Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Od 1 maja 2025 r. usługa Azure AD B2C nie będzie już dostępna do zakupu dla nowych klientów. Dowiedz się więcej w naszych często zadawanych pytaniach.
Dowiedz się, jak włączyć usługę Azure Web Application Firewall (WAF) dla dzierżawy usługi Azure Active Directory B2C (Azure AD B2C) z domeną niestandardową. Zapora aplikacji internetowych chroni aplikacje internetowe przed typowymi exploitami i podatnościami, takimi jak cross-site scripting, ataki DDoS i złośliwe działanie botów.
Zobacz Co to jest usługa Azure Web Application Firewall?
Wymagania wstępne
Aby rozpocząć pracę, potrzebne są następujące elementy:
- Subskrypcja platformy Azure
- Jeśli go nie masz, uzyskaj bezpłatne konto platformy Azure
-
Instancja usługi Azure AD B2C — serwer autoryzacji, który weryfikuje poświadczenia użytkownika przy użyciu zasad niestandardowych zdefiniowanych w instancji
- Znany również jako dostawca tożsamości (IdP)
- Zobacz Samouczek: Utwórz dzierżawcę usługi Azure Active Directory B2C
- Azure Front Door premium — umożliwia domeny niestandardowe dla dzierżawy usługi Azure AD B2C i jest zoptymalizowane pod względem bezpieczeństwa z dostępem do zestawów reguł zarządzanych przez zaporę aplikacji internetowej (WAF)
-
WAF — zarządza ruchem wysyłanym do serwera autoryzacji
- Zapora aplikacji internetowej platformy Azure (wymaga SKU w wersji Premium)
Domeny niestandardowe w usłudze Azure AD B2C
Aby używać domen niestandardowych w usłudze Azure AD B2C, użyj niestandardowych funkcji domeny w usłudze Azure Front Door. Zobacz Włączanie domen niestandardowych dla usługi Azure AD B2C.
Ważne
Po skonfigurowaniu domeny niestandardowej zobacz Testowanie domeny niestandardowej.
Włącz WAF
Aby włączyć WAF, skonfiguruj zasady WAF i połącz je z usługą Azure Front Door Premium w celu ochrony. Usługa Azure Front Door Premium jest zoptymalizowana pod kątem zabezpieczeń i zapewnia dostęp do zestawów reguł zarządzanych przez platformę Azure, które chronią przed typowymi lukami w zabezpieczeniach i programami wykorzystującymi luki w zabezpieczeniach, w tym skryptami między witrynami i programami wykorzystującymi język Java. Zapora WAF udostępnia zestawy reguł, które pomagają chronić przed złośliwą działalnością botów. WAF oferuje ochronę przed atakami DDoS warstwy 7 dla Twojej aplikacji.
Tworzenie polityki WAF
Tworzenie zasad zapory aplikacji internetowej przy użyciu domyślnego zestawu reguł zarządzanych przez platformę Azure (DRS). Zobacz grupy reguł i reguły zapory sieciowej aplikacji webowej DRS.
- Zaloguj się do witryny Azure Portal.
- Wybierz pozycję Utwórz zasób.
- Wyszukaj usługę Azure WAF.
- Wybierz zapory aplikacji internetowej (WAF) usługi Azure z firmy Microsoft.
- Wybierz Utwórz.
- Przejdź do strony Tworzenie zasad WAF.
- Wybierz kartę Podstawowe.
- Dla Polityki wybierz Globalny WAF (Front Door).
- Dla SKU Front Door wybierz SKU Premium.
- W subskrypcji wybierz nazwę subskrypcji w usłudze Front Door.
- W obszarze Grupa zasobówwybierz nazwę grupy zasobów usługi Front Door.
- Dla nazwa zasad, wprowadź unikatową nazwę dla swojej polityki WAF.
- Dla stanu zasad wybierz pozycję Włączone.
- Wybierz opcję Wykrywaniedla trybu zasad .
- Przejdź do karty Skojarzenie na stronie Tworzenie zasad zapory aplikacji internetowej.
- Wybierz i skojarz profil Front Door.
- W polu Front Door wybierz nazwę usługi Front Door skojarzoną z domeną niestandardową usługi Azure AD B2C.
- W obszarze Domeny wybierz domeny niestandardowe usługi Azure AD B2C, aby skojarzyć zasady zapory aplikacji internetowej z.
- Wybierz Dodaj.
- Wybierz opcję Recenzja i utwórz.
- Wybierz Utwórz.
Domyślny zestaw reguł
Podczas tworzenia nowych zasad zapory aplikacji internetowej dla usługi Azure Front Door jest ona automatycznie wdrażana przy użyciu najnowszej wersji domyślnego zestawu reguł zarządzanych przez platformę Azure (DRS). Ten zestaw reguł chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i programami wykorzystującymi luki w zabezpieczeniach. Zestawy reguł zarządzanych przez platformę Azure umożliwiają łatwe wdrażanie ochrony przed typowym zestawem zagrożeń bezpieczeństwa. Ponieważ platforma Azure zarządza tymi zestawami reguł, reguły są aktualizowane zgodnie z potrzebami w celu ochrony przed nowymi sygnaturami ataków. Usługa DRS zawiera reguły zbierania danych analizy zagrożeń firmy Microsoft, które są napisane we współpracy z zespołem analizy firmy Microsoft w celu zapewnienia zwiększonego pokrycia, poprawek dla określonych luk w zabezpieczeniach i lepszej fałszywie dodatniej redukcji.
Dowiedz się więcej: Grupy reguł i reguły odzyskiwania po awarii zapory aplikacji internetowej platformy Azure
Zestaw reguł usługi Bot Manager
Domyślnie zapora aplikacji internetowej usługi Azure Front Door jest wdrażana przy użyciu najnowszej wersji zestawu reguł usługi Bot Manager zarządzanego przez platformę Azure. Ten zestaw reguł kategoryzuje ruch bota na dobre, złe i nieznane boty. Sygnatury botów tego zestawu reguł są zarządzane przez platformę WAF i aktualizowane dynamicznie.
Dowiedz się więcej: Co to jest usługa Azure Web Application Firewall w usłudze Azure Front Door?
Ograniczanie szybkości
Ograniczanie szybkości umożliwia wykrywanie i blokowanie nietypowo wysokiego poziomu ruchu z dowolnego adresu IP gniazda. Korzystając z zapory aplikacji internetowej platformy Azure w usłudze Azure Front Door, można ograniczyć niektóre typy ataków typu odmowy usługi. Ograniczanie szybkości chroni klientów, którzy zostali przypadkowo nieprawidłowo skonfigurowani w celu wysyłania dużych ilości żądań w krótkim czasie. Limitowanie szybkości należy skonfigurować ręcznie w zaporze sieci web przy użyciu reguł niestandardowych.
Więcej informacji:
- Ograniczanie szybkości zapory aplikacji internetowej dla usługi Azure Front Door
- Konfiguracja reguły ograniczania szybkości dla zapory aplikacji internetowej (WAF) usługi Azure Front Door
Tryby wykrywania i zapobiegania
Podczas tworzenia polityki WAF zasady rozpoczynają się w trybie wykrywania. Zalecamy pozostawienie zasad zapory aplikacji internetowej w trybie wykrywania podczas dostrajania zapory aplikacji internetowej dla ruchu. W tym trybie WAF nie blokuje żądań. Zamiast tego żądania zgodne z regułami zapory aplikacji internetowej są rejestrowane przez zaporę aplikacji internetowej po włączeniu rejestrowania.
Włączanie rejestrowania: monitorowanie i rejestrowanie usługi Azure Web Application Firewall
Po włączeniu rejestrowania zapora aplikacji internetowej zacznie odbierać ruch żądań, możesz rozpocząć dostrajanie zapory aplikacji internetowej, przeglądając dzienniki.
Dowiedz się więcej: Dostosowywanie usługi Azure Web Application Firewall dla usługi Azure Front Door
Poniższe zapytanie pokazuje żądania zablokowane przez politykę WAF w ciągu ostatnich 24 godzin. Szczegóły obejmują, nazwę reguły, dane żądania, akcję podjętą według zasad i tryb polityki.
AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s
| Identyfikator reguły | Szczegóły wiadomości | Akcja | Tryb | Szczegółowe Dane |
|---|---|---|---|---|
| DefaultRuleSet-1.0-SQLI-942430 | Wykrywanie anomalii ograniczonego znaku SQL (args): liczba znaków specjalnych przekroczyła (12) | Blok | wykrywanie | Dopasowane dane: CfDJ8KQ8bY6D |
Przejrzyj dzienniki zapory aplikacji internetowej, aby określić, czy reguły zasad powodują fałszywie dodatnie wyniki. Następnie wyklucz reguły zapory aplikacji internetowej na podstawie dzienników zapory aplikacji internetowej.
Dowiedz się więcej
- Konfigurowanie list wykluczeń zapory aplikacji dla usługi Azure Front Door
- Listy wykluczeń zapory aplikacji internetowej w usłudze Azure Front Door
Po skonfigurowaniu rejestrowania i otrzymaniu ruchu przez zaporę aplikacji internetowej możesz ocenić skuteczność reguł menedżera botów w obsłudze ruchu bota. Poniższe zapytanie przedstawia akcje wykonywane przez zestaw reguł menedżera botów podzielone na kategorie według typu bota. W trybie wykrywania zapora aplikacji internetowej rejestruje tylko akcje ruchu bota. Jednak po przełączeniu się do trybu zapobiegania zapora aplikacji internetowej zaczyna aktywnie blokować niepożądany ruch bota.
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked
Tryby przełączania
Aby zobaczyć działanie WAF na ruch żądań, wybierz Przełącz do trybu zapobiegania na stronie Przegląd, co zmieni tryb z Wykrywania na Zapobieganie. Żądania zgodne z regułami w DRS są blokowane i zapisywane w dziennikach zapory sieciowej. Zapora Aplikacji Internetowej (WAF) podejmuje zalecane działanie, gdy żądanie pasuje do jednej lub więcej reguł w systemie DRS i rejestruje wyniki. Domyślnie usługa DRS jest ustawiona na tryb oceniania anomalii. Oznacza to, że zapora aplikacji internetowej nie podejmuje żadnych działań w odpowiedzi na dane żądanie, chyba że zostanie przekroczony próg wyniku oceny anomalii.
Dowiedz się więcej: Ocena anomalii grupy reguł i reguły zapory aplikacji webowej Azure DRS
Aby przywrócić tryb wykrywania, wybierz pozycję Przełącz do trybu wykrywania na stronie Przegląd.