你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:为 Azure Active Directory B2C 配置 Azure Web 应用程序防火墙

了解如何使用自定义域为 Azure Active Directory B2C (Azure AD B2C) 租户启用 Azure Web 应用程序防火墙 (WAF) 服务。 WAF 可保护 Web 应用程序免受常见攻击和漏洞的侵害。

注意

此功能目前以公共预览版提供。

请参阅什么是 Azure Web 应用程序防火墙?

先决条件

要开始,需要:

Azure AD B2C 中的自定义域

若要在 Azure AD B2C 中使用自定义域,请使用 AFD 中的自定义域功能。 请参阅为 Azure AD B2C 启用自定义域

重要

配置自定义域后,请参阅测试自定义域

启用 WAF

若要启用 WAF,请配置 WAF 策略并将其与 AFD 关联以进行保护。

创建 WAF 策略

使用 Azure 托管的默认规则集 (DRS) 创建 WAF 策略。 请参阅 Web 应用程序防火墙 DRS 规则组和规则

  1. 登录 Azure 门户
  2. 选择“创建资源”。
  3. 搜索 Azure WAF。
  4. 选择“Azure Web 应用程序防火墙 (WAF)”。
  5. 选择“创建”。
  6. 转到“创建 WAF 策略”页。
  7. 选择“基本信息”选项卡。
  8. 对于“策略适用范围”,请选择“全局 WAF (Front Door)”。
  9. 对于 Front Door SKU,请在“基本”、“标准”或“高级”SKU 之间进行选择。
  10. 对于“订阅”,请选择 Front Door 订阅名称。
  11. 对于“资源组”,请选择 Front Door 资源组名称。
  12. 对于“策略名称”,请输入 WAF 策略的唯一名称。
  13. 对于“策略状态”,选择“已启用”。
  14. 对于“策略模式”,选择“检测”。
  15. 选择“查看 + 创建”。
  16. 转到“创建 WAF 策略”页的“关联”选项卡。
  17. 选择“+ 关联 Front Door 配置文件”。
  18. 对于 Front Door,请选择与 Azure AD B2C 自定义域关联的 Front Door 名称。
  19. 对于“”,请选择要将 WAF 策略关联到的 Azure AD B2C 自定义域。
  20. 选择 添加
  21. 选择“查看 + 创建”。
  22. 选择“创建”。

检测和防护模式

创建 WAF 策略时,该策略处于检测模式。 建议不要禁用检测模式。 在这种模式下,WAF 不会阻止请求。 相反,与 WAF 规则匹配的请求将记录在 WAF 日志中。

了解详细信息:Azure Web 应用程序防火墙监视和日志记录

以下查询显示了过去 24 小时内 WAF 策略阻止的请求。 详细信息包括规则名称、请求数据、策略采取的操作以及策略模式。

屏幕截图显示阻止的请求。

屏幕截图显示阻止的请求详细信息,例如规则 ID、操作、模式等。

查看 WAF 日志以确定策略规则是否会导致误报。 然后,根据 WAF 日志排除 WAF 规则。

了解详细信息:基于 Web 应用程序防火墙日志定义排除规则

切换模式

若要查看 WAF 的运行情况,请选择“切换到防护模式”,这会将模式从“检测”更改为“防护”。 与 DRS 中的规则匹配的请求将被阻止并记录在 WAF 日志中。

屏幕截图显示“Web 应用程序防火墙”策略下 DefaultRuleSet 的选项和选择。

若要还原到检测模式,请选择“切换到检测模式”。

屏幕截图显示切换到检测模式的 DefaultRuleSet。

后续步骤