IPS-зонд на входной двери Azure для внесения в белый список в WebApp

Мы разрабатываем развертывание в нескольких местах в Azure, которое требует отправки пользователей в их ближайший источник. В настоящее время мы используем диспетчер трафика, однако это вызывает у нас некоторые проблемы с другим уровнем инфраструктуры клиента.

Еще один вариант, который мы изучаем, - это парадная дверь, однако он ставит новую задачу - как предотвратить публичный доступ к нашему происхождению?

Для диспетчера трафика Microsoft публикует список IP-адресов зондов, которые мы можем занести в белый список в наших веб-приложениях: https://docs.microsoft.com/en-us/azure/traffic-manager/traffic-manager-faqs#какие-то-IP-адреса-откуда-какие-проверки-работоспособности-originate

Есть ли у входной двери нечто подобное? Идеальным результатом был бы набор IP-адресов (ala https://azuretrafficmanagerdata.blob.core.windows.net/probes/azure/probe-ip-ranges.json), которые мы могли импортировать в наши брандмауэры веб-приложений.


azure azure-web-app-service azure-load-balancer azure-front-door
person boro2g    schedule 02.01.2019    source источник

Ответы (3)


arrow_upward
3
arrow_downward

Вы можете заблокировать доступ к своим источникам, добавив в белый список диапазоны IP-адресов Anycast, используемых службой Azure FrontDoor. :

IPv4 - 147.243.0.0/16

IPv6 - 2a01: 111: 2050 :: / 44

Источник: Как заблокировать доступ к моему бэкэнду только для службы входной двери Azure?

person ma499    schedule 21.05.2019
comment
Однако это решение может сломаться, поскольку IP-адреса входной двери могут быть изменены. - person simoneL; 28.04.2020

arrow_upward
1
arrow_downward

Служба входной двери Azure обеспечивает динамическое ускорение веб-сайта (DSA), включая глобальную балансировку нагрузки HTTP. Служба Front Door Service сочетает в себе сети ADC и CDN. Когда выполняется проверка работоспособности, среды Front Door отправят ее, это DOC утверждает, что во всем мире существует около 90 сред или точек присутствия парадных дверей. Похоже, что документ не может описать, какие конкретные IP-адреса зонда находятся в средах входной двери. Вы можете просмотреть эту проблему на Github.

В настоящее время служба Front Door является общедоступной, и ее выпуск может занять некоторое время. Также не рекомендуется использовать его в производственной среде.

person Nancy Xiong    schedule 03.01.2019
comment
Я думаю, что мы могли бы немного поторопиться, если будем стремиться к этому в нашей настройке prod. Он решает некоторые проблемы, которые у нас есть, но, возможно, еще слишком рано для рассмотрения. Один, за которым нужно следить! - person boro2g; 03.01.2019
comment
Вы также можете рассказать о службе здесь для улучшения функций в Azure. . - person Nancy Xiong; 04.01.2019

arrow_upward
0
arrow_downward

Теперь вы можете использовать теги службы Azure Front Door для управления сценарием ограничения трафика на ваш сервер только для AFD. Обзор сервисных тегов:

Тег службы представляет собой группу префиксов IP-адресов из данной службы Azure. Microsoft управляет адресными префиксами, заключенными в служебный тег, и автоматически обновляет служебный тег при изменении адресов.

В приведенном выше документе также доступны служебные теги для AFD, чтобы ограничить доступ описанным способом, вы можете использовать служебный тег AzureFrontDoor.Backend.

Предполагая, что ваш бэкэнд может его поддерживать, вы также можете добавить дополнительный фильтр, который гарантирует, что трафик, попадающий в ваш бэкэнд, поступает не только из диапазона IP-адресов AFD, но также и того, что это ваш AFD! См. этот документ:

... ограничить трафик на вашем сервере определенным значением заголовка 'X-Azure-FDID', отправляемым Front Door

Идентификатор вашего AFD можно получить следующими способами:

Выполните операцию GET на входной двери с версией API 2020-01-01 или выше. В вызове API найдите поле frontdoorID. Отфильтруйте входящий заголовок «X-Azure-FDID», отправляемый Front Door на ваш сервер, со значением, равным значению поля frontdoorID. Вы также можете найти значение идентификатора входной двери в разделе «Обзор» на странице портала «Входная дверь».

person Matt    schedule 06.01.2021