Udostępnij za pośrednictwem


Samouczek: konfigurowanie zapory aplikacji internetowej Cloudflare przy użyciu Tożsamość zewnętrzna Microsoft Entra

Z tego samouczka dowiesz się, jak skonfigurować zaporę Cloudflare Web Applcation Firewall (Cloudflare WAF) w celu ochrony organizacji przed atakami, takimi jak rozproszona odmowa usługi (DDoS), złośliwe boty, open worldwide Application Security Project (OWASP) Top-10 security risks i inne.

Wymagania wstępne

Aby rozpocząć pracę, potrzebne będą następujące elementy:

  • dzierżawa Tożsamość zewnętrzna Microsoft Entra
  • Microsoft Azure Front Door (AFD)
  • Konto cloudflare z zaporą aplikacji internetowej

Dowiedz się więcej o dzierżawach i zabezpieczaniu aplikacji dla użytkowników i klientów przy użyciu Tożsamość zewnętrzna Microsoft Entra.

Opis scenariusza

  • Tożsamość zewnętrzna Microsoft Entra dzierżawa — dostawca tożsamości (IdP) i serwer autoryzacji, który weryfikuje poświadczenia użytkownika przy użyciu zasad niestandardowych zdefiniowanych dla dzierżawy.
  • Azure Front Door — włącza niestandardowe domeny url dla Tożsamość zewnętrzna Microsoft Entra. Ruch do domen niestandardowych adresów URL przechodzi przez zaporę aplikacji internetowej Cloudflare, a następnie przechodzi do usługi AFD, a następnie do dzierżawy Tożsamość zewnętrzna Microsoft Entra.
  • Cloudflare WAF — mechanizmy kontroli zabezpieczeń w celu ochrony ruchu na serwerze autoryzacji.

Włączanie domen niestandardowych adresów URL

Pierwszym krokiem jest włączenie domen niestandardowych z usługą AFD. Skorzystaj z instrukcji podanych w temacie Włączanie niestandardowych domen url dla aplikacji w dzierżawach zewnętrznych (wersja zapoznawcza).

Tworzenie konta cloudflare

  1. Przejdź do Cloudflare.com/plans , aby utworzyć konto.
  2. Aby włączyć zaporę aplikacji internetowej, na karcie Usługi aplikacji wybierz pozycję Pro.

Konfigurowanie serwera nazw domen (DNS)

Włącz zaporę aplikacji internetowej dla domeny.

  1. W konsoli DNS w polu CNAME włącz ustawienie serwera proxy.

    Zrzut ekranu przedstawiający opcje CNAME.

  2. W obszarze DNS w obszarze Stan serwera proxy wybierz pozycję Proxied.

  3. Stan zmienia kolor pomarańczowy.

    Zrzut ekranu przedstawiający stan proxied.

Mechanizmy zabezpieczeń Cloudflare

Aby uzyskać optymalną ochronę, zalecamy włączenie mechanizmów kontroli zabezpieczeń cloudflare.

Ochrona przed atakami DDoS

  1. Przejdź do pulpitu nawigacyjnego cloudflare.

  2. Rozwiń sekcję Zabezpieczenia.

  3. Wybierz pozycję DDoS.

  4. Zostanie wyświetlony komunikat .

    Zrzut ekranu przedstawiający komunikat ochrony przed atakami DDoS.

Ochrona przed botami

  1. Przejdź do pulpitu nawigacyjnego cloudflare.

  2. Rozwiń sekcję Zabezpieczenia.

  3. W obszarze Skonfiguruj tryb walki super bota w obszarze Zdecydowanie zautomatyzowane wybierz pozycję Blokuj.

  4. W obszarze Prawdopodobnie zautomatyzowane wybierz pozycję Zarządzane wyzwanie.

  5. W obszarze Zweryfikowane boty wybierz pozycję Zezwalaj.

    Zrzut ekranu przedstawiający opcje ochrony botów.

Reguły zapory: ruch z sieci Tor

Zalecamy zablokowanie ruchu pochodzącego z sieci serwera proxy Tor, chyba że Twoja organizacja musi obsługiwać ruch.

Uwaga

Jeśli nie możesz zablokować ruchu Tor, wybierz pozycję Interakcyjne wyzwanie, a nie Blokuj.

Blokowanie ruchu z sieci Tor

  1. Przejdź do pulpitu nawigacyjnego cloudflare.

  2. Rozwiń sekcję Zabezpieczenia.

  3. Wybierz pozycję Zapora aplikacji internetowej.

  4. Wybierz Utwórz regułę.

  5. W polu Nazwa reguły wprowadź odpowiednią nazwę.

  6. W polu Jeśli żądania przychodzące są zgodne, w polu Pole wybierz pozycję Kontynent.

  7. W polu Operator wybierz wartość equals.

  8. W polu Wartość wybierz pozycję Tor.

  9. W polu Następnie podejmij akcję, wybierz pozycję Blokuj.

  10. W polu Place at (Umieść) wybierz pozycję First (Pierwsze).

  11. Wybierz Wdróż.

    Zrzut ekranu przedstawiający okno dialogowe tworzenia reguły.

Uwaga

Możesz dodawać niestandardowe strony HTML dla odwiedzających.

Reguły zapory: ruch z krajów lub regionów

Zalecamy ścisłe mechanizmy kontroli bezpieczeństwa ruchu z krajów lub regionów, w których firma jest mało prawdopodobna, chyba że organizacja ma powód biznesowy do obsługi ruchu z krajów lub regionów.

Uwaga

Jeśli nie możesz zablokować ruchu z kraju lub regionu, wybierz pozycję Interakcyjne wyzwanie, a nie Blokuj.

Blokowanie ruchu z krajów lub regionów

Aby uzyskać poniższe instrukcje, możesz dodać niestandardowe strony HTML dla odwiedzających.

  1. Przejdź do pulpitu nawigacyjnego cloudflare.

  2. Rozwiń sekcję Zabezpieczenia.

  3. Wybierz pozycję Zapora aplikacji internetowej.

  4. Wybierz Utwórz regułę.

  5. W polu Nazwa reguły wprowadź odpowiednią nazwę.

  6. W polu Jeśli żądania przychodzące są zgodne, w polu Pole wybierz pozycję Kraj lub Kontynent.

  7. W polu Operator wybierz wartość equals.

  8. W polu Wartość wybierz kraj lub kontynent do zablokowania.

  9. W polu Następnie podejmij akcję, wybierz pozycję Blokuj.

  10. W polu Place at (Miejsce) wybierz pozycję Last (Ostatnie).

  11. Wybierz Wdróż.

    Zrzut ekranu przedstawiający pole nazwy w oknie dialogowym tworzenia reguły.

Zestawy reguł OWASP i zarządzane

  1. Wybierz pozycję Reguły zarządzane.

  2. W polu Cloudflare Managed Ruleset (Zestaw reguł zarządzanych w chmurze) wybierz pozycję Włączone.

  3. W obszarze Cloudflare OWASP Core Ruleset wybierz pozycję Włączone.

    Zrzut ekranu przedstawiający zestawy reguł.

Następne kroki