Руководство по настройке Cloudflare Брандмауэр веб-приложений с помощью Внешняя идентификация Microsoft Entra
В этом руководстве описано, как настроить брандмауэр Web Applcation Cloudflare (Cloudflare WAF) для защиты вашей организации от атак, таких как распределенный отказ в обслуживании (DDoS), вредоносные боты, open Worldwide Application Security Project (OWASP) Top-10 безопасности и другие.
Необходимые компоненты
Для начала работы необходимы перечисленные ниже компоненты и данные.
- клиент Внешняя идентификация Microsoft Entra
- Microsoft Azure Front Door (AFD)
- Учетная запись Cloudflare с WAF
Узнайте о клиентах и защите приложений для потребителей и клиентов с помощью Внешняя идентификация Microsoft Entra.
Описание сценария
- Внешняя идентификация Microsoft Entra клиента — поставщик удостоверений (IdP) и сервер авторизации, который проверяет учетные данные пользователя с настраиваемыми политиками, определенными для клиента.
- Azure Front Door — включает пользовательские домены URL-адресов для Внешняя идентификация Microsoft Entra. Трафик к пользовательским доменам URL-адресов проходит через Cloudflare WAF, а затем переходит в AFD, а затем в клиент Внешняя идентификация Microsoft Entra.
- Cloudflare WAF — элементы управления безопасностью для защиты трафика на сервер авторизации.
Включение пользовательских доменов URL-адресов
Первым шагом является включение пользовательских доменов с AFD. Используйте инструкции, описанные в разделе "Включение пользовательских доменов URL-адресов для приложений во внешних клиентах (предварительная версия)".
Создание учетной записи Cloudflare
- Перейдите к Cloudflare.com/plans, чтобы создать учетную запись.
- Чтобы включить WAF, на вкладке "Службы приложений" выберите "Pro".
Настройка сервера доменных имен (DNS)
Включите WAF для домена.
В консоли DNS для CNAME включите параметр прокси-сервера.
В разделе DNS для состояния прокси-сервера выберите прокси-сервер.
Состояние становится оранжевым.
Элементы управления безопасностью Cloudflare
Для оптимальной защиты рекомендуется включить элементы управления безопасностью Cloudflare.
Защита от атак DDoS
Перейдите на панель мониторинга Cloudflare.
Разверните раздел "Безопасность".
Выберите DDoS.
Появится сообщение .
Защита от ботов
Перейдите на панель мониторинга Cloudflare.
Разверните раздел "Безопасность".
В разделе "Настройка режима борьбы с супер ботом" для определенного автоматического выбора выберите "Блокировать".
Для вероятности автоматически выберите "Управляемый вызов".
Для проверенных ботов нажмите кнопку "Разрешить".
Правила брандмауэра: трафик из сети Tor
Рекомендуется блокировать трафик, исходящий из прокси-сети Tor, если ваша организация не должна поддерживать трафик.
Примечание.
Если вы не можете заблокировать трафик Tor, выберите "Интерактивная задача", а не "Блокировать".
Блокировать трафик из сети Tor
Перейдите на панель мониторинга Cloudflare.
Разверните раздел "Безопасность".
Выберите WAF.
Выберите Создать правило.
В поле "Имя правила" введите соответствующее имя.
Если входящие запросы совпадают, выберите "Континент".
Для оператора выберите равные.
Для параметра Value выберите Tor.
Для этого нажмите кнопку "Блокировать".
Для параметра "Место" нажмите кнопку "Сначала".
Выберите Развернуть.
Примечание.
Вы можете добавить пользовательские HTML-страницы для посетителей.
Правила брандмауэра: трафик из стран или регионов
Мы рекомендуем строгие средства контроля безопасности для трафика из стран или регионов, где бизнес вряд ли произойдет, если ваша организация не имеет бизнес-причин для поддержки трафика из стран или регионов.
Примечание.
Если вы не можете заблокировать трафик из страны или региона, выберите "Интерактивная задача", а не "Блокировать".
Блокировать трафик из стран или регионов
Для следующих инструкций можно добавить пользовательские HTML-страницы для посетителей.
Перейдите на панель мониторинга Cloudflare.
Разверните раздел "Безопасность".
Выберите WAF.
Выберите Создать правило.
В поле "Имя правила" введите соответствующее имя.
Если входящие запросы совпадают, в поле выберите страну или континент.
Для оператора выберите равные.
Для параметра Value выберите страну или континент для блокировки.
Для этого нажмите кнопку "Блокировать".
Для параметра "Место" нажмите кнопку "Последний".
Выберите Развернуть.
OWASP и управляемые наборы правил
Выберите управляемые правила.
Для управляемого набора правил Cloudflare выберите "Включено".
Для набора основных правил OWASP Cloudflare выберите "Включено".
Следующие шаги
- Что такое Azure Брандмауэр веб-приложений в Шлюз приложений Azure?
- Документация Cloudflare: Cloudflare Zero Trust: Azure AD
- Руководство по настройке WAF Cloudflare с помощью Azure AD B2C