تأمين نسبة استخدام الشبكة إلى أصول Azure Front Door

تعمل ميزات Front Door بشكل أفضل عندما تتدفق نسبة استخدام الشبكة فقط عبر Front Door. يجب تكوين الأصل الخاص بك لمنع حركة المرور التي لم يتم إرسالها من خلال Front Door. وإلا، فقد تتجاوز نسبة استخدام الشبكة جدار حماية تطبيق الويب ل Front Door وحماية DDoS وميزات الأمان الأخرى.

إشعار

يشير الأصل ومجموعة الأصل في هذه المقالة إلى الواجهة الخلفية وتجمع الواجهة الخلفية لتكوين Azure Front Door (الكلاسيكي).

يوفر Front Door العديد من الطرق التي يمكنك استخدامها لتقييد نسبة استخدام الشبكة الأصلية.

أصول الارتباط الخاص

عند استخدام SKU المميز ل Front Door، يمكنك استخدام Private Link لإرسال نسبة استخدام الشبكة إلى أصلك. تعرف على المزيد حول أصول Private Link.

يجب تكوين الأصل الخاص بك لمنع حركة المرور التي لا تأتي من خلال Private Link. تعتمد الطريقة التي تقيد بها حركة المرور على نوع أصل الارتباط الخاص الذي تستخدمه:

• تقوم Azure App Service وAzure Functions تلقائيا بتعطيل الوصول من خلال نقاط نهاية الإنترنت العامة عند استخدام Private Link. لمزيد من المعلومات، راجع ⁧⁩استخدام نقاط النهاية الخاصة لـ Azure Web App⁧⁩.
• يوفر Azure Storage جدار حماية، والذي يمكنك استخدامه لرفض نسبة استخدام الشبكة من الإنترنت. لمزيد من المعلومات، انظر تكوين جدار حماية التخزين والشبكات الظاهرية في Azure
• موازنات التحميل الداخلية مع خدمة Azure Private Link غير قابلة للتوجيه بشكل عام. يمكنك أيضا تكوين مجموعات أمان الشبكة للتأكد من عدم السماح بالوصول إلى شبكتك الظاهرية من الإنترنت.

الأصول المستندة إلى عنوان IP العام

عند استخدام الأصول العامة المستندة إلى عنوان IP، هناك طريقتان يجب استخدامهما معا لضمان تدفق نسبة استخدام الشبكة عبر مثيل Front Door الخاص بك:

• تكوين تصفية عنوان IP للتأكد من قبول الطلبات إلى أصلك فقط من نطاقات عناوين IP للواجهة الأمامية.
• قم بتكوين التطبيق الخاص بك للتحقق من X-Azure-FDID قيمة العنوان، والتي يرفقها Front Door بجميع الطلبات إلى الأصل، وتأكد من أن قيمته تطابق معرف Front Door الخاص بك.

تصفية عنوان IP

تكوين تصفية عنوان IP لأصولك لقبول نسبة استخدام الشبكة من مساحة عنوان IP الخلفية ل Azure Front Door وخدمات البنية الأساسية ل Azure فقط.

توفر علامة خدمة AzureFrontDoor.Backend قائمة بعناوين IP التي يستخدمها Front Door للاتصال بأصولك. يمكنك استخدام علامة الخدمة هذه ضمن قواعد مجموعة أمان الشبكة. يمكنك أيضا تنزيل مجموعة بيانات نطاقات IP Azure وعلامات الخدمة، والتي يتم تحديثها بانتظام بأحدث عناوين IP.

يجب عليك أيضا السماح بنسبة استخدام الشبكة من خدمات البنية الأساسية ل Azure من خلال عناوين 168.63.129.16 IP للمضيف الظاهري و169.254.169.254.

تحذير

تتغير مساحة عنوان IP ل Front Door بانتظام. تأكد من استخدام علامة خدمة AzureFrontDoor.Backend بدلا من عناوين IP ذات الترميز المضمن.

معرف Front Door

تصفية عنوان IP وحدها غير كافية لتأمين نسبة استخدام الشبكة إلى أصلك، لأن عملاء Azure الآخرين يستخدمون نفس عناوين IP. يجب عليك أيضا تكوين الأصل الخاص بك للتأكد من أن نسبة استخدام الشبكة قد نشأت من ملف تعريف Front Door الخاص بك .

ينشئ Azure معرفا فريدا لكل ملف تعريف Front Door. يمكنك العثور على المعرف في مدخل Microsoft Azure، من خلال البحث عن قيمة معرف Front Door في صفحة نظرة عامة على ملف التعريف الخاص بك.

عندما يقدم Front Door طلبا إلى الأصل الخاص بك، فإنه يضيف X-Azure-FDID عنوان الطلب. يجب أن يفحص الأصل العنوان على الطلبات الواردة، ويرفض الطلبات التي لا تتطابق فيها القيمة مع معرف ملف تعريف Front Door.

مثال على التكوين

توضح الأمثلة التالية كيف يمكنك تأمين أنواع مختلفة من الأصول.

App Service و Functions

يمكنك استخدام قيود الوصول إلى App Service لإجراء تصفية عنوان IP بالإضافة إلى تصفية العنوان. يتم توفير الإمكانية من قبل النظام الأساسي، ولا تحتاج إلى تغيير التطبيق أو المضيف.

بوابة التطبيق

يتم نشر Application Gateway في شبكتك الظاهرية. قم بتكوين قاعدة مجموعة أمان الشبكة للسماح بالوصول الوارد على المنفذين 80 و443 من علامة خدمة AzureFrontDoor.Backend، وعدم السماح بنسبة استخدام الشبكة الواردة على المنفذين 80 و443 من علامة خدمة الإنترنت.

استخدم قاعدة WAF مخصصة للتحقق من X-Azure-FDID قيمة العنوان. لمزيد من المعلومات، راجع إنشاء واستخدام قواعد مخصصة لـ Web Application Firewall v2 على Application Gateway.

IIS

عند تشغيل Microsoft خدمات معلومات الإنترنت (IIS) على جهاز ظاهري مستضاف على Azure، يجب عليك إنشاء مجموعة أمان شبكة في الشبكة الظاهرية التي تستضيف الجهاز الظاهري. قم بتكوين قاعدة مجموعة أمان الشبكة للسماح بالوصول الوارد على المنفذين 80 و443 من علامة خدمة AzureFrontDoor.Backend، وعدم السماح بنسبة استخدام الشبكة الواردة على المنفذين 80 و443 من علامة خدمة الإنترنت.

استخدم ملف تكوين IIS كما في المثال التالي لفحص X-Azure-FDID العنوان على الطلبات الواردة:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

وحدة تحكم AKS NGINX

عند تشغيل AKS مع وحدة تحكم دخول NGINX، يجب إنشاء مجموعة أمان شبكة اتصال في الشبكة الظاهرية التي تستضيف نظام مجموعة AKS. قم بتكوين قاعدة مجموعة أمان الشبكة للسماح بالوصول الوارد على المنفذين 80 و443 من علامة خدمة AzureFrontDoor.Backend، وعدم السماح بنسبة استخدام الشبكة الواردة على المنفذين 80 و443 من علامة خدمة الإنترنت.

استخدم ملف تكوين دخول Kubernetes كما في المثال التالي لفحص X-Azure-FDID العنوان على الطلبات الواردة:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

الخطوات التالية

• تعرّف على كيفية تكوين ملف تعريف WAF على Front Door.
• تعرف على كيفية إنشاء Front Door.
• تعرّف على كيفية عمل Front Door.