共用方式為


教學課程:使用 Microsoft Entra 外部 ID 設定 Cloudflare Web 應用程式防火牆

在本教學課程中,瞭解如何設定 Cloudflare Web 應用程式防火牆 (Cloudflare WAF) 以保護貴組織免受攻擊,例如分散式阻斷服務 (DDoS)、惡意 Bot、開放全球應用程式安全性專案 (OWASP) 前 10 名的安全性風險等等。

必要條件

若要開始,您需要:

瞭解租用戶和保護具有 Microsoft Entra 外部 ID的取用者和客戶的應用程式。

案例描述

  • Microsoft Entra 外部 ID 租使用者 – 識別提供者 (IdP) 和授權伺服器,會使用為租使用者定義的自定義原則來驗證用戶認證。
  • Azure Front Door – 啟用 Microsoft Entra 外部 ID 的自定義 URL 網域。 自定義 URL 網域的流量會通過 Cloudflare WAF,然後移至 AFD,然後移至 Microsoft Entra 外部 ID 租使用者。
  • Cloudflare WAF – 保護授權伺服器流量的安全性控制。

啟用自訂網址

第一個步驟是使用 AFD 啟用自訂網域。 使用 中的指示,為外部租使用者中的應用程式啟用自定義URL網域(預覽)。

建立 Cloudflare 帳戶

  1. 移至 Cloudflare.com/plans 以建立帳戶。
  2. 若要啟用 WAF,請在 [ 應用程式服務 ] 索引標籤上,選取 [ Pro]。

設定網域名稱伺服器 (DNS)

為網域啟用 WAF。

  1. 在 DNS 控制台中,針對 CNAME 啟用 Proxy 設定。

    CNAME 選項的螢幕快照。

  2. 在 [DNS] 底下,針對 [Proxy 狀態],選取 [Proxy]。

  3. 狀態會變成橙色。

    Proxied 狀態的螢幕快照。

Cloudflare 安全性控制

為了獲得最佳保護,建議您啟用 Cloudflare 安全性控制。

DDoS 保護

  1. 移至 Cloudflare 儀錶板

  2. 展開 [安全性] 區段。

  3. 選取 [DDoS]。

  4. 出現一則 訊息。

    DDoS 保護訊息的螢幕快照。

Bot 保護

  1. 移至 Cloudflare 儀錶板

  2. 展開 [安全性] 區段。

  3. 在 [設定超級 Bot 戰鬥模式] 底下,針對 [絕對自動化],選取 [封鎖]。

  4. 針對 [可能自動化],選取 [ 受控挑戰]。

  5. 針對 [已驗證的 Bot],選取 [ 允許]。

    Bot 保護選項的螢幕快照。

防火牆規則:來自 Tor 網路的流量

建議您封鎖源自 Tor Proxy 網路的流量,除非您的組織需要支援流量。

注意

如果您無法封鎖 Tor 流量,請選取 [互動式挑戰],而不是 [封鎖]。

封鎖來自 Tor 網路的流量

  1. 移至 Cloudflare 儀錶板

  2. 展開 [安全性] 區段。

  3. 選取 [WAF]。

  4. 請選取建立規則

  5. 針對 [ 規則名稱],輸入相關的名稱。

  6. 針對 [ 如果連入要求相符],針對 [字段],選取 [ 歐洲大陸]。

  7. 針對 [ 運算符],選取 [等於]。

  8. 針對 [ ],選取 [Tor]。

  9. 針對 [ 然後採取動作],選取 [ 封鎖]。

  10. 針對 [ 放置位置],選取 [ 第一個]。

  11. 選取 [部署]

    [建立規則] 對話框的螢幕快照。

注意

您可以為訪客新增自訂 HTML 頁面。

防火牆規則:來自國家或地區的流量

除非貴組織有商業理由支援來自所有國家或地區的流量,否則我們建議嚴格控制來自業務的國家/地區流量。

注意

如果您無法封鎖來自國家或地區的流量,請選取 [互動式挑戰],而非 [封鎖]。

封鎖來自國家或地區的流量

如需下列指示,您可以為訪客新增自定義 HTML 頁面。

  1. 移至 Cloudflare 儀錶板

  2. 展開 [安全性] 區段。

  3. 選取 [WAF]。

  4. 請選取建立規則

  5. 針對 [ 規則名稱],輸入相關的名稱。

  6. 針對 [如果連入要求相符],針對 [字段],選取 [國家/地區] 或 [歐洲大陸]。

  7. 針對 [ 運算符],選取 [等於]。

  8. 針對 [ ],選取要封鎖的國家/地區或大陸。

  9. 針對 [ 然後採取動作],選取 [ 封鎖]。

  10. 針對 [ 放置位置],選取 [上次]。

  11. 選取 [部署]

    [建立規則] 對話框上 [名稱] 字段的螢幕快照。

OWASP 和 Managed 規則集

  1. 選取 [ 受控規則]。

  2. 針對 [ Cloudflare 受控規則集],選取 [ 已啟用]。

  3. 針對 Cloudflare OWASP 核心規則集,選取 [ 已啟用]。

    規則集的螢幕快照。

下一步