Oktatóanyag: A Cloudflare webalkalmazás tűzfalának konfigurálása Microsoft Entra Külső ID
Ebben az oktatóanyagban megtudhatja, hogyan konfigurálhatja a Cloudflare webalkalmazási tűzfalat (Cloudflare WAF) a szervezet támadások elleni védelmére, például az elosztott szolgáltatásmegtagadást (DDoS), a rosszindulatú robotokat, az Open Worldwide Application Security Project (OWASP) Top-10 biztonsági kockázatokat és másokat.
Előfeltételek
A kezdéshez a következők szükségesek:
- Microsoft Entra Külső ID bérlő
- Microsoft Azure Front Door (AFD)
- Cloudflare-fiók WAF használatával
Ismerje meg a bérlőket és az alkalmazások biztonságossá tételét a Microsoft Entra Külső ID használó felhasználók és ügyfelek számára.
Forgatókönyv leírása
- Microsoft Entra Külső ID bérlő – Az identitásszolgáltató (IDP) és az engedélyezési kiszolgáló, amely a bérlőhöz meghatározott egyéni szabályzatokkal ellenőrzi a felhasználói hitelesítő adatokat.
- Azure Front Door – Egyéni URL-tartományok engedélyezése Microsoft Entra Külső ID számára. Az egyéni URL-tartományokba irányuló forgalom a Cloudflare WAF-en keresztül megy, majd az AFD-be, majd a Microsoft Entra Külső ID bérlőbe.
- Cloudflare WAF – Biztonsági vezérlők az engedélyezési kiszolgáló felé irányuló forgalom védelméhez.
Egyéni URL-tartományok engedélyezése
Az első lépés az egyéni tartományok engedélyezése az AFD-vel. Használja a külső bérlőkben (előzetes verzió) lévő alkalmazások egyéni URL-tartományainak engedélyezése című témakör utasításait.
Cloudflare-fiók létrehozása
- Lépjen a Cloudflare.com/plans fiók létrehozásához.
- A WAF engedélyezéséhez az Application Services lapon válassza a Pro lehetőséget.
A tartománynév-kiszolgáló (DNS) konfigurálása
A WAF engedélyezése tartományhoz.
A DNS-konzol CNAME esetén engedélyezze a proxybeállítást.
A DNS alatt a proxy állapotához válassza a Proxied lehetőséget.
Az állapot narancssárgává változik.
Cloudflare biztonsági vezérlők
Az optimális védelem érdekében javasoljuk, hogy engedélyezze a Cloudflare biztonsági vezérlőinek használatát.
DDoS elleni védelem
Lépjen a Cloudflare irányítópultjára.
Bontsa ki a Biztonság szakaszt.
Válassza a DDoS lehetőséget.
Megjelenik egy üzenet.
Robotvédelem
Lépjen a Cloudflare irányítópultjára.
Bontsa ki a Biztonság szakaszt.
A Super Bot Fight mód konfigurálása területen a Határozottan automatizált beállításnál válassza a Blokk lehetőséget.
A Valószínű automatikus beállításnál válassza a Felügyelt feladat lehetőséget.
Ellenőrzött robotok esetén válassza az Engedélyezés lehetőséget.
Tűzfalszabályok: A Tor-hálózatból érkező forgalom
Javasoljuk, hogy tiltsa le a Tor proxyhálózatról származó forgalmat, kivéve, ha a szervezetnek támogatnia kell a forgalmat.
Feljegyzés
Ha nem tudja letiltani a Tor-forgalmat, válassza az Interaktív feladat lehetőséget, nem pedig a Blokk lehetőséget.
Forgalom letiltása a Tor-hálózatról
Lépjen a Cloudflare irányítópultjára.
Bontsa ki a Biztonság szakaszt.
Válassza a WAF lehetőséget.
Válassza a Szabály létrehozása lehetőséget.
Szabálynévként adjon meg egy megfelelő nevet.
Ha a bejövő kérések egyeznek, a Mező mezőben válassza a Kontinens lehetőséget.
Operátor esetén válassza az egyenlőséget.
Az Érték mezőben válassza a Tor lehetőséget.
Ehhez válassza a Letiltás lehetőséget.
A Hely mezőben válassza az Első lehetőséget.
Válassza az Üzembe helyezés lehetőséget.
Feljegyzés
Egyéni HTML-oldalakat is hozzáadhat a látogatókhoz.
Tűzfalszabályok: Országokból vagy régiókból érkező forgalom
Javasoljuk, hogy szigorú biztonsági ellenőrzéseket biztosítsunk az olyan országokból vagy régiókból érkező forgalomra, ahol az üzlet nem valószínű, kivéve, ha a szervezet üzleti okkal támogatja az összes országból vagy régióból érkező forgalmat.
Feljegyzés
Ha nem tudja blokkolni a forgalmat egy országból vagy régióból, válassza az Interaktív feladat lehetőséget, nem pedig a Blokk lehetőséget.
Országokból vagy régiókból érkező forgalom letiltása
Az alábbi utasításokhoz egyéni HTML-lapokat adhat hozzá a látogatók számára.
Lépjen a Cloudflare irányítópultjára.
Bontsa ki a Biztonság szakaszt.
Válassza a WAF lehetőséget.
Válassza a Szabály létrehozása lehetőséget.
Szabálynévként adjon meg egy megfelelő nevet.
Ha a bejövő kérések egyeznek, a Mező mezőben válassza az Ország vagy a Kontinens lehetőséget.
Operátor esetén válassza az egyenlőséget.
Az Érték mezőben válassza ki a letiltani kívánt országot vagy kontinenst.
Ehhez válassza a Letiltás lehetőséget.
A Hely mezőben válassza az Utolsó lehetőséget.
Válassza az Üzembe helyezés lehetőséget.
OWASP és felügyelt szabálykészletek
Válassza a Felügyelt szabályok lehetőséget.
Cloudflare Managed Ruleset esetén válassza az Engedélyezve lehetőséget.
A Cloudflare OWASP Core Ruleset esetében válassza az Engedélyezve lehetőséget.