Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie cloudflare Web Application Firewall (Cloudflare WAF) konfigurieren, um Ihre Organisation vor Angriffen wie verteilten Denial of Service (DDoS), böswilligen Bots, Open Worldwide Application Security Project (OWASP) Top-10 Sicherheitsrisiken und anderen zu schützen.
Voraussetzungen
Zunächst benötigen Sie Folgendes:
- Einen Microsoft Entra External ID-Mandanten
- Microsoft Azure Front Door (AFD)
- Cloudflare-Konto mit WAF
Erfahren Sie mehr über Mandanten und das Sichern von Apps für Verbrauchende und Kundschaft mit Microsoft Entra External ID.
Beschreibung des Szenarios
- Microsoft Entra External ID-Mandant: Der Identitätsanbieter (IdP) und Autorisierungsserver, der Benutzeranmeldeinformationen mit benutzerdefinierten Richtlinien überprüft, die für den Mandanten definiert sind.
- Azure Front Door: Aktiviert benutzerdefinierte URL-Domänen für Microsoft Entra External ID. Der Datenverkehr zu benutzerdefinierten URL-Domänen wird über Cloudflare WAF geleitet, geht dann an AFD und anschließend an den Microsoft Entra External ID-Mandanten.
- Cloudflare WAF: Sicherheitskontrollen zum Schutz des Datenverkehrs zum Autorisierungsserver.
Aktivieren benutzerdefinierter URL-Domänen
Der erste Schritt besteht darin, benutzerdefinierte Domänen mit AFD zu aktivieren. Verwenden Sie die Anweisungen in Aktivieren von benutzerdefinierten URL-Domänen für Apps in externen Mandanten (Vorschau).
Erstellen eines Cloudflare-Kontos
- Gehen Sie zu Cloudflare.com/pläne, um ein Konto zu erstellen.
- Um WAF zu aktivieren, wählen Sie auf der Registerkarte Anwendungsdienste die Option Pro.
Konfigurieren des Domänennamenservers (DNS)
Aktivieren Sie WAF für eine Domäne.
Aktivieren Sie in der DNS-Konsole für CNAME die Proxyeinstellung.
Wählen Sie unter DNS für Proxystatus die Option Proxied.
Der Status wird orange.
Cloudflare-Sicherheitskontrollen
Für einen optimalen Schutz empfehlen wir Ihnen, Cloudflare-Sicherheitskontrollen zu aktivieren.
DDoS-Schutz
Wechseln Sie zum Cloudflare-Dashboard.
Erweitern Sie den Sicherheitsabschnitt.
Wählen Sie DDoS aus.
Die Meldung wird angezeigt.
Bot-Schutz
Wechseln Sie zum Cloudflare-Dashboard.
Erweitern Sie den Sicherheitsabschnitt.
Wählen Sie unter Super Bot-Kampfmodus konfigurieren für Definitiv automatisiert die Option Blockieren.
Für Wahrscheinlich automatisiert wählen Sie Verwaltete Herausforderung.
Für Überprüfte Bots wählen Sie Zulassen.
Firewallregeln: Datenverkehr aus dem Tor-Netzwerk
Es wird empfohlen, den Datenverkehr zu blockieren, der aus dem Tor-Proxynetzwerk stammt, es sei denn, Ihre Organisation muss den Datenverkehr unterstützen.
Hinweis
Wenn Sie den Tor-Datenverkehr nicht blockieren können, wählen Sie Interaktive Herausforderung, nicht Blockieren.
Blockieren des Datenverkehrs aus dem Tor-Netzwerk
Wechseln Sie zum Cloudflare-Dashboard.
Erweitern Sie den Sicherheitsabschnitt.
Wählen Sie WAF.
Wählen Sie Regel erstellen aus.
Geben Sie für Regelname einen entsprechenden Namen ein.
Für Wenn eingehende Anfragen übereinstimmen, für Feld, wählen Sie Kontinent.
Für Operator, wählen Sie ist gleich.
Für Wert, wählen Sie Tor.
Wählen Sie für Dann folgende Maßnahmen ergreifen die Option Blockieren.
Für Platzieren bei wählen Sie Erste.
Klicken Sie auf Bereitstellen.
Hinweis
Sie können benutzerdefinierte HTML-Seiten für Besuchende hinzufügen.
Firewallregeln: Datenverkehr aus Ländern oder Regionen
Es werden strenge Sicherheitskontrollen für den Datenverkehr aus Ländern oder Regionen empfohlen, in denen es unwahrscheinlich ist, dass Geschäfte getätigt werden, es sei denn, Ihre Organisation verfügt über einen geschäftlichen Grund, den Datenverkehr aus allen Ländern oder Regionen zu unterstützen.
Hinweis
Wenn Sie den Datenverkehr aus einem Land oder einer Region nicht blockieren können, wählen Sie Interaktive Herausforderung, nicht Blockieren.
Blockieren des Datenverkehrs aus Ländern oder Regionen
Für die folgenden Anweisungen können Sie benutzerdefinierte HTML-Seiten für Besuchende hinzufügen.
Wechseln Sie zum Cloudflare-Dashboard.
Erweitern Sie den Sicherheitsabschnitt.
Wählen Sie WAF.
Wählen Sie Regel erstellen aus.
Geben Sie für Regelname einen entsprechenden Namen ein.
Für Wenn eingehende Anfragen übereinstimmen, für Feld, wählen Sie Land oder Kontinent.
Für Operator, wählen Sie ist gleich.
Wählen Sie für Wert das zu blockierende Land oder den Kontinent.
Wählen Sie für Dann folgende Maßnahmen ergreifen die Option Blockieren.
Für Platzieren bei wählen Sie Zuletzt.
Klicken Sie auf Bereitstellen.
OWASP und verwaltete Regelsätze
Wählen Sie Verwaltete Regeln aus.
Für Von Cloudflare verwalteter Regelsatz, wählen Sie Aktiviert.
Für Cloudflare OWASP Core-Regelsatz, wählen Sie Aktiviert.
