Skydda trafik till Azure Front Door-ursprung

Front Door-funktionerna fungerar bäst när trafiken endast flödar genom Front Door. Du bör konfigurera ditt ursprung för att blockera trafik som inte har skickats via Front Door. Annars kan trafiken kringgå Front Door brandvägg för webbprogram, DDoS-skydd och andra säkerhetsfunktioner.

Kommentar

Ursprungs- och ursprungsgruppen i den här artikeln refererar till serverdels- och serverdelspoolen i Azure Front Door-konfigurationen (klassisk).

Front Door innehåller flera metoder som du kan använda för att begränsa ursprungstrafiken.

Private Link-ursprung

När du använder premium-SKU:n för Front Door kan du använda Private Link för att skicka trafik till ditt ursprung. Läs mer om Private Link-ursprung.

Du bör konfigurera ditt ursprung för att inte tillåta trafik som inte kommer via Private Link. Hur du begränsar trafiken beror på vilken typ av Private Link-ursprung du använder:

• Azure App Service och Azure Functions inaktiverar automatiskt åtkomst via offentliga Internetslutpunkter när du använder Private Link. Mer information finns i Använda privata slutpunkter för Azure Web App.
• Azure Storage tillhandahåller en brandvägg som du kan använda för att neka trafik från Internet. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.
• Interna lastbalanserare med Azure Private Link-tjänsten kan inte dirigeras offentligt. Du kan också konfigurera nätverkssäkerhetsgrupper så att du inte tillåter åtkomst till ditt virtuella nätverk från Internet.

Offentliga IP-adressbaserade ursprung

När du använder offentliga IP-adressbaserade ursprung finns det två metoder som du bör använda tillsammans för att säkerställa att trafiken flödar genom din Front Door-instans:

• Konfigurera IP-adressfiltrering för att säkerställa att begäranden till ditt ursprung endast godkänns från Ip-adressintervallen för Front Door.
• Konfigurera ditt program för att verifiera X-Azure-FDID huvudvärdet, som Front Door kopplar till alla begäranden till ursprunget, och se till att dess värde matchar Front Door-identifieraren.

IP-adressfiltrering

Konfigurera IP-adressfiltrering för dina ursprung för att acceptera trafik från Azure Front Door ip-adressutrymme för serverdelen och endast Azures infrastrukturtjänster.

Tjänsttaggen AzureFrontDoor.Backend innehåller en lista över DE IP-adresser som Front Door använder för att ansluta till ditt ursprung. Du kan använda den här tjänsttaggen i dina regler för nätverkssäkerhetsgrupper. Du kan också ladda ned datauppsättningen Azure IP-intervall och tjänsttaggar , som uppdateras regelbundet med de senaste IP-adresserna.

Du bör också tillåta trafik från Azures grundläggande infrastrukturtjänster via de virtualiserade värd-IP-adresserna 168.63.129.16 och 169.254.169.254.

Varning

Front Door IP-adressutrymme ändras regelbundet. Se till att du använder tjänsttaggen AzureFrontDoor.Backend i stället för hårdkodade IP-adresser.

Front Door-identifierare

Enbart IP-adressfiltrering räcker inte för att skydda trafik till ditt ursprung, eftersom andra Azure-kunder använder samma IP-adresser. Du bör också konfigurera ditt ursprung för att säkerställa att trafiken har sitt ursprung från din Front Door-profil.

Azure genererar en unik identifierare för varje Front Door-profil. Du hittar identifieraren i Azure-portalen genom att leta efter Front Door-ID-värdet på sidan Översikt för din profil.

När Front Door skickar en begäran till ditt ursprung lägger den till begärandehuvudet X-Azure-FDID . Ditt ursprung bör granska huvudet på inkommande begäranden och avvisa begäranden där värdet inte matchar Front Door-profilens identifierare.

Exempelkonfiguration

I följande exempel visas hur du kan skydda olika typer av ursprung.

App Service och Functions

Du kan använda Åtkomstbegränsningar för App Service för att utföra IP-adressfiltrering samt sidhuvudfiltrering. Funktionen tillhandahålls av plattformen och du behöver inte ändra ditt program eller din värd.

Application Gateway

Application Gateway distribueras till ditt virtuella nätverk. Konfigurera en regel för nätverkssäkerhetsgrupp för att tillåta inkommande åtkomst på portarna 80 och 443 från tjänsttaggen AzureFrontDoor.Backend och tillåt inte inkommande trafik på portarna 80 och 443 från internettjänsttaggen .

Använd en anpassad WAF-regel för att kontrollera X-Azure-FDID rubrikvärdet. Mer information finns i Skapa och använda anpassade regler för Web Application Firewall v2 på Application Gateway.

IIS

När du kör Microsoft Internet Information Services (IIS) på en virtuell Azure-värddator bör du skapa en nätverkssäkerhetsgrupp i det virtuella nätverk som är värd för den virtuella datorn. Konfigurera en regel för nätverkssäkerhetsgrupp för att tillåta inkommande åtkomst på portarna 80 och 443 från tjänsttaggen AzureFrontDoor.Backend och tillåt inte inkommande trafik på portarna 80 och 443 från internettjänsttaggen .

Använd en IIS-konfigurationsfil som i följande exempel för att inspektera X-Azure-FDID rubriken på dina inkommande begäranden:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

AKS NGINX-styrenhet

När du kör AKS med en NGINX-ingresskontrollant bör du skapa en nätverkssäkerhetsgrupp i det virtuella nätverk som är värd för AKS-klustret. Konfigurera en regel för nätverkssäkerhetsgrupp för att tillåta inkommande åtkomst på portarna 80 och 443 från tjänsttaggen AzureFrontDoor.Backend och tillåt inte inkommande trafik på portarna 80 och 443 från internettjänsttaggen .

Använd en Kubernetes-ingresskonfigurationsfil som i följande exempel för att granska X-Azure-FDID huvudet på dina inkommande begäranden:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Nästa steg

• Lär dig hur du konfigurerar en WAF-profil på Front Door.
• Läs hur du skapar en Front Door.
• Läs hur Front Door fungerar.