel Cloudflare.
Rozbalte oddíl Zabezpečení.
Vyberte WAF.
Vyberte Vytvořit pravidlo.
Jako název pravidla zadejte příslušný název.
Pokud se příchozí požadavky shodují, jako pole vyberte Kontinent.
V části Operátor vyberte rovná se.
Jako hodnotu vyberte Tor.
V případě akce Pak vyberte Blokovat.
Jako místo vyberte První.
Vyberte Nasadit.
Poznámka:
Pro návštěvníky můžete přidat vlastní stránky HTML.
Pravidla brány firewall: Provoz ze zemí nebo oblastí
Doporučujeme přísné bezpečnostní kontroly provozu ze zemí nebo oblastí, ve kterých není pravděpodobné, že by k provozu došlo, pokud vaše organizace nemá obchodní důvod pro podporu provozu ze všech zemí nebo oblastí.
Poznámka:
Pokud nemůžete blokovat provoz ze země nebo oblasti, vyberte Interaktivní výzva, ne Blokovat.
Blokování provozu ze zemí nebo oblastí
Pro následující pokyny můžete pro návštěvníky přidat vlastní stránky HTML.
Přejděte na řídicí panel Cloudflare.
Rozbalte oddíl Zabezpečení.
Vyberte WAF.
Vyberte Vytvořit pravidlo.
Jako název pravidla zadejte příslušný název.
V poli Pokud se příchozí požadavky shodují, vyberte v poli Zemi nebo Kontinent.
V části Operátor vyberte rovná se.
Jako hodnotu vyberte zemi nebo kontinent, který chcete zablokovat.
V případě akce Pak vyberte Blokovat.
V části Místo na vyberte Poslední.
Vyberte Nasadit.
Sady pravidel OWASP a spravované sady pravidel
Vyberte spravovaná pravidla.
V sadě spravovaných pravidel Cloudflare vyberte Povoleno.
V sadě základních pravidel cloudflare OWASP vyberte Povoleno.