Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para la compra por parte de nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.
Obtenga información sobre cómo habilitar el servicio Azure Web Application Firewall (WAF) para un inquilino de Azure Active Directory B2C (Azure AD B2C) con un dominio personalizado. WAF protege las aplicaciones web de vulnerabilidades y exploits comunes, como secuencias de comandos entre sitios, ataques DDoS y actividad de bots maliciosos.
Consulte ¿Qué es Azure Web Application Firewall?
Prerrequisitos
Para empezar, necesita lo siguiente:
- Una suscripción de Azure
- Si no tiene una, obtenga una cuenta gratuita de Azure.
-
Un inquilino de Azure AD B2C : servidor de autorización que comprueba las credenciales de usuario mediante directivas personalizadas definidas en el inquilino
- También conocido como proveedor de identidades (IdP)
- Consulte Tutorial: Creación de un inquilino de Azure Active Directory B2C
- Azure Front Door Premium : habilita dominios personalizados para el inquilino de Azure AD B2C y está optimizado para la seguridad con acceso a conjuntos de reglas administrados de WAF
-
WAF : administra el tráfico enviado al servidor de autorización
- Azure Web Application Firewall (requiere SKU Premium)
Dominios personalizados en Azure AD B2C
Para usar dominios personalizados en Azure AD B2C, use las características de dominio personalizado en Azure Front Door. Consulte Habilitación de dominios personalizados para Azure AD B2C.
Importante
Después de configurar el dominio personalizado, consulte Probar el dominio personalizado.
Habilitación de WAF
Para habilitar WAF, configure una directiva de WAF y asóciala a Azure Front Door Premium para la protección. Azure Front Door Premium viene optimizado para la seguridad y proporciona acceso a conjuntos de reglas administrados por Azure que protegen contra vulnerabilidades y vulnerabilidades comunes, incluidas las secuencias de comandos entre sitios y las vulnerabilidades de Java. El WAF proporciona conjuntos de reglas que ayudan a protegerse contra la actividad de bots malintencionados. El WAF le ofrece protección DDoS de capa 7 para su aplicación.
Creación de una directiva WAF
Cree una directiva de WAF con un conjunto de reglas predeterminadas (DRS) administrado por Azure. Consulte Reglas y grupos de reglas de DRS de Web Application Firewall.
- Inicie sesión en Azure Portal.
- Seleccione Crear un recurso.
- Busque Azure WAF.
- Seleccione Azure Service Web Application Firewall (WAF) de Microsoft.
- Selecciona Crear.
- Vaya a la página Crear una política de WAF .
- Seleccione la pestaña Datos básicos.
- En Directiva para, seleccione WAF global (Front Door).
- Para la Front Door SKU, seleccione la SKU Premium.
- En Suscripción, seleccione el nombre de la suscripción a Front Door.
- Para el grupo de recursos , seleccione el nombre del grupo de recursos de Front Door.
- En Nombre de la directiva, escriba un nombre único para la directiva WAF.
- En Estado de la directiva, seleccione Habilitado.
- En Modo de directiva, seleccione Detección.
- Vaya a la pestaña Asociación de la página Crear una política de WAF.
- Seleccione + Asociar un perfil de Front Door.
- En Front Door, seleccione el nombre de Front Door asociado al dominio personalizado de Azure AD B2C.
- En Dominios, seleccione los dominios personalizados de Azure AD B2C a los que asociar la directiva de WAF.
- Selecciona Agregar.
- Selecciona Revisar + crear.
- Selecciona Crear.
Conjunto de reglas predeterminado
Al crear una nueva directiva de WAF para Azure Front Door, se implementa automáticamente con la versión más reciente del conjunto de reglas predeterminadas (DRS) administrado por Azure. Este conjunto de reglas protege las aplicaciones web de vulnerabilidades y exploits comunes. Los conjuntos de reglas administrados por Azure proporcionan una forma fácil de implementar la protección frente a un conjunto común de amenazas de seguridad. Dado que Azure administra los conjuntos de reglas, las reglas se actualizan según sea necesario para proteger frente a firmas de ataque nuevas. El DRS incluye las reglas de recopilación de inteligencia sobre amenazas de Microsoft que se escriben en asociación con el equipo de inteligencia de Microsoft para proporcionar una mayor cobertura, parches para vulnerabilidades específicas y una mejor reducción de falsos positivos.
Más información: Reglas y grupos de reglas de DRS de Azure Web Application Firewall
Conjunto de reglas de Bot Manager
De forma predeterminada, el WAF de Azure Front Door se implementa con la versión más reciente del conjunto de reglas de Bot Manager administrado por Azure. Este conjunto de reglas clasifica el tráfico de bots en bots buenos, malos y desconocidos. Las firmas de bot detrás de este conjunto de reglas son administradas por la plataforma WAF y se actualizan dinámicamente.
Más información: ¿Qué es Azure Web Application Firewall en Azure Front Door?
Limitación de velocidad
La limitación de velocidad le permite detectar y bloquear niveles anormalmente altos de tráfico desde cualquier dirección IP del socket. Mediante el uso de Azure WAF en Azure Front Door, puede mitigar algunos tipos de ataques de denegación de servicio. La limitación de velocidad lo protege contra clientes que se configuraron incorrectamente accidentalmente para enviar grandes volúmenes de solicitudes en un corto período de tiempo. La limitación de velocidad debe configurarse manualmente en el WAF mediante reglas personalizadas.
Aprende más:
- Limitación de velocidad del firewall de aplicaciones web para Azure Front Door
- Configuración de una regla de límite de frecuencia de WAF para Azure Front Door
Modos de detección y prevención
Al crear una política de WAF, la política se inicia en modo de detección. Se recomienda dejar la directiva WAF en Modo de detección mientras ajusta el WAF para el tráfico. En este modo, WAF no bloquea las solicitudes. En su lugar, el WAF registra las solicitudes que coinciden con las reglas de WAF una vez que se habilita el registro.
Habilitación del registro: Supervisión y registro de Azure Web Application Firewall
Una vez que el registro esté habilitado y su WAF comience a recibir tráfico de solicitud, puede comenzar a ajustar su WAF examinando sus registros.
Más información: Ajuste de Azure Web Application Firewall para Azure Front Door
En la siguiente consulta se muestran las solicitudes bloqueadas por la política de WAF en las últimas 24 horas. Los detalles incluyen el nombre de la regla, los datos de la solicitud, la acción realizada por la política y el modo de política.
AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s
| RuleID | DetailMsg | Acción | Mode | DetailData (Datos detallados) |
|---|---|---|---|---|
| DefaultRuleSet-1.0-SQLI-942430 | Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12) | Block | detección | Datos coincidentes: CfDJ8KQ8bY6D |
Revisa los registros del WAF para determinar si las reglas de política provocan falsos positivos. A continuación, excluya las reglas de WAF basadas en los registros de WAF.
Aprende más
- Configuración de listas de exclusión de WAF para Azure Front Door
- Listas de exclusión de firewall de aplicaciones web en Azure Front Door
Una vez que se configura el registro y el WAF recibe tráfico, puede evaluar la eficacia de las reglas del administrador de bots en el manejo del tráfico de bots. En la siguiente consulta se muestran las acciones realizadas por el conjunto de reglas del administrador de bots, clasificadas por tipo de bot. Mientras está en modo de detección, el WAF solo registra las acciones de tráfico de bots. Sin embargo, una vez que se cambia al modo de prevención, el WAF comienza a bloquear activamente el tráfico de bots no deseado.
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked
Cambio de modos
Para ver que WAF toma medidas en el tráfico de solicitudes, seleccione Cambiar al modo de prevención en la página Información general, que cambia el modo de Detección a Prevención. Las solicitudes que coinciden con las reglas del DRS se bloquean y se registran en los registros de WAF. El WAF realiza la acción prescrita cuando una solicitud coincide con una o más reglas en el DRS y registra los resultados. De forma predeterminada, el DRS se establece en el modo de puntuación de anomalías; esto significa que el WAF no realiza ninguna acción en una solicitud a menos que se cumpla el umbral de puntuación de anomalías.
Más información: Puntuación de anomalías Reglas y grupos de reglas de DRS de Azure Web Application Firewall
Para volver al modo de detección, seleccione Cambiar al modo de detección en la página Información general.