Azure PaaS 云服務如何拒絕可疑 IP 的訪問

當客戶發(fā)布Azure PaaS云服務時，如果應用程序本身沒有做IP過濾，那么默認情況下，是允許所有IP訪問的。那假如發(fā)生來自可疑IP的惡意攻擊，有沒有好的解決方案來保護云服務？答案是有。

一句話描述該解決方案就是：將云服務添加到虛擬網(wǎng)絡(經(jīng)典)，使用網(wǎng)絡安全組篩選網(wǎng)絡流量。

具體操作步驟如下：

1.登錄Azure門戶，添加經(jīng)典虛擬網(wǎng)絡。

依次點擊“所有服務”->”虛擬網(wǎng)絡(經(jīng)典)“->“添加”，配置虛擬網(wǎng)絡

2.添加網(wǎng)絡安全組(經(jīng)典)，配置入站規(guī)則。

依次點擊“所有服務”->”網(wǎng)絡安全組(經(jīng)典)“->“添加”，輸入網(wǎng)絡安全組名稱，選擇資源組

添加完成后，在網(wǎng)絡安全組側邊欄中選擇”入站安全規(guī)則“，添加入站規(guī)則，在本示例中添加了允許80端口入站規(guī)則和禁止167.220.255.16 IP入站規(guī)則。

備注

注意網(wǎng)絡安全規(guī)則的優(yōu)先級。

3.在本地修改PaaS云服務配置文件。

在ServiceConfiguration.Cloud.cscfg中添加以下配置：

XML

復制

<NetworkConfiguration>

<VirtualNetworkSite name="Group<資源組名稱><經(jīng)典虛擬網(wǎng)絡名稱>"/>

<AddressAssignments>

<InstanceAddress roleName="<角色名稱>">

<Subnets>

<Subnet name="<子網(wǎng)名稱>"/>

</Subnets>

</InstanceAddress>

</AddressAssignments>

</NetworkConfiguration>

配置完成后，重新編譯打包，重新部署PaaS云服務。

備注

部署過程中如果遇到”無法在部署更新或升級過程中添加或移除虛擬網(wǎng)絡站點“錯誤，請刪除部署環(huán)境中已有的部署，重新上傳部署包。

4.為虛擬網(wǎng)絡子網(wǎng)添加網(wǎng)絡安全組。

上一步部署完成后，打開經(jīng)典虛擬網(wǎng)絡，查看子網(wǎng)資源，可以看到PaaS云服務已經(jīng)部署到虛擬網(wǎng)絡中

在編輯子網(wǎng)窗口，點擊網(wǎng)絡安全組，選擇之前添加的網(wǎng)絡安全組，點擊確定按鈕保存設置

保存成功后，配置的網(wǎng)絡訪問控制將馬上生效。

關于更多PaaS云服務的網(wǎng)絡訪問控制的設置，可參照官網(wǎng)說明：NetworkConfiguration Schema。