教學課程:使用 Azure Web 應用程式防火牆設定 Azure Active Directory B2C
瞭解如何使用自訂網域為 Azure Active Directory B2C (Azure AD B2C) 租使用者啟用 Azure Web 應用程式防火牆 (WAF) 服務。 WAF 可保護 Web 應用程式免于常見的惡意探索和弱點。
注意
這項功能處於公開預覽狀態。
必要條件
若要開始,您需要:
- Azure 訂用帳戶
- 如果您沒有帳戶,請取得 Azure 免費帳戶
- Azure AD B2C 租 使用者 – 授權伺服器,使用租使用者中定義的自訂原則來驗證使用者認證
- 也稱為識別提供者 (IdP)
- 請參閱教學 課程:建立 Azure Active Directory B2C 租使用者
- Azure Front Door (AFD) – 為 Azure AD B2C 租使用者啟用自訂網域
- WAF – 管理傳送至授權伺服器的流量
Azure AD B2C 中的自訂網域
若要在 Azure AD B2C 中使用自訂網域,請使用 AFD 中的自訂網域功能。 請參閱 啟用 Azure AD B2C 的自訂網域。
重要
設定自訂網域之後,請參閱 測試您的自訂網域。
啟用 WAF
若要啟用 WAF,請設定 WAF 原則,並將其與 AFD 產生關聯以進行保護。
建立 WAF 原則
使用 Azure 管理的預設規則集建立 WAF 原則, (DRS) 。 請參閱Web 應用程式防火牆 DRS 規則群組和規則。
- 登入 Azure 入口網站。
- 選取 [建立資源]。
- 搜尋 Azure WAF。
- 選取[Azure Web 應用程式防火牆 (WAF) ]。
- 選取 [建立] 。
- 移至 [建立 WAF 原則 ] 頁面。
- 選取 [基本] 索引標籤。
- 針對 [原則],選取 [ 全域 WAF (Front Door) ]。
- 針對 Front Door SKU,請選取 [基本]、[ 標準] 或 [ 進階 SKU]。
- 針對 [ 訂用帳戶],選取您的 Front Door 訂用帳戶名稱。
- 針對 [資源群組],選取您的 Front Door 資源組名。
- 針對 [ 原則名稱],輸入 WAF 原則的唯一名稱。
- 針對 [ 原則狀態],選取 [ 已啟用]。
- 針對 [ 原則模式],選取 [ 偵測]。
- 選取 [檢閱 + 建立]。
- 移至 [建立 WAF 原則] 頁面的 [ 關聯 ] 索引標籤。
- 選取 [+ 建立 Front Door 設定檔的關聯]。
- 針對 Front Door,選取與 Azure AD B2C 自訂網域相關聯的 Front Door 名稱。
- 針對 [網域],選取要與 WAF 原則建立關聯的 Azure AD B2C 自訂網域。
- 選取 [新增]。
- 選取 [檢閱 + 建立]。
- 選取 [建立] 。
偵測和預防模式
當您建立 WAF 原則時,原則會處於偵測模式。 建議您不要停用偵測模式。 在此模式中,WAF 不會封鎖要求。 相反地,符合 WAF 規則的要求會記錄在 WAF 記錄中。
下列查詢顯示過去 24 小時內 WAF 原則封鎖的要求。 詳細資料包含規則名稱、要求資料、原則所採取的動作,以及原則模式。
檢閱 WAF 記錄檔,以判斷原則規則是否造成誤判。 然後,根據 WAF 記錄排除 WAF 規則。
切換模式
若要查看 WAF 作業,請選取 [ 切換至預防模式],這會將模式從 [偵測] 變更為 [預防]。 符合 DRS 中規則的要求會遭到封鎖,並記錄在 WAF 記錄中。
若要還原為偵測模式,請選取 [切換至偵測模式]。
