Добрый день,
Как известно, создавая Привязка TLS на основе IP (в отличие от привязки SNI) выделяет выделенный IP-адрес для веб-приложения службы приложений. Но он по-прежнему остается доступным через IP-адрес, общий для других веб-приложений (включая веб-приложения других клиентов).
В некоторых ситуациях я бы предпочел разрешить трафик только через выделенный IP-адрес, блокируя трафик через общий. Возможно ли как-нибудь отвязать веб-приложение от общей конечной точки?
(Почему я предпочитаю это? Допустим, я помещаю перед этим приложением какой-то WAF-as-a-service, чтобы оно проверяло трафик. Я могу использовать Ограничения доступа чтобы ограничить доступ к моему приложению только для диапазонов адресов WAF, но это не поможет, если злоумышленник откроет учетную запись на том же WAF и укажет свой сайт на мой IP. Средство от этого - служба WAF может зарегистрировать этот IP-адрес как выделенный для моей учетной записи, поэтому другие пользователи WAF не смогут указывать на него свои сайты. Но, конечно, я не могу сделать это с общим IP-адресом Azure, потому что это затронет законных пользователей WAF, имеющих сайты в Службах приложений Azure).
Спасибо, Муций.
Судя по всему, без дополнительных компонентов не обойтись. Но если я сделаю это:
тогда эта проблема решена, поскольку IP-адрес шлюза не передается другим клиентам.