Поделиться через

Руководство по настройке Azure Active Directory B2C с помощью брандмауэра веб-приложений Azure

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Узнайте, как включить службу брандмауэра веб-приложений Azure (WAF) для клиента Azure Active Directory B2C (Azure AD B2C) с личным доменом. WAF защищает веб-приложения от распространенных эксплойтов и уязвимостей, таких как межсайтовые скрипты, атаки DDoS и действия вредоносного бота.

Смотрите Что такое брандмауэр веб-приложений Azure?

Предпосылки

Чтобы начать, вам нужно:

Пользовательские домены в Azure AD B2C

Чтобы использовать пользовательские домены в Azure AD B2C, используйте функции личного домена в Azure Front Door. См. раздел "Включить личные домены" для Azure AD B2C.

Это важно

После настройки личного домена см. раздел "Тестирование личного домена".

Включение WAF

Чтобы включить WAF, настройте политику WAF и свяжите ее с azure Front Door premium для защиты. Azure Front Door premium оптимизирован для безопасности и предоставляет доступ к наборам правил, управляемым Azure, которые защищают от распространенных уязвимостей и эксплойтов, включая межсайтовые скрипты и эксплойты Java. WAF предоставляет наборы правил, которые помогают защитить вас от вредоносных действий бота. WAF предлагает защиту от атак DDoS уровня 7 для приложения.

Создание политики WAF

Создайте политику WAF с управляемым Azure набором правил по умолчанию (DRS). Ознакомьтесь с группами правил и правилами брандмауэра веб-приложения DRS.

  1. Войдите на портал Azure.
  2. Выберите Создать ресурс.
  3. Найдите Azure WAF.
  4. Выберите брандмауэр веб-приложений Azure Service (WAF) от компании Microsoft.
  5. Нажмите кнопку "Создать".
  6. Перейдите на страницу "Создание политики WAF ".
  7. Выберите вкладку Основы.
  8. Для политики длявыберите Global WAF (Front Door).
  9. Для Front Door SKU выберите SKU «Премиум».
  10. Для подписки выберите название подписки "Front Door".
  11. Для группы ресурсов выберите имя группы ресурсов для Front Door.
  12. Для политики WAF с именем введите уникальное имя.
  13. Для состояния политики выберитевариант Включено.
  14. Для режима политикивыберите обнаружение.
  15. Перейдите на вкладку "Ассоциация" на странице "Создание политики WAF".
  16. Выберите + Связать профиль фронтальной двери.
  17. Для Front Door выберите имя Front Door, связанное с личным доменом Azure AD B2C.
  18. Для доменов выберите настраиваемые домены Azure AD B2C, чтобы связать их с политикой WAF.
  19. Нажмите кнопку "Добавить".
  20. Выберите Review + create.
  21. Нажмите кнопку "Создать".

Набор правил по умолчанию

При создании новой политики WAF для Azure Front Door она автоматически развертывается с последней версией набора правил по умолчанию, управляемого Azure. Этот набор правил защищает веб-приложения от распространенных уязвимостей и эксплойтов. Наборы правил, управляемые Azure, позволяют легко развернуть защиту от типичного набора угроз безопасности. Так как Azure управляет этими наборами правил, правила обновляются при необходимости для защиты от новых подписей атак. DRS включает правила коллекции разведки угроз Microsoft, написанные в партнерстве с командой Microsoft Intelligence для обеспечения повышенного охвата, исправлений для конкретных уязвимостей и снижения ложных срабатываний.

Дополнительные сведения: группы правил и правила брандмауэра веб-приложений Azure

Набор правил Bot Manager

По умолчанию WAF Azure Front Door развертывается с последней версией набора правил Диспетчера ботов, управляемых Azure. Этот набор правил классифицирует трафик бота на хорошие, плохие и неизвестные боты. Подписи бота, лежащие в основе этого набора правил, управляются платформой WAF и обновляются динамически.

Дополнительные сведения. Что такое брандмауэр веб-приложений Azure в Azure Front Door?

Ограничение скорости

Ограничение скорости позволяет обнаруживать и блокировать ненормально высокий уровень трафика с любого IP-адреса сокета. С помощью Azure WAF в Azure Front Door можно устранить некоторые типы атак типа "отказ в обслуживании". Ограничение скорости защищает вас от клиентов, которые были случайно неправильно настроены для отправки больших объемов запросов в короткий период времени. Ограничение скорости необходимо настроить вручную в WAF с помощью пользовательских правил.

Подробнее:

Режимы обнаружения и предотвращения

При создании политики WAF политика начинается в режиме обнаружения. Мы рекомендуем оставить политику WAF в режиме обнаружения при настройке WAF для трафика. В этом режиме WAF не блокирует запросы. Вместо этого запросы, соответствующие правилам WAF, регистрируются WAF после включения ведения журнала.

Включение ведения журнала: мониторинг и ведение журнала брандмауэра веб-приложений Azure

После включения ведения журнала и когда ваш WAF начнет получать запросы, вы можете начать настройку WAF, просмотрев ваши журналы.

Дополнительные сведения. Настройка брандмауэра веб-приложений Azure для Azure Front Door

В следующем запросе показаны запросы, заблокированные политикой WAF за последние 24 часа. Сведения включают, имя правила, данные запроса, действия, выполняемые политикой, и режим политики.

AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s
Идентификатор правила Детальное сообщение Действие Режим Детальные данные
DefaultRuleSet-1.0-SQLI-942430 Обнаружение аномалий SQL по ограничению специальных символов (args): превышено количество специальных символов (12) Блок обнаружение Сопоставленные данные: CfDJ8KQ8bY6D

Просмотрите журналы WAF, чтобы определить, вызывают ли правила ложные положительные срабатывания. Затем исключите правила WAF на основе журналов WAF.

Подробнее

После настройки ведения журнала и получения трафика WAF можно оценить, насколько эффективно правила менеджера ботов обрабатывают бот-трафик. В следующем запросе показаны действия, выполняемые набором правил диспетчера ботов, которые классифицируются по типу бота. В режиме обнаружения WAF регистрирует только действия ботов. Однако после перехода на режим предотвращения WAF начинает активно блокировать нежелательный трафик бота.

AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked

Переключение режимов

Чтобы просмотреть действия WAF по трафику запроса, выберите "Переключиться в режим предотвращения " на странице "Обзор", который изменяет режим обнаружения на предотвращение. Запросы, соответствующие правилам DRS, блокируются и регистрируются в журналах WAF. WAF принимает предписанное действие, если запрос соответствует одному или нескольким правилам в drS и записывает результаты. По умолчанию в DRS установлен режим оценки аномалий; это означает, что WAF не предпринимает никаких действий по запросу, если не будет достигнут порог оценки аномалий.

Дополнительные сведения: Оценивание аномалий группы правил DRS и правила брандмауэра веб-приложений Azure

Чтобы вернуться к режиму обнаружения, выберите "Переключиться в режим обнаружения" на странице "Обзор".

Дальнейшие шаги

  • Last updated on