Samouczek: konfigurowanie Web Application Firewall Cloudflare za pomocą usługi Azure Active Directory B2C

Z tego samouczka dowiesz się, jak skonfigurować rozwiązanie Cloudflare Web Application Firewall (WAF) dla dzierżawy usługi Azure Active Directory B2C (Azure AD B2C) z domeną niestandardową. Zapora aplikacji internetowej Cloudflare pomaga chronić organizacje przed złośliwymi atakami, które mogą wykorzystywać luki w zabezpieczeniach, takie jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami (XSS).

Wymagania wstępne

Aby rozpocząć pracę, potrzebne są następujące elementy:

• Subskrypcja platformy Azure
  • Jeśli go nie masz, możesz uzyskać bezpłatne konto platformy Azure
• Dzierżawa usługi Azure AD B2C połączona z subskrypcją platformy Azure
• Konto cloudflare

Opis scenariusza

Integracja zapory aplikacji internetowej Cloudflare obejmuje następujące składniki:

• Azure AD dzierżawy B2C — serwer autoryzacji, który weryfikuje poświadczenia użytkownika przy użyciu zasad niestandardowych zdefiniowanych w dzierżawie. Jest on znany jako dostawca tożsamości
• Azure Front Door — włącza domeny niestandardowe dla dzierżawy usługi Azure B2C. Ruch z zapory aplikacji internetowej Cloudflare jest kierowany do usługi Azure Front Door przed przybyciem do dzierżawy usługi Azure AD B2C.
• Cloudflare — zapora aplikacji internetowej, która zarządza ruchem wysyłanym do serwera autoryzacji

Integracja z usługą Azure AD B2C

W przypadku domen niestandardowych w usłudze Azure AD B2C użyj funkcji domeny niestandardowej w usłudze Azure Front Door. Dowiedz się, jak włączyć Azure AD domen niestandardowych B2C.

Po skonfigurowaniu domeny niestandardowej dla usługi Azure AD B2C przy użyciu usługi Azure Front Door przed kontynuowaniem przetestuj domenę niestandardową.

Tworzenie konta cloudflare

W cloudflare.com możesz utworzyć konto. Aby włączyć zaporę aplikacji internetowej, w usłudze Application Services wybierz pozycję Pro, która jest wymagana.

Konfigurowanie systemu DNS

1. Aby włączyć zaporę aplikacji internetowej dla domeny, w konsoli DNS wpisu CNAME włącz ustawienie serwera proxy z konsoli DNS dla wpisu CNAME, jak pokazano.

   

2. W okienku DNS przełącz opcję Stan serwera proxy na Proxied. Zmienia kolor pomarańczowy.

Ustawienia są wyświetlane na poniższej ilustracji.

Konfigurowanie Web Application Firewall

Przejdź do ustawień usługi Cloudflare i użyj zawartości Cloudflare, aby skonfigurować zaporę aplikacji internetowej i dowiedzieć się więcej o innych narzędziach zabezpieczeń.

Konfigurowanie reguły zapory

W górnym okienku konsoli użyj opcji zapory, aby dodać, zaktualizować lub usunąć reguły zapory. Na przykład następujące ustawienie zapory włącza funkcję CAPTCHA dla żądań przychodzących do domeny contosobank.co.uk przed przejściem żądania do usługi Azure Front Door.

Dowiedz się więcej: Reguły zapory Cloudflare

Testowanie ustawień

1. Po zażądaniu dostępu do domeny niestandardowej ukończ capTCHA.

   

Uwaga

Usługa Cloudflare ma funkcje dostosowywania stron blokowych. Zobacz Konfigurowanie stron niestandardowych (błąd i wyzwanie).

2. Zostanie wyświetlone okno dialogowe logowania zasad Azure AD B2C.

   

Zasoby

• Cloudflare: Rozwiązywanie typowych problemów ze stronami niestandardowymi
• Wprowadzenie do zasad niestandardowych w usłudze Azure AD B2C

Następne kroki

Konfigurowanie domeny niestandardowej w usłudze Azure AD B2C