Megosztás a következőn keresztül:


Oktatóanyag: A Cloudflare webalkalmazás tűzfalának konfigurálása Microsoft Entra Külső ID

Ebben az oktatóanyagban megtudhatja, hogyan konfigurálhatja a Cloudflare webalkalmazási tűzfalat (Cloudflare WAF) a szervezet támadások elleni védelmére, például az elosztott szolgáltatásmegtagadást (DDoS), a rosszindulatú robotokat, az Open Worldwide Application Security Project (OWASP) Top-10 biztonsági kockázatokat és másokat.

Előfeltételek

A kezdéshez a következők szükségesek:

Ismerje meg a bérlőket és az alkalmazások biztonságossá tételét a Microsoft Entra Külső ID használó felhasználók és ügyfelek számára.

Forgatókönyv leírása

  • Microsoft Entra Külső ID bérlő – Az identitásszolgáltató (IDP) és az engedélyezési kiszolgáló, amely a bérlőhöz meghatározott egyéni szabályzatokkal ellenőrzi a felhasználói hitelesítő adatokat.
  • Azure Front Door – Egyéni URL-tartományok engedélyezése Microsoft Entra Külső ID számára. Az egyéni URL-tartományokba irányuló forgalom a Cloudflare WAF-en keresztül megy, majd az AFD-be, majd a Microsoft Entra Külső ID bérlőbe.
  • Cloudflare WAF – Biztonsági vezérlők az engedélyezési kiszolgáló felé irányuló forgalom védelméhez.

Egyéni URL-tartományok engedélyezése

Az első lépés az egyéni tartományok engedélyezése az AFD-vel. Használja a külső bérlőkben (előzetes verzió) lévő alkalmazások egyéni URL-tartományainak engedélyezése című témakör utasításait.

Cloudflare-fiók létrehozása

  1. Lépjen a Cloudflare.com/plans fiók létrehozásához.
  2. A WAF engedélyezéséhez az Application Services lapon válassza a Pro lehetőséget.

A tartománynév-kiszolgáló (DNS) konfigurálása

A WAF engedélyezése tartományhoz.

  1. A DNS-konzol CNAME esetén engedélyezze a proxybeállítást.

    A CNAME beállításainak képernyőképe.

  2. A DNS alatt a proxy állapotához válassza a Proxied lehetőséget.

  3. Az állapot narancssárgává változik.

    Képernyőkép a kiaszalt állapotról.

Cloudflare biztonsági vezérlők

Az optimális védelem érdekében javasoljuk, hogy engedélyezze a Cloudflare biztonsági vezérlőinek használatát.

DDoS elleni védelem

  1. Lépjen a Cloudflare irányítópultjára.

  2. Bontsa ki a Biztonság szakaszt.

  3. Válassza a DDoS lehetőséget.

  4. Megjelenik egy üzenet.

    Képernyőkép a DDoS védelmi üzenetéről.

Robotvédelem

  1. Lépjen a Cloudflare irányítópultjára.

  2. Bontsa ki a Biztonság szakaszt.

  3. A Super Bot Fight mód konfigurálása területen a Határozottan automatizált beállításnál válassza a Blokk lehetőséget.

  4. A Valószínű automatikus beállításnál válassza a Felügyelt feladat lehetőséget.

  5. Ellenőrzött robotok esetén válassza az Engedélyezés lehetőséget.

    Képernyőkép a robotvédelmi lehetőségekről.

Tűzfalszabályok: A Tor-hálózatból érkező forgalom

Javasoljuk, hogy tiltsa le a Tor proxyhálózatról származó forgalmat, kivéve, ha a szervezetnek támogatnia kell a forgalmat.

Feljegyzés

Ha nem tudja letiltani a Tor-forgalmat, válassza az Interaktív feladat lehetőséget, nem pedig a Blokk lehetőséget.

Forgalom letiltása a Tor-hálózatról

  1. Lépjen a Cloudflare irányítópultjára.

  2. Bontsa ki a Biztonság szakaszt.

  3. Válassza a WAF lehetőséget.

  4. Válassza a Szabály létrehozása lehetőséget.

  5. Szabálynévként adjon meg egy megfelelő nevet.

  6. Ha a bejövő kérések egyeznek, a Mező mezőben válassza a Kontinens lehetőséget.

  7. Operátor esetén válassza az egyenlőséget.

  8. Az Érték mezőben válassza a Tor lehetőséget.

  9. Ehhez válassza a Letiltás lehetőséget.

  10. A Hely mezőben válassza az Első lehetőséget.

  11. Válassza az Üzembe helyezés lehetőséget.

    Képernyőkép a szabály létrehozása párbeszédpanelről.

Feljegyzés

Egyéni HTML-oldalakat is hozzáadhat a látogatókhoz.

Tűzfalszabályok: Országokból vagy régiókból érkező forgalom

Javasoljuk, hogy szigorú biztonsági ellenőrzéseket biztosítsunk az olyan országokból vagy régiókból érkező forgalomra, ahol az üzlet nem valószínű, kivéve, ha a szervezet üzleti okkal támogatja az összes országból vagy régióból érkező forgalmat.

Feljegyzés

Ha nem tudja blokkolni a forgalmat egy országból vagy régióból, válassza az Interaktív feladat lehetőséget, nem pedig a Blokk lehetőséget.

Országokból vagy régiókból érkező forgalom letiltása

Az alábbi utasításokhoz egyéni HTML-lapokat adhat hozzá a látogatók számára.

  1. Lépjen a Cloudflare irányítópultjára.

  2. Bontsa ki a Biztonság szakaszt.

  3. Válassza a WAF lehetőséget.

  4. Válassza a Szabály létrehozása lehetőséget.

  5. Szabálynévként adjon meg egy megfelelő nevet.

  6. Ha a bejövő kérések egyeznek, a Mező mezőben válassza az Ország vagy a Kontinens lehetőséget.

  7. Operátor esetén válassza az egyenlőséget.

  8. Az Érték mezőben válassza ki a letiltani kívánt országot vagy kontinenst.

  9. Ehhez válassza a Letiltás lehetőséget.

  10. A Hely mezőben válassza az Utolsó lehetőséget.

  11. Válassza az Üzembe helyezés lehetőséget.

    Képernyőkép a szabály létrehozása párbeszédpanel név mezőjéről.

OWASP és felügyelt szabálykészletek

  1. Válassza a Felügyelt szabályok lehetőséget.

  2. Cloudflare Managed Ruleset esetén válassza az Engedélyezve lehetőséget.

  3. A Cloudflare OWASP Core Ruleset esetében válassza az Engedélyezve lehetőséget.

    Szabálykészletek képernyőképe.

Következő lépések