Назад | Перейти на главную страницу

Службы приложений Azure - можно ли отвязать веб-приложение от общего IP-адреса?

Добрый день,

Как известно, создавая Привязка TLS на основе IP (в отличие от привязки SNI) выделяет выделенный IP-адрес для веб-приложения службы приложений. Но он по-прежнему остается доступным через IP-адрес, общий для других веб-приложений (включая веб-приложения других клиентов).

В некоторых ситуациях я бы предпочел разрешить трафик только через выделенный IP-адрес, блокируя трафик через общий. Возможно ли как-нибудь отвязать веб-приложение от общей конечной точки?

(Почему я предпочитаю это? Допустим, я помещаю перед этим приложением какой-то WAF-as-a-service, чтобы оно проверяло трафик. Я могу использовать Ограничения доступа чтобы ограничить доступ к моему приложению только для диапазонов адресов WAF, но это не поможет, если злоумышленник откроет учетную запись на том же WAF и укажет свой сайт на мой IP. Средство от этого - служба WAF может зарегистрировать этот IP-адрес как выделенный для моей учетной записи, поэтому другие пользователи WAF не смогут указывать на него свои сайты. Но, конечно, я не могу сделать это с общим IP-адресом Azure, потому что это затронет законных пользователей WAF, имеющих сайты в Службах приложений Azure).

Спасибо, Муций.

Судя по всему, без дополнительных компонентов не обойтись. Но если я сделаю это:

  • разместить шлюз приложений или какой-либо брандмауэр на виртуальной машине IaaS (или даже на простой виртуальной машине с включенной переадресацией портов) в подсети VNET,
  • привязать мое веб-приложение к той же виртуальной сети,
  • используйте «Ограничения доступа», чтобы разрешить трафик к моему веб-приложению только из подсети шлюза,
  • присоединить NSG к этой подсети и использовать ее для разрешения входящего трафика только из диапазонов CDN,
  • и указать CDN на общедоступный IP-адрес этого шлюза -

тогда эта проблема решена, поскольку IP-адрес шлюза не передается другим клиентам.