Azure Front Door çıkış noktalarına trafiğin güvenliğini sağlama

Önemli

Azure Front Door (klasik) profil oluşturmayı, yeni etki alanı eklemeyi veya yönetilen sertifikaları desteklemez ve March 31, 2027'da devre dışı bırakılıyor. Hizmet kesintisini önlemek için Azure Front Door Standard veya Premium'a taşının. Daha fazla bilgi için bkz. Azure Front Door (klasik) kullanımdan kaldırma.

Azure Front Door'un özellikleri, trafik yalnızca Front Door üzerinden aktığında en iyi şekilde çalışır. Front Door üzerinden gönderilmemiş trafiği engellemek için kaynağınızı yapılandırmanız gerekir. Aksi takdirde trafik Front Door'un web uygulaması güvenlik duvarını, DDoS korumasını ve diğer güvenlik özelliklerini atlayabilir.

Yaklaşım	Desteklenen katmanlar
Özel Bağlantı	Premium
Yönetilen Kimlikler	Standart, Premium
IP adresi filtreleme	Klasik, Standart, Premium
Front Door tanımlayıcısı	Klasik, Standart, Premium

Not

Bu makaledeki kaynak ve kaynak grubu, Azure Front Door (klasik) yapılandırmasının arka uç ve arka uç havuzunu ifade eder.

Front Door, kaynak trafiğinizi kısıtlamak için kullanabileceğiniz çeşitli yaklaşımlar sağlar.

Özel Bağlantı etkinleştirilmiş kaynaklar

Azure Front Door'un premium katmanını kullandığınızda, trafiği kaynağınıza göndermek için Özel Bağlantı'yı kullanabilirsiniz. Özel Bağlantı çıkış noktaları hakkında daha fazla bilgi edinin.

Kaynağınızı, yalnızca Özel Bağlantı üzerinden gelen trafiğe izin verecek şekilde yapılandırmanız gerekir. Trafiği kısıtlama yönteminiz, kullandığınız Özel Bağlantı kaynağının türüne bağlıdır:

Azure Uygulama Hizmeti ve Azure İşlevleri, Özel Bağlantı kullandığınızda genel internet uç noktaları üzerinden erişimi otomatik olarak devre dışı bırakır. Daha fazla bilgi için bkz . Azure Web App için Özel Uç Noktaları Kullanma.
Azure Depolama, İnternet'ten gelen trafiği reddetmek için kullanabileceğiniz bir güvenlik duvarı sağlar. Daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.
Azure Özel Bağlantı hizmeti olan iç yük dengeleyiciler genel yönlendirmeye açık değildir. Ayrıca, İnternet'ten sanal ağınıza erişime izin vermediğinizden emin olmak için ağ güvenlik gruplarını yapılandırabilirsiniz.

Yönetilen Kimlikler

Microsoft Entra ID tarafından sağlanan yönetilen kimlikler, Front Door örneğinizin kimlik bilgilerini yönetmeye gerek kalmadan Azure Blob Depolama gibi diğer Microsoft Entra korumalı kaynaklara güvenli bir şekilde erişmesini sağlar. Front Door için yönetilen kimliği etkinleştirdikten ve yönetilen kimliğe kaynağınız için gerekli izinleri verdikten sonra, Front Door belirtilen kaynağa erişmek üzere Microsoft Entra Id'den erişim belirteci almak için yönetilen kimliği kullanır. Belirteci başarıyla aldıktan sonra Front Door, Taşıyıcı şemasını kullanarak Yetkilendirme üst bilgisinde belirtecin değerini ayarlar ve ardından isteği kaynağına iletir. Front Door, süresi dolana kadar belirteci önbelleğe alır. Daha fazla bilgi için bkz. Kaynaklarda kimlik doğrulaması yapmak için yönetilen kimlikleri kullanma (önizleme).

Genel IP adresi tabanlı kaynaklar

Genel IP adresi tabanlı çıkış noktaları kullandığınızda, trafiğin Front Door örneğinizden akmasını sağlamak için birlikte kullanmanız gereken iki yaklaşım vardır:

Kaynağınıza yapılan isteklerin yalnızca Front Door IP adresi aralıklarından kabul edilmesini sağlamak için IP adresi filtrelemeyi yapılandırın.
Uygulamanızı, Front Door'un tüm isteklerle birlikte kaynağa eklediği X-Azure-FDID üst bilgi değerini doğrulayacak şekilde yapılandırın ve bu değerin Front Door'un tanımlayıcısıyla eşleştiğinden emin olun.

IP adresi filtreleme

Kaynaklarınızın IP adresi filtrelemesini, Yalnızca Azure Front Door'un arka uç IP adresi alanından ve Azure'ın altyapı hizmetlerinden gelen trafiği kabul etmek üzere yapılandırın.

AzureFrontDoor.Backend hizmet etiketi Front Door'un kaynaklarınıza bağlanmak için kullandığı IP adreslerinin listesini sağlar. Bu hizmet etiketini ağ güvenlik grubu kurallarınızda kullanabilirsiniz. Ayrıca en son IP adresleriyle düzenli olarak güncelleştirilen Azure IP Aralıkları ve Hizmet Etiketleri veri kümesini de indirebilirsiniz.

Azure'ın temel altyapı hizmetlerinden gelen trafiğe sanallaştırılmış ana bilgisayar IP adresleri 168.63.129.16 ve 169.254.169.254 aracılığıyla da izin vermelisiniz.

Uyarı

Front Door'un IP adresi alanı düzenli olarak değişir. IP adreslerini sabit kodlamak yerine AzureFrontDoor.Backend hizmet etiketini kullandığınızdan emin olun.

Front Door tanımlayıcısı

Diğer Azure müşterileri aynı IP adreslerini kullandığından, yalnızca IP adresi filtrelemesi kaynağınıza giden trafiğin güvenliğini sağlamak için yeterli değildir. Ayrıca trafiğin Front Door profilinizden kaynaklanmasını sağlamak için kaynağınızı da yapılandırmanız gerekir.

Azure, her Front Door profili için benzersiz bir tanımlayıcı oluşturur. Profilinizin Genel Bakış sayfasında Front Door ID değerini arayarak tanımlayıcıyı Azure portalında bulabilirsiniz.

Front Door kaynağınıza bir istekte bulunduğunda istek üst bilgisini ekler X-Azure-FDID . Kaynağınız gelen isteklerde üst bilgiyi incelemeli ve değerin Front Door profilinizin tanımlayıcısı ile eşleşmediği istekleri reddetmelidir.

Örnek yapılandırma

Aşağıdaki örneklerde farklı kaynak türlerinin güvenliğini nasıl sağlayabildiğiniz gösterilmektedir.

App Service erişim kısıtlamalarını kullanarak HEM IP adresi filtrelemesi hem de üst bilgi filtrelemesi gerçekleştirebilirsiniz. Bu özellik platform tarafından sağlanır ve uygulamanızı veya konağınızı değiştirmeniz gerekmez.

Application Gateway sanal ağınıza dağıtılır. AzureFrontDoor.Backend hizmet etiketinden 80 ve 443 bağlantı noktalarına gelen erişime izin verecek ve İnternet hizmet etiketinden 80 ve 443 bağlantı noktalarında gelen trafiğe izin vermeyecek şekilde bir ağ güvenlik grubu kuralı yapılandırın.

Özel bir Web Uygulaması Güvenlik Duvarı (WAF) kuralı kullanarak X-Azure-FDID üst bilgi değerini kontrol edin. Daha fazla bilgi için Application Gateway'de Web Uygulaması Güvenlik Duvarı v2 özel kuralları oluşturma ve kullanma kısmına bkz.

Azure Kubernetes Service'te (AKS) trafik yönlendirmesini Kapsayıcılar için Application Gateway ile yapılandırmak için, X-Azure-FDID üst bilgisini kullanarak Azure Front Door'dan gelen trafikle eşleşecek bir HTTPRoute kuralı ayarlayın.

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

Azure tarafından barındırılan bir sanal makinede Microsoft Internet Information Services (IIS) çalıştırdığınızda, sanal makineyi barındıran sanal ağda bir ağ güvenlik grubu oluşturmanız gerekir. AzureFrontDoor.Backend hizmet etiketinden 80 ve 443 bağlantı noktalarına gelen erişime izin verecek ve İnternet hizmet etiketinden 80 ve 443 bağlantı noktalarında gelen trafiğe izin vermeyecek şekilde bir ağ güvenlik grubu kuralı yapılandırın.

Gelen isteklerinizdeki başlığı incelemek için, aşağıdaki örnekteki gibi bir IIS yapılandırma dosyası kullanın: X-Azure-FDID

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

AKS'yi bir NGINX giriş denetleyicisiyle çalıştırdığınızda, AKS kümesini barındıran sanal ağda bir ağ güvenlik grubu oluşturmanız gerekir. AzureFrontDoor.Backend hizmet etiketinden 80 ve 443 bağlantı noktalarına gelen erişime izin verecek ve İnternet hizmet etiketinden 80 ve 443 bağlantı noktalarında gelen trafiğe izin vermeyecek şekilde bir ağ güvenlik grubu kuralı yapılandırın.

Gelen isteklerinizdeki başlığı incelemek için aşağıdaki örnekte gösterildiği gibi bir Kubernetes giriş yapılandırma dosyası kullanın.

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Front Door'da WAF profili yapılandırmayı öğrenin.
Front Door oluşturmayı öğrenin.
Front Door’un nasıl çalıştığını öğrenin.

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2026-05-05