Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Erfahren Sie, wie Sie den Azure Web Application Firewall (WAF)-Dienst für einen Azure Active Directory B2C-Mandanten (Azure AD B2C) mit einer benutzerdefinierten Domäne aktivieren. WAF schützt Webanwendungen vor gängigen Exploits und Schwachstellen wie Cross-Site-Scripting, DDoS-Angriffen und bösartigen Bot-Aktivitäten.
Weitere Informationen finden Sie unter Was ist Azure Web Application Firewall?
Voraussetzungen
Um zu beginnen, benötigen Sie Folgendes:
- Ein Azure-Abonnement
- Wenn Sie kein Konto haben, erhalten Sie ein kostenloses Azure-Konto.
-
Ein Azure AD B2C-Mandant – Autorisierungsserver, der Benutzeranmeldeinformationen mithilfe von benutzerdefinierten Richtlinien überprüft, die im Mandanten definiert sind
- Auch bekannt als Identitätsanbieter (IdP)
- Weitere Informationen finden Sie unter Tutorial: Erstellen eines Azure Active Directory B2C-Mandanten
-
Azure Front Door Premium : Ermöglicht benutzerdefinierte Domänen für den Azure AD B2C-Mandanten und ist sicherheitsoptimiert mit Zugriff auf WAF-verwaltete Regelsätze.
- Weitere Informationen finden Sie in der Dokumentation zu Azure Front Door und CDN.
-
WAF – verwaltet den an den Autorisierungsserver gesendeten Datenverkehr
- Azure Web Application Firewall (erfordert Premium-SKU)
Benutzerdefinierte Domänen in Azure AD B2C
Um benutzerdefinierte Domänen in Azure AD B2C zu verwenden, verwenden Sie die benutzerdefinierten Domänenfeatures in Azure Front Door. Weitere Informationen finden Sie unter Aktivieren benutzerdefinierter Domänen für Azure AD B2C.
Von Bedeutung
Nachdem Sie die benutzerdefinierte Domäne konfiguriert haben, finden Sie weitere Informationen unter Testen der benutzerdefinierten Domäne.
Aktivieren der WAF
Um WAF zu aktivieren, konfigurieren Sie eine WAF-Richtlinie, und ordnen Sie sie Ihrer Azure Front Door Premium zu, um Schutz zu gewährleisten. Azure Front Door Premium ist sicherheitsoptimiert und bietet Ihnen Zugriff auf von Azure verwaltete Regelsätze, die vor häufigen Sicherheitsrisiken und Exploits schützen, einschließlich Cross-Site-Scripting und Java-Exploits. Die WAF bietet Regelsätze, die Sie vor bösartigen Bot-Aktivitäten schützen. Die WAF bietet Ihnen Layer-7-DDoS-Schutz für Ihre Anwendung.
Erstellen einer WAF-Richtlinie
Erstellen Sie eine WAF-Richtlinie mit dem von Azure verwalteten Standardregelsatz (Default Rule Set, DRS). Weitere Informationen finden Sie unter Web Application Firewall DRS-Regelgruppen und -Regeln.
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie "Ressource erstellen" aus.
- Suchen Sie nach Azure WAF.
- Wählen Sie die Azure Service Web Application Firewall (WAF) von Microsoft aus.
- Wählen Sie "Erstellen" aus.
- Wechseln Sie zur Seite WAF-Richtlinie erstellen .
- Klicken Sie auf die Registerkarte Grundlagen.
- Wählen Sie unter Richtlinie für die Option Globale WAF (Front Door) aus.
- Wählen Sie für die Front Door-SKU die Premium-SKU aus.
- Wählen Sie für Abonnement den Namen Ihres Front Door-Abonnements aus.
- Wählen Sie für Ressourcengruppe den Namen Ihrer Front Door-Ressourcengruppe aus.
- Geben Sie für Richtlinienname einen eindeutigen Namen für Ihre WAF-Richtlinie ein.
- Wählen Sie für Richtlinienstatus die Option Aktiviert aus.
- Wählen Sie für Richtlinienmodus die Option Erkennung aus.
- Wechseln Sie auf der Seite „WAF-Richtlinie erstellen“ zur Registerkarte Zuordnung.
- Wählen Sie + Ein Front Door-Profil zuordnen aus.
- Wählen Sie für Front Door den Namen von Front Door aus, der der benutzerdefinierten Azure AD B2C-Domäne zugeordnet ist.
- Wählen Sie für Domänen die benutzerdefinierten Azure AD B2C-Domänen aus, denen die WAF-Richtlinie zugeordnet werden soll.
- Wählen Sie Hinzufügen aus.
- Klicken Sie auf Überprüfen + erstellen.
- Wählen Sie "Erstellen" aus.
Standard-Regelsatz
Wenn Sie eine neue WAF-Richtlinie für Azure Front Door erstellen, wird sie automatisch mit der neuesten Version des von Azure verwalteten Standardregelsatzes (Default RuleSet, DRS) bereitgestellt. Dieser Regelsatz schützt Webanwendungen vor häufigen Schwachstellen und Exploits. Von Azure verwaltete Regelsätze bieten eine einfache Möglichkeit zum Bereitstellen von Schutz vor allgemeinen Sicherheitsbedrohungen. Da Azure diese Regelsätze verwaltet, werden die Regeln bei Bedarf aktualisiert, um vor neuen Angriffssignaturen zu schützen. Das DRS enthält die Microsoft Threat Intelligence Collection-Regeln, die in Zusammenarbeit mit dem Microsoft Intelligence-Team geschrieben wurden, um eine erhöhte Abdeckung, Patches für bestimmte Sicherheitsrisiken und eine bessere Reduzierung von Fehlalarmen zu bieten.
Weitere Informationen: DRS-Regelgruppen und -Regeln für Azure Web Application Firewall
Bot Manager-Regelsatz
Standardmäßig wird die Azure Front Door-WAF mit der neuesten Version des von Azure verwalteten Bot Manager-Regelsatzes bereitgestellt. Dieser Regelsatz kategorisiert Bot-Traffic in gute, schlechte und unbekannte Bots. Die Bot-Signaturen, die hinter diesem Regelsatz stehen, werden von der WAF-Plattform verwaltet und dynamisch aktualisiert.
Weitere Informationen: Was ist Azure Web Application Firewall in Azure Front Door?
Ratenbegrenzung
Durch die Quotenbegrenzung können Sie ungewöhnlich hohe Datenverkehrsmengen von einzelnen Socket-IP-Adressen erkennen und blockieren. Durch die Verwendung von Azure WAF in Azure Front Door können Sie einige Arten von Denial-of-Service-Angriffen abschwächen. Die Ratenbeschränkung schützt Sie vor Clients, die versehentlich falsch konfiguriert wurden, um große Anfragemengen in kurzer Zeit zu senden. Die Ratenbegrenzung muss in der WAF manuell mit benutzerdefinierten Regeln konfiguriert werden.
Weitere Informationen:
- Ratenbegrenzung der Web Application Firewall für Azure Front Door
- Konfigurieren einer WAF-Regel für die Ratenbegrenzung für Azure Front Door
Erkennungs- und Präventionsmodi
Wenn Sie eine WAF-Richtlinie erstellen, wird die Richtlinie im Erkennungsmodus gestartet. Es wird empfohlen, die WAF-Richtlinie im Erkennungsmodus zu belassen, während Sie die WAF auf Ihren Datenverkehr anpassen. In diesem Modus blockiert WAF keine Anforderungen. Stattdessen werden Anforderungen, die den WAF-Regeln entsprechen, von der WAF protokolliert, sobald die Protokollierung aktiviert ist.
Aktivieren der Protokollierung: Überwachen und Protokollieren von Azure Web Application Firewall
Sobald die Protokollierung aktiviert ist und Ihre WAF anfängt, Anforderungsdatenverkehr zu empfangen, können Sie mit der Optimierung Ihrer WAF beginnen, indem Sie Ihre Protokolle durchsuchen.
Weitere Informationen: Azure Web Application Firewall für Azure Front Door optimieren
Die folgende Abfrage zeigt die Anforderungen, die in den letzten 24 Stunden durch die WAF-Richtlinie blockiert wurden. Zu den Details gehören der Name der Regel, die Anforderungsdaten, die von der Richtlinie ausgeführte Aktion und der Richtlinienmodus.
AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s
| RuleID | DetailMsg | Maßnahme | Mode | Detaildaten |
|---|---|---|---|---|
| DefaultRuleSet-1.0-SQLI-942430 | Eingeschränkte Erkennung von SQL-Zeichen-Anomalien (args): Anzahl überschrittener Sonderzeichen (12) | Blockieren | Erkennung | Übereinstimmende Daten: CfDJ8KQ8bY6D |
Überprüfen Sie die WAF-Protokolle, um festzustellen, ob Richtlinienregeln falsch positive Ergebnisse verursachen. Anschließend schließen Sie die WAF-Regeln basierend auf den WAF-Protokollen aus.
Erfahren Sie mehr
- Konfigurieren von WAF-Ausschlusslisten für Azure Front Door
- Ausschlusslisten der Web Application Firewall in Azure Front Door
Sobald die Protokollierung eingerichtet ist und Ihre WAF Datenverkehr empfängt, können Sie die Wirksamkeit Ihrer Bot-Manager-Regeln bei der Verarbeitung von Bot-Datenverkehr bewerten. Die folgende Abfrage zeigt die Aktionen an, die von Ihrem Bot-Manager-Regelsatz ausgeführt werden, kategorisiert nach Bot-Typ. Im Erkennungsmodus protokolliert die WAF nur Bot-Traffic-Aktionen. Sobald die WAF jedoch in den Präventionsmodus geschaltet wurde, beginnt sie, unerwünschten Bot-Traffic aktiv zu blockieren.
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked
Wechseln von Modi
Um zu sehen, wie WAF Maßnahmen für den Anforderungsdatenverkehr ausführt, wählen Sie auf der Seite Übersicht die Option In den Präventionsmodus wechseln aus, wodurch der Modus von Erkennung in Prävention geändert wird. Anfragen, die den Regeln im DRS entsprechen, werden blockiert und in den WAF-Protokollen protokolliert. Die WAF führt die vorgeschriebene Aktion aus, wenn eine Anforderung mit einer oder mehreren Regeln im DRS übereinstimmt, und protokolliert die Ergebnisse. Standardmäßig ist das DRS auf den Anomaliebewertungsmodus eingestellt. Dies bedeutet, dass die WAF keine Maßnahmen für eine Anforderung ergreift, es sei denn, der Schwellenwert für die Anomaliebewertung ist erreicht.
Weitere Informationen: Bewertung von Anomalien in Azure Web Application Firewall DRS-Regelgruppen und -Regeln
Um zum Erkennungsmodus zurückzukehren, wählen Sie auf der Seite Übersicht die Option In den Erkennungsmodus wechseln aus.