Samouczek: konfigurowanie zapory aplikacji internetowej Cloudflare przy użyciu Tożsamość zewnętrzna Microsoft Entra
Z tego samouczka dowiesz się, jak skonfigurować zaporę Cloudflare Web Applcation Firewall (Cloudflare WAF) w celu ochrony organizacji przed atakami, takimi jak rozproszona odmowa usługi (DDoS), złośliwe boty, open worldwide Application Security Project (OWASP) Top-10 security risks i inne.
Wymagania wstępne
Aby rozpocząć pracę, potrzebne będą następujące elementy:
- dzierżawa Tożsamość zewnętrzna Microsoft Entra
- Microsoft Azure Front Door (AFD)
- Konto cloudflare z zaporą aplikacji internetowej
Dowiedz się więcej o dzierżawach i zabezpieczaniu aplikacji dla użytkowników i klientów przy użyciu Tożsamość zewnętrzna Microsoft Entra.
Opis scenariusza
- Tożsamość zewnętrzna Microsoft Entra dzierżawa — dostawca tożsamości (IdP) i serwer autoryzacji, który weryfikuje poświadczenia użytkownika przy użyciu zasad niestandardowych zdefiniowanych dla dzierżawy.
- Azure Front Door — włącza niestandardowe domeny url dla Tożsamość zewnętrzna Microsoft Entra. Ruch do domen niestandardowych adresów URL przechodzi przez zaporę aplikacji internetowej Cloudflare, a następnie przechodzi do usługi AFD, a następnie do dzierżawy Tożsamość zewnętrzna Microsoft Entra.
- Cloudflare WAF — mechanizmy kontroli zabezpieczeń w celu ochrony ruchu na serwerze autoryzacji.
Włączanie domen niestandardowych adresów URL
Pierwszym krokiem jest włączenie domen niestandardowych z usługą AFD. Skorzystaj z instrukcji podanych w temacie Włączanie niestandardowych domen url dla aplikacji w dzierżawach zewnętrznych (wersja zapoznawcza).
Tworzenie konta cloudflare
- Przejdź do Cloudflare.com/plans , aby utworzyć konto.
- Aby włączyć zaporę aplikacji internetowej, na karcie Usługi aplikacji wybierz pozycję Pro.
Konfigurowanie serwera nazw domen (DNS)
Włącz zaporę aplikacji internetowej dla domeny.
W konsoli DNS w polu CNAME włącz ustawienie serwera proxy.
W obszarze DNS w obszarze Stan serwera proxy wybierz pozycję Proxied.
Stan zmienia kolor pomarańczowy.
Mechanizmy zabezpieczeń Cloudflare
Aby uzyskać optymalną ochronę, zalecamy włączenie mechanizmów kontroli zabezpieczeń cloudflare.
Ochrona przed atakami DDoS
Rozwiń sekcję Zabezpieczenia.
Wybierz pozycję DDoS.
Zostanie wyświetlony komunikat .
Ochrona przed botami
Rozwiń sekcję Zabezpieczenia.
W obszarze Skonfiguruj tryb walki super bota w obszarze Zdecydowanie zautomatyzowane wybierz pozycję Blokuj.
W obszarze Prawdopodobnie zautomatyzowane wybierz pozycję Zarządzane wyzwanie.
W obszarze Zweryfikowane boty wybierz pozycję Zezwalaj.
Reguły zapory: ruch z sieci Tor
Zalecamy zablokowanie ruchu pochodzącego z sieci serwera proxy Tor, chyba że Twoja organizacja musi obsługiwać ruch.
Uwaga
Jeśli nie możesz zablokować ruchu Tor, wybierz pozycję Interakcyjne wyzwanie, a nie Blokuj.
Blokowanie ruchu z sieci Tor
Rozwiń sekcję Zabezpieczenia.
Wybierz pozycję Zapora aplikacji internetowej.
Wybierz Utwórz regułę.
W polu Nazwa reguły wprowadź odpowiednią nazwę.
W polu Jeśli żądania przychodzące są zgodne, w polu Pole wybierz pozycję Kontynent.
W polu Operator wybierz wartość equals.
W polu Wartość wybierz pozycję Tor.
W polu Następnie podejmij akcję, wybierz pozycję Blokuj.
W polu Place at (Umieść) wybierz pozycję First (Pierwsze).
Wybierz Wdróż.
Uwaga
Możesz dodawać niestandardowe strony HTML dla odwiedzających.
Reguły zapory: ruch z krajów lub regionów
Zalecamy ścisłe mechanizmy kontroli bezpieczeństwa ruchu z krajów lub regionów, w których firma jest mało prawdopodobna, chyba że organizacja ma powód biznesowy do obsługi ruchu z krajów lub regionów.
Uwaga
Jeśli nie możesz zablokować ruchu z kraju lub regionu, wybierz pozycję Interakcyjne wyzwanie, a nie Blokuj.
Blokowanie ruchu z krajów lub regionów
Aby uzyskać poniższe instrukcje, możesz dodać niestandardowe strony HTML dla odwiedzających.
Rozwiń sekcję Zabezpieczenia.
Wybierz pozycję Zapora aplikacji internetowej.
Wybierz Utwórz regułę.
W polu Nazwa reguły wprowadź odpowiednią nazwę.
W polu Jeśli żądania przychodzące są zgodne, w polu Pole wybierz pozycję Kraj lub Kontynent.
W polu Operator wybierz wartość equals.
W polu Wartość wybierz kraj lub kontynent do zablokowania.
W polu Następnie podejmij akcję, wybierz pozycję Blokuj.
W polu Place at (Miejsce) wybierz pozycję Last (Ostatnie).
Wybierz Wdróż.
Zestawy reguł OWASP i zarządzane
Wybierz pozycję Reguły zarządzane.
W polu Cloudflare Managed Ruleset (Zestaw reguł zarządzanych w chmurze) wybierz pozycję Włączone.
W obszarze Cloudflare OWASP Core Ruleset wybierz pozycję Włączone.