Azure PaaS 云服務(wù)如何拒絕可疑 IP 的訪問

當(dāng)客戶發(fā)布Azure PaaS云服務(wù)時，如果應(yīng)用程序本身沒有做IP過濾，那么默認(rèn)情況下，是允許所有IP訪問的。那假如發(fā)生來自可疑IP的惡意攻擊，有沒有好的解決方案來保護(hù)云服務(wù)？答案是有。

一句話描述該解決方案就是：將云服務(wù)添加到虛擬網(wǎng)絡(luò)(經(jīng)典)，使用網(wǎng)絡(luò)安全組篩選網(wǎng)絡(luò)流量。

具體操作步驟如下：

1.登錄Azure門戶，添加經(jīng)典虛擬網(wǎng)絡(luò)。

依次點擊“所有服務(wù)”->”虛擬網(wǎng)絡(luò)(經(jīng)典)“->“添加”，配置虛擬網(wǎng)絡(luò)

2.添加網(wǎng)絡(luò)安全組(經(jīng)典)，配置入站規(guī)則。

依次點擊“所有服務(wù)”->”網(wǎng)絡(luò)安全組(經(jīng)典)“->“添加”，輸入網(wǎng)絡(luò)安全組名稱，選擇資源組

添加完成后，在網(wǎng)絡(luò)安全組側(cè)邊欄中選擇”入站安全規(guī)則“，添加入站規(guī)則，在本示例中添加了允許80端口入站規(guī)則和禁止167.220.255.16 IP入站規(guī)則。

備注

注意網(wǎng)絡(luò)安全規(guī)則的優(yōu)先級。

3.在本地修改PaaS云服務(wù)配置文件。

在ServiceConfiguration.Cloud.cscfg中添加以下配置：

XML

復(fù)制

<NetworkConfiguration>

<VirtualNetworkSite name="Group<資源組名稱><經(jīng)典虛擬網(wǎng)絡(luò)名稱>"/>

<AddressAssignments>

<InstanceAddress roleName="<角色名稱>">

<Subnets>

<Subnet name="<子網(wǎng)名稱>"/>

</Subnets>

</InstanceAddress>

</AddressAssignments>

</NetworkConfiguration>

配置完成后，重新編譯打包，重新部署PaaS云服務(wù)。

備注

部署過程中如果遇到”無法在部署更新或升級過程中添加或移除虛擬網(wǎng)絡(luò)站點“錯誤，請刪除部署環(huán)境中已有的部署，重新上傳部署包。

4.為虛擬網(wǎng)絡(luò)子網(wǎng)添加網(wǎng)絡(luò)安全組。

上一步部署完成后，打開經(jīng)典虛擬網(wǎng)絡(luò)，查看子網(wǎng)資源，可以看到PaaS云服務(wù)已經(jīng)部署到虛擬網(wǎng)絡(luò)中

在編輯子網(wǎng)窗口，點擊網(wǎng)絡(luò)安全組，選擇之前添加的網(wǎng)絡(luò)安全組，點擊確定按鈕保存設(shè)置

保存成功后，配置的網(wǎng)絡(luò)訪問控制將馬上生效。

關(guān)于更多PaaS云服務(wù)的網(wǎng)絡(luò)訪問控制的設(shè)置，可參照官網(wǎng)說明：NetworkConfiguration Schema。