Поделиться через


Руководство по настройке Cloudflare Брандмауэр веб-приложений с помощью Внешняя идентификация Microsoft Entra

В этом руководстве описано, как настроить брандмауэр Web Applcation Cloudflare (Cloudflare WAF) для защиты вашей организации от атак, таких как распределенный отказ в обслуживании (DDoS), вредоносные боты, open Worldwide Application Security Project (OWASP) Top-10 безопасности и другие.

Необходимые компоненты

Для начала работы необходимы перечисленные ниже компоненты и данные.

  • клиент Внешняя идентификация Microsoft Entra
  • Microsoft Azure Front Door (AFD)
  • Учетная запись Cloudflare с WAF

Узнайте о клиентах и защите приложений для потребителей и клиентов с помощью Внешняя идентификация Microsoft Entra.

Описание сценария

  • Внешняя идентификация Microsoft Entra клиента — поставщик удостоверений (IdP) и сервер авторизации, который проверяет учетные данные пользователя с настраиваемыми политиками, определенными для клиента.
  • Azure Front Door — включает пользовательские домены URL-адресов для Внешняя идентификация Microsoft Entra. Трафик к пользовательским доменам URL-адресов проходит через Cloudflare WAF, а затем переходит в AFD, а затем в клиент Внешняя идентификация Microsoft Entra.
  • Cloudflare WAF — элементы управления безопасностью для защиты трафика на сервер авторизации.

Включение пользовательских доменов URL-адресов

Первым шагом является включение пользовательских доменов с AFD. Используйте инструкции, описанные в разделе "Включение пользовательских доменов URL-адресов для приложений во внешних клиентах (предварительная версия)".

Создание учетной записи Cloudflare

  1. Перейдите к Cloudflare.com/plans, чтобы создать учетную запись.
  2. Чтобы включить WAF, на вкладке "Службы приложений" выберите "Pro".

Настройка сервера доменных имен (DNS)

Включите WAF для домена.

  1. В консоли DNS для CNAME включите параметр прокси-сервера.

    Снимок экрана: параметры CNAME.

  2. В разделе DNS для состояния прокси-сервера выберите прокси-сервер.

  3. Состояние становится оранжевым.

    Снимок экрана: состояние прокси-адреса.

Элементы управления безопасностью Cloudflare

Для оптимальной защиты рекомендуется включить элементы управления безопасностью Cloudflare.

Защита от атак DDoS

  1. Перейдите на панель мониторинга Cloudflare.

  2. Разверните раздел "Безопасность".

  3. Выберите DDoS.

  4. Появится сообщение .

    Снимок экрана: сообщение защиты от атак DDoS.

Защита от ботов

  1. Перейдите на панель мониторинга Cloudflare.

  2. Разверните раздел "Безопасность".

  3. В разделе "Настройка режима борьбы с супер ботом" для определенного автоматического выбора выберите "Блокировать".

  4. Для вероятности автоматически выберите "Управляемый вызов".

  5. Для проверенных ботов нажмите кнопку "Разрешить".

    Снимок экрана: параметры защиты бота.

Правила брандмауэра: трафик из сети Tor

Рекомендуется блокировать трафик, исходящий из прокси-сети Tor, если ваша организация не должна поддерживать трафик.

Примечание.

Если вы не можете заблокировать трафик Tor, выберите "Интерактивная задача", а не "Блокировать".

Блокировать трафик из сети Tor

  1. Перейдите на панель мониторинга Cloudflare.

  2. Разверните раздел "Безопасность".

  3. Выберите WAF.

  4. Выберите Создать правило.

  5. В поле "Имя правила" введите соответствующее имя.

  6. Если входящие запросы совпадают, выберите "Континент".

  7. Для оператора выберите равные.

  8. Для параметра Value выберите Tor.

  9. Для этого нажмите кнопку "Блокировать".

  10. Для параметра "Место" нажмите кнопку "Сначала".

  11. Выберите Развернуть.

    Снимок экрана: диалоговое окно создания правила.

Примечание.

Вы можете добавить пользовательские HTML-страницы для посетителей.

Правила брандмауэра: трафик из стран или регионов

Мы рекомендуем строгие средства контроля безопасности для трафика из стран или регионов, где бизнес вряд ли произойдет, если ваша организация не имеет бизнес-причин для поддержки трафика из стран или регионов.

Примечание.

Если вы не можете заблокировать трафик из страны или региона, выберите "Интерактивная задача", а не "Блокировать".

Блокировать трафик из стран или регионов

Для следующих инструкций можно добавить пользовательские HTML-страницы для посетителей.

  1. Перейдите на панель мониторинга Cloudflare.

  2. Разверните раздел "Безопасность".

  3. Выберите WAF.

  4. Выберите Создать правило.

  5. В поле "Имя правила" введите соответствующее имя.

  6. Если входящие запросы совпадают, в поле выберите страну или континент.

  7. Для оператора выберите равные.

  8. Для параметра Value выберите страну или континент для блокировки.

  9. Для этого нажмите кнопку "Блокировать".

  10. Для параметра "Место" нажмите кнопку "Последний".

  11. Выберите Развернуть.

    Снимок экрана: поле имени в диалоговом окне создания правила.

OWASP и управляемые наборы правил

  1. Выберите управляемые правила.

  2. Для управляемого набора правил Cloudflare выберите "Включено".

  3. Для набора основных правил OWASP Cloudflare выберите "Включено".

    Снимок экрана: наборы правил.

Следующие шаги