Delen via

Zelfstudie: Azure Active Directory B2C configureren met Azure Web Application Firewall

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

Informatie over het inschakelen van de WaF-service (Azure Web Application Firewall) voor een Azure Active Directory B2C-tenant (Azure AD B2C) met een aangepast domein. WAF beschermt webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen, zoals scripts op meerdere sites, DDoS-aanvallen en schadelijke botactiviteit.

Zie Wat is Azure Web Application Firewall?

Vereiste voorwaarden

U hebt het volgende nodig om aan de slag te gaan:

Aangepaste domeinen in Azure AD B2C

Als u aangepaste domeinen in Azure AD B2C wilt gebruiken, gebruikt u de aangepaste domeinfuncties in Azure Front Door. Zie Aangepaste domeinen inschakelen voor Azure AD B2C.

Belangrijk

Nadat u het aangepaste domein hebt geconfigureerd, raadpleegt u Uw aangepaste domein testen.

WAF inschakelen

Als u WAF wilt inschakelen, configureert u een WAF-beleid en koppelt u dit aan uw Azure Front Door Premium voor beveiliging. Azure Front Door Premium is geoptimaliseerd voor beveiliging en biedt u toegang tot regelsets die worden beheerd door Azure die bescherming bieden tegen veelvoorkomende beveiligingsproblemen en aanvallen, waaronder scripting op meerdere sites en Java-aanvallen. De WAF biedt regelsets die u helpen beschermen tegen schadelijke botactiviteit. De WAF biedt u laag 7 DDoS-beveiliging voor uw toepassing.

Een WAF-beleid maken

Een WAF-beleid maken met door Azure beheerde standaardregelset (DRS). Zie DrS-regelgroepen en -regels voor Web Application Firewall.

  1. Meld u aan bij het Azure-portaal.
  2. Klik op Een resource aanmaken.
  3. Zoek naar Azure WAF.
  4. Selecteer de WaF (Azure Service Web Application Firewall) van Microsoft.
  5. Klik op Creëren.
  6. Ga naar de pagina Een WAF-beleid maken .
  7. Selecteer het tabblad Basis.
  8. Voor Beleid voor, selecteer Global WAF (Front Door).
  9. Selecteer voor Front Door SKU de Premium-SKU .
  10. Selecteer voor Abonnementde naam van uw Front Door-abonnement.
  11. Voor resourcegroepselecteert u de naam van uw Front Door-resourcegroep.
  12. Voer voor beleidsnaameen unieke naam in voor uw WAF-beleid.
  13. Voor beleidsstatusselecteer je Ingeschakeld.
  14. Selecteer voor beleidsmodusDetectie.
  15. Ga naar het tabblad Koppeling van de pagina Een WAF-beleid maken.
  16. Selecteer en koppel een Front Door-profiel.
  17. Selecteer voor Front Door uw Front Door-naam die is gekoppeld aan het aangepaste domein van Azure AD B2C.
  18. Selecteer voor domeinen de aangepaste Azure AD B2C-domeinen waaraan u het WAF-beleid wilt koppelen.
  19. Selecteer Toevoegen.
  20. Kies Beoordelen + creëren.
  21. Klik op Creëren.

Standaardregelset

Wanneer u een nieuw WAF-beleid voor Azure Front Door maakt, wordt het automatisch geïmplementeerd met de nieuwste versie van door Azure beheerde standaardregelset (DRS). Deze regelset beschermt webtoepassingen tegen veelvoorkomende beveiligingsproblemen en aanvallen. Door Azure beheerde regelsets bieden een eenvoudige manier om beveiliging te implementeren op basis van een gemeenschappelijke set beveiligingsbedreigingen. Omdat Azure deze regelsets beheert, worden de regels zo nodig bijgewerkt om u te beschermen tegen nieuwe aanvalshandtekeningen. De DRS bevat de regels voor het verzamelen van Microsoft Threat Intelligence die zijn geschreven in samenwerking met het Microsoft Intelligence-team om meer dekking te bieden, patches voor specifieke beveiligingsproblemen en betere fout-positieve reductie.

Meer informatie: DRS-regelgroepen en -regels van Azure Web Application Firewall

Bot Manager-regelset

Standaard wordt de Azure Front Door WAF geïmplementeerd met de nieuwste versie van de door Azure beheerde Bot Manager-regelset. Deze regelset categoriseert botverkeer in goede, slechte en onbekende bots. De bothandtekeningen achter deze regelset worden beheerd door het WAF-platform en worden dynamisch bijgewerkt.

Meer informatie: Wat is Azure Web Application Firewall op Azure Front Door?

Snelheidsbeperking

Met snelheidsbeperking kunt u abnormaal hoge verkeersniveaus van elk SOCKET-IP-adres detecteren en blokkeren. Met behulp van Azure WAF in Azure Front Door kunt u bepaalde soorten Denial-of-Service-aanvallen beperken. Snelheidsbeperking beschermt u tegen clients die per ongeluk onjuist zijn geconfigureerd voor het verzenden van grote hoeveelheden aanvragen in een korte periode. Snelheidsbeperking moet handmatig op de WAF worden geconfigureerd met behulp van aangepaste regels.

Meer informatie:

Detectie- en preventiemodi

Wanneer u een WAF-beleid maakt, wordt het beleid gestart in de detectiemodus. U wordt aangeraden het WAF-beleid in de detectiemodus te laten terwijl u de WAF voor uw verkeer afstemt. In deze modus blokkeert WAF geen aanvragen. In plaats daarvan worden aanvragen die overeenkomen met de WAF-regels door de WAF geregistreerd zodra logboekregistratie is ingeschakeld.

Logboekregistratie inschakelen: Bewaking en logboekregistratie van Azure Web Application Firewall

Zodra logboekregistratie is ingeschakeld en uw WAF aanvraagverkeer ontvangt, kunt u uw WAF afstemmen door uw logboeken te bekijken.

Meer informatie: Azure Web Application Firewall afstemmen voor Azure Front Door

De volgende query toont de aanvragen die zijn geblokkeerd door het WAF-beleid in de afgelopen 24 uur. De details omvatten, regelnaam, aanvraaggegevens, actie die door het beleid wordt uitgevoerd en de beleidsmodus.

AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s
RegelID Detail Handeling Wijze Detailgegevens
DefaultRuleSet-1.0-SQLI-942430 Beperkte anomaliedetectie van SQL-tekens (args): aantal speciale tekens overschreden (12) Blokkeren detectie Overeenkomende gegevens: CfDJ8KQ8bY6D

Controleer de WAF-logboeken om te bepalen of beleidsregels vals-positieven veroorzaken. Sluit vervolgens de WAF-regels uit op basis van de WAF-logboeken.

Meer informatie

Zodra logboekregistratie is ingesteld en uw WAF verkeer ontvangt, kunt u de effectiviteit van uw botbeheerregels beoordelen bij het verwerken van botverkeer. De volgende query toont de acties die zijn uitgevoerd door de regelset voor botbeheer, gecategoriseerd op bottype. In de detectiemodus registreert de WAF alleen acties voor botverkeer. Eenmaal overgeschakeld naar de preventiemodus, begint de WAF echter actief ongewenste botverkeer te blokkeren.

AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked

Schakelen tussen modi

Als u wilt zien dat WAF actie onderneemt op aanvraagverkeer, selecteert u Overschakelen naar de preventiemodus op de pagina Overzicht, waarmee de modus wordt gewijzigd van Detectie in Preventie. Aanvragen die overeenkomen met de regels in de DRS worden geblokkeerd en geregistreerd in de WAF-logboeken. De WAF voert de voorgeschreven actie uit wanneer een aanvraag overeenkomt met een of meer regels in de DRS en de resultaten registreert. De DRS is standaard ingesteld op de modus anomaliescore; dit betekent dat de WAF geen actie onderneemt voor een aanvraag, tenzij aan de drempelwaarde voor anomaliescore wordt voldaan.

Lees meer over anomaliereferentiescores: Azure Web Application Firewall DRS-regelgroepen en -regels

Als u wilt terugkeren naar de detectiemodus, selecteert u Overschakelen naar de detectiemodus op de pagina Overzicht.

Volgende stappen

  • Last updated on