你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:为 Azure Active Directory B2C 配置 Azure Web 应用程序防火墙
了解如何使用自定义域为 Azure Active Directory B2C (Azure AD B2C) 租户启用 Azure Web 应用程序防火墙 (WAF) 服务。 WAF 可保护 Web 应用程序免受常见攻击和漏洞的侵害。
注意
此功能目前以公共预览版提供。
先决条件
要开始,需要:
- Azure 订阅
- 如果没有,获取一个 Azure 免费帐户
- Azure AD B2C 租户 - 使用租户中定义的自定义策略来验证用户凭据的授权服务器
- 也称为标识提供者 (IdP)
- 请参阅教程:创建 Azure Active Directory B2C 租户
- Azure Front Door (AFD) – 为 Azure AD B2C 租户启用自定义域
- WAF - 管理发送到授权服务器的流量
Azure AD B2C 中的自定义域
若要在 Azure AD B2C 中使用自定义域,请使用 AFD 中的自定义域功能。 请参阅为 Azure AD B2C 启用自定义域。
重要
配置自定义域后,请参阅测试自定义域。
启用 WAF
若要启用 WAF,请配置 WAF 策略并将其与 AFD 关联以进行保护。
创建 WAF 策略
使用 Azure 托管的默认规则集 (DRS) 创建 WAF 策略。 请参阅 Web 应用程序防火墙 DRS 规则组和规则。
- 登录 Azure 门户。
- 选择“创建资源”。
- 搜索 Azure WAF。
- 选择“Azure Web 应用程序防火墙 (WAF)”。
- 选择“创建”。
- 转到“创建 WAF 策略”页。
- 选择“基本信息”选项卡。
- 对于“策略适用范围”,请选择“全局 WAF (Front Door)”。
- 对于 Front Door SKU,请在“基本”、“标准”或“高级”SKU 之间进行选择。
- 对于“订阅”,请选择 Front Door 订阅名称。
- 对于“资源组”,请选择 Front Door 资源组名称。
- 对于“策略名称”,请输入 WAF 策略的唯一名称。
- 对于“策略状态”,选择“已启用”。
- 对于“策略模式”,选择“检测”。
- 选择“查看 + 创建”。
- 转到“创建 WAF 策略”页的“关联”选项卡。
- 选择“+ 关联 Front Door 配置文件”。
- 对于 Front Door,请选择与 Azure AD B2C 自定义域关联的 Front Door 名称。
- 对于“域”,请选择要将 WAF 策略关联到的 Azure AD B2C 自定义域。
- 选择 添加 。
- 选择“查看 + 创建”。
- 选择“创建”。
检测和防护模式
创建 WAF 策略时,该策略处于检测模式。 建议不要禁用检测模式。 在这种模式下,WAF 不会阻止请求。 相反,与 WAF 规则匹配的请求将记录在 WAF 日志中。
了解详细信息:Azure Web 应用程序防火墙监视和日志记录
以下查询显示了过去 24 小时内 WAF 策略阻止的请求。 详细信息包括规则名称、请求数据、策略采取的操作以及策略模式。
查看 WAF 日志以确定策略规则是否会导致误报。 然后,根据 WAF 日志排除 WAF 规则。
了解详细信息:基于 Web 应用程序防火墙日志定义排除规则
切换模式
若要查看 WAF 的运行情况,请选择“切换到防护模式”,这会将模式从“检测”更改为“防护”。 与 DRS 中的规则匹配的请求将被阻止并记录在 WAF 日志中。
若要还原到检测模式,请选择“切换到检测模式”。
