本文介绍如何配置 Cloudflare Web 应用程序防火墙(Cloudflare WAF),以保护组织免受攻击,例如分布式拒绝服务(DDoS)、恶意机器人、开放全球应用程序安全项目 (OWASP)前 10 个 安全风险等。
先决条件
要开始,需要:
- Microsoft Entra 外部 ID 租户
- Microsoft Azure Front Door (AFD)
- 使用 WAF 的 Cloudflare 帐户
了解租户以及如何使用 Microsoft Entra 外部 ID 来保护面向消费者和客户的应用程序。
方案描述
- Microsoft Entra 外部 ID 租户 – 标识提供者(IdP)和授权服务器,该服务器使用为租户定义的自定义策略来验证用户凭据。
- Azure Front Door – 为 Microsoft Entra 外部 ID 启用自定义 URL 域。 到自定义 URL 域的流量通过 Cloudflare WAF,然后转到 AFD,然后转到 Microsoft Entra 外部 ID 租户。
- Cloudflare WAF – 保护发到授权服务器的流量的安全控制。
启用自定义 URL 域
第一步是使用 AFD 启用自定义域。 请使用启用外部租户中应用的自定义 URL 域中的说明。
创建 Cloudflare 帐户
- 转到 Cloudflare.com/plans 创建帐户。
- 若要启用 WAF,请在 “应用程序服务 ”选项卡上选择“ Pro”。
配置域名服务器 (DNS)
为域启用 WAF。
在 DNS 控制台中,对于 CNAME,启用代理设置。
在 DNS 下,对于 代理状态,选择 “代理”。
状态变为橙色。
Cloudflare 安全控制
为了获得最佳保护,建议启用 Cloudflare 安全控制。
DDOS 保护
转到 Cloudflare 仪表板。
展开“安全性”部分。
选择 DDoS。
此时将显示消息 。
机器人防护
转到 Cloudflare 仪表板。
展开“安全性”部分。
在配置超级机器人战斗模式下,对于绝对自动,选择阻止。
对于 可能自动化,请选择 “托管质询”。
对于 已验证的机器人,请选择 “允许”。
防火墙规则:来自 Tor 网络的流量
建议阻止源自 Tor 代理网络的流量,除非组织需要支持流量。
注意
如果无法阻止 Tor 流量,请选择“交互式质询”,而不是“阻止”。
阻止来自 Tor 网络的流量
转到 Cloudflare 仪表板。
展开“安全性”部分。
选择 WAF。
选择“创建规则”。
对于 规则名称,请输入相关名称。
对于 传入请求匹配,对于 字段,请选择 大陆。
对于 运算符,请选择 等于。
对于值,请选择Tor。
对于然后采取行动,请选择阻止。
对于“位置”,请选择“第一”。
选择“部署”。
注意
可以为访问者添加自定义 HTML 页面。
防火墙规则:来自国家或地区的流量
我们建议对业务不太可能发生的国家或地区的流量进行严格的安全控制,除非你的组织有业务理由支持来自所有国家或地区的流量。
注意
如果无法拦截来自某个国家或地区的流量,请选择交互式质询,而不是拦截。
阻止来自国家或地区的流量
对于以下说明,可以为访问者添加自定义 HTML 页面。
转到 Cloudflare 仪表板。
展开“安全性”部分。
选择 WAF。
选择“创建规则”。
对于 规则名称,请输入相关名称。
对于传入请求匹配,对于字段,请选择国家/地区或大陆。
对于 运算符,请选择 等于。
对于 值,请选择要阻止的国家或大陆。
对于然后采取行动,请选择阻止。
对于“位置”,选择最后。
选择“部署”。
OWASP 和托管规则集
选择 托管规则。
对于 Cloudflare 托管规则集,请选择“ 已启用”。
对于 Cloudflare OWASP 核心规则集,请选择“ 已启用”。
