教學課程:使用 Microsoft Entra 外部 ID 設定 Cloudflare Web 應用程式防火牆
在本教學課程中,瞭解如何設定 Cloudflare Web 應用程式防火牆 (Cloudflare WAF) 以保護貴組織免受攻擊,例如分散式阻斷服務 (DDoS)、惡意 Bot、開放全球應用程式安全性專案 (OWASP) 前 10 名的安全性風險等等。
必要條件
若要開始,您需要:
- Microsoft Entra 外部 ID 租使用者
- Microsoft Azure Front Door (AFD)
- 使用 WAF 的 Cloudflare 帳戶
瞭解租用戶和保護具有 Microsoft Entra 外部 ID的取用者和客戶的應用程式。
案例描述
- Microsoft Entra 外部 ID 租使用者 – 識別提供者 (IdP) 和授權伺服器,會使用為租使用者定義的自定義原則來驗證用戶認證。
- Azure Front Door – 啟用 Microsoft Entra 外部 ID 的自定義 URL 網域。 自定義 URL 網域的流量會通過 Cloudflare WAF,然後移至 AFD,然後移至 Microsoft Entra 外部 ID 租使用者。
- Cloudflare WAF – 保護授權伺服器流量的安全性控制。
啟用自訂網址
第一個步驟是使用 AFD 啟用自訂網域。 使用 中的指示,為外部租使用者中的應用程式啟用自定義URL網域(預覽)。
建立 Cloudflare 帳戶
- 移至 Cloudflare.com/plans 以建立帳戶。
- 若要啟用 WAF,請在 [ 應用程式服務 ] 索引標籤上,選取 [ Pro]。
設定網域名稱伺服器 (DNS)
為網域啟用 WAF。
Cloudflare 安全性控制
為了獲得最佳保護,建議您啟用 Cloudflare 安全性控制。
DDoS 保護
移至 Cloudflare 儀錶板。
展開 [安全性] 區段。
選取 [DDoS]。
出現一則 訊息。
Bot 保護
移至 Cloudflare 儀錶板。
展開 [安全性] 區段。
在 [設定超級 Bot 戰鬥模式] 底下,針對 [絕對自動化],選取 [封鎖]。
針對 [可能自動化],選取 [ 受控挑戰]。
針對 [已驗證的 Bot],選取 [ 允許]。
防火牆規則:來自 Tor 網路的流量
建議您封鎖源自 Tor Proxy 網路的流量,除非您的組織需要支援流量。
注意
如果您無法封鎖 Tor 流量,請選取 [互動式挑戰],而不是 [封鎖]。
封鎖來自 Tor 網路的流量
移至 Cloudflare 儀錶板。
展開 [安全性] 區段。
選取 [WAF]。
請選取建立規則。
針對 [ 規則名稱],輸入相關的名稱。
針對 [ 如果連入要求相符],針對 [字段],選取 [ 歐洲大陸]。
針對 [ 運算符],選取 [等於]。
針對 [ 值],選取 [Tor]。
針對 [ 然後採取動作],選取 [ 封鎖]。
針對 [ 放置位置],選取 [ 第一個]。
選取 [部署]。
注意
您可以為訪客新增自訂 HTML 頁面。
防火牆規則:來自國家或地區的流量
除非貴組織有商業理由支援來自所有國家或地區的流量,否則我們建議嚴格控制來自業務的國家/地區流量。
注意
如果您無法封鎖來自國家或地區的流量,請選取 [互動式挑戰],而非 [封鎖]。
封鎖來自國家或地區的流量
如需下列指示,您可以為訪客新增自定義 HTML 頁面。
移至 Cloudflare 儀錶板。
展開 [安全性] 區段。
選取 [WAF]。
請選取建立規則。
針對 [ 規則名稱],輸入相關的名稱。
針對 [如果連入要求相符],針對 [字段],選取 [國家/地區] 或 [歐洲大陸]。
針對 [ 運算符],選取 [等於]。
針對 [ 值],選取要封鎖的國家/地區或大陸。
針對 [ 然後採取動作],選取 [ 封鎖]。
針對 [ 放置位置],選取 [上次]。
選取 [部署]。