新的 SKU Front Door Premium 提供更多建議的方法來通過專用終結(jié)點鎖定應(yīng)用程序��。
若要將應(yīng)用程序鎖定為僅接受來自特定 Front Door 的流量����,需要為后端設(shè)置 IP ACL,然后將后端的流量限制為 Front Door 發(fā)送的頭“X-Azure-FDID”的特定值�。 下面詳細說明了這些步驟:
為后端配置 IP ACL����,以僅接受來自 Azure Front Door 后端 IP 地址空間和 Azure 基礎(chǔ)結(jié)構(gòu)服務(wù)的流量。 有關(guān)為后端配置 ACL 的信息�����,請參閱以下 IP 詳細信息:
警告
Front Door 的后端 IP 空間今后可能會更改����,但在此之前,我們會確保與 Azure IP 范圍和服務(wù)標記相集成��。 我們建議你訂閱 Azure IP 范圍和服務(wù)標記�����,以隨時了解任何更改或更新。
有關(guān) Front Door 的后端 IP 地址范圍�,請參閱 Azure IP 范圍和服務(wù)標記中的 AzureFrontDoor.Backend 部分,或者也可以使用網(wǎng)絡(luò)安全組中的服務(wù)標記 AzureFrontDoor.Backend��。
通過虛擬化主機 IP 地址 168.63.129.16 和 169.254.169.254 配置 Azure 的基本基礎(chǔ)結(jié)構(gòu)服務(wù)
在 Front Door 門戶頁的“概述”部分下查找 Front Door ID 值����。 然后,可以使用該值對 Front Door 發(fā)送到后端的傳入頭“X-Azure-FDID”進行篩選����,以確保只允許你自己的特定 Front Door 實例(因為上面的 IP 范圍與其他客戶的其他 Front Door 實例共享)。
在后端 Web 服務(wù)器中應(yīng)用規(guī)則篩選��,以基于生成的“X-Azure-FDID”頭值限制流量�。 請注意,有些服務(wù)(如 Azure 應(yīng)用服務(wù))提供了基于此頭的篩選功能�����,而無需更改應(yīng)用程序或主機�。
下面是 Microsoft Internet Information Services (IIS) 的示例:
XML復(fù)制
<?xml version="1.0" encoding="UTF-8"?><configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
<match url="*" />
<conditions>
<add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
</conditions>
<action type="AbortRequest" />
</rule>
</rules>
</rewrite>
</system.webServer></configuration>Azure Front Door 還支持 AzureFrontDoor.Frontend 服務(wù)標記,該標記提供客戶端在連接到 Front Door 時使用的 IP 地址的列表�����。 在你控制應(yīng)該被允許連接到部署在 Azure Front Door 之后的服務(wù)的出站流量時,可使用 AzureFrontDoor.Frontend 服務(wù)標記��。 Azure Front Door 還支持使用額外的服務(wù)標記 AzureFrontDoor.FirstParty 與其他 Azure 服務(wù)進行內(nèi)部集成���。 有關(guān) Azure Front Door 服務(wù)標記用例的更多詳細信息�����,請參閱可用服務(wù)標記�����。
如果使用應(yīng)用程序網(wǎng)關(guān)作為 Azure Front Door 的后端,則可以通過自定義 WAF 規(guī)則在 X-Azure-FDID 標頭上進行檢查�����。
張姝欣
閩公網(wǎng)安備 35010202001226號
