Azure Front Door çıkış noktalarına trafiğin güvenliğini sağlama

Önemli

Azure Front Door (klasik) 31 Mart 2027'de kullanımdan kaldırılacaktır. Hizmet kesintisini önlemek için, Mart 2027'ye kadar Azure Front Door (klasik) profilleriniziAzure Front Door Standard veya Premium katmanına geçirmenizönemlidir. Daha fazla bilgi için bkz . Azure Front Door (klasik) kullanımdan kaldırma.

Azure Front Door'un özellikleri, trafik yalnızca Front Door üzerinden aktığında en iyi şekilde çalışır. Front Door üzerinden gönderilmemiş trafiği engellemek için kaynağınızı yapılandırmanız gerekir. Aksi takdirde trafik Front Door'un web uygulaması güvenlik duvarını, DDoS korumasını ve diğer güvenlik özelliklerini atlayabilir.

Yaklaşım	Desteklenen katmanlar
Private Link	Premium
Yönetilen Kimlikler	Standart, Premium
IP adresi filtreleme	Klasik, Standart, Premium
Front Door tanımlayıcısı	Klasik, Standart, Premium

Not

Bu makaledeki kaynak ve çıkış noktası grubu , Azure Front Door (klasik) yapılandırmasının arka uç ve arka uç havuzunu ifade eder.

Front Door, kaynak trafiğinizi kısıtlamak için kullanabileceğiniz çeşitli yaklaşımlar sağlar.

Özel Bağlantı etkin çıkış noktaları

Azure Front Door'un premium katmanını kullandığınızda, trafiği kaynağınıza göndermek için Özel Bağlantı'yı kullanabilirsiniz. Özel Bağlantı çıkış noktaları hakkında daha fazla bilgi edinin.

Kaynağınızı, Özel Bağlantı gelmeyen trafiğe izin vermeyecek şekilde yapılandırmanız gerekir. Trafiği kısıtlama yönteminiz, kullandığınız Özel Bağlantı kaynağının türüne bağlıdır:

hizmeti Azure Uygulaması ve Azure İşlevleri Özel Bağlantı kullandığınızda genel İnternet uç noktaları üzerinden erişimi otomatik olarak devre dışı bırakın. Daha fazla bilgi için bkz . Azure Web App için Özel Uç Noktaları Kullanma.
Azure Depolama, İnternet'ten gelen trafiği reddetmek için kullanabileceğiniz bir güvenlik duvarı sağlar. Daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.
Azure Özel Bağlantı hizmeti olan iç yük dengeleyiciler genel olarak yönlendirilemez. Ayrıca, İnternet'ten sanal ağınıza erişime izin vermediğinizden emin olmak için ağ güvenlik gruplarını yapılandırabilirsiniz.

Yönetilen Kimlikler

Microsoft Entra ID tarafından sağlanan yönetilen kimlikler, Front Door örneğinizin kimlik bilgilerini yönetmeye gerek kalmadan Azure Blob Depolama gibi diğer Microsoft Entra korumalı kaynaklara güvenli bir şekilde erişmesini sağlar. Front Door için yönetilen kimliği etkinleştirdikten ve yönetilen kimliğe kaynağınız için gerekli izinleri verdikten sonra, Front Door belirtilen kaynağa erişmek üzere Microsoft Entra Id'den erişim belirteci almak için yönetilen kimliği kullanır. Belirteci başarıyla aldıktan sonra Front Door, Taşıyıcı şemasını kullanarak Yetkilendirme üst bilgisinde belirtecin değerini ayarlar ve ardından isteği kaynağına iletir. Front Door, süresi dolana kadar belirteci önbelleğe alır. Daha fazla bilgi için bkz. Kaynaklarda kimlik doğrulaması yapmak için yönetilen kimlikleri kullanma (önizleme).

Genel IP adresi tabanlı kaynaklar

Genel IP adresi tabanlı çıkış noktaları kullandığınızda, trafiğin Front Door örneğinizden akmasını sağlamak için birlikte kullanmanız gereken iki yaklaşım vardır:

Kaynağınıza yapılan isteklerin yalnızca Front Door IP adresi aralıklarından kabul edilmesini sağlamak için IP adresi filtrelemeyi yapılandırın.
Front Door'un çıkış noktasıyla ilgili tüm isteklere eklediği üst bilgi değerini doğrulamak X-Azure-FDID ve değerinin Front Door'un tanımlayıcısıyla eşleştiğinden emin olmak için uygulamanızı yapılandırın.

IP adresi filtreleme

Kaynaklarınızın IP adresi filtrelemesini, Yalnızca Azure Front Door'un arka uç IP adresi alanından ve Azure'ın altyapı hizmetlerinden gelen trafiği kabul etmek üzere yapılandırın.

AzureFrontDoor.Backend hizmet etiketi Front Door'un kaynaklarınıza bağlanmak için kullandığı IP adreslerinin listesini sağlar. Bu hizmet etiketini ağ güvenlik grubu kurallarınızda kullanabilirsiniz. Ayrıca en son IP adresleriyle düzenli olarak güncelleştirilen Azure IP Aralıkları ve Hizmet Etiketleri veri kümesini de indirebilirsiniz.

Sanallaştırılmış ana bilgisayar IP adresleri ve aracılığıyla Azure'ın 168.63.129.16 gelen trafiğe de izin vermelisiniz169.254.169.254.

Uyarı

Front Door'un IP adresi alanı düzenli olarak değişir. IP adreslerini sabit kodlamak yerine AzureFrontDoor.Backend hizmet etiketini kullandığınızdan emin olun.

Front Door tanımlayıcısı

Diğer Azure müşterileri aynı IP adreslerini kullandığından, yalnızca IP adresi filtrelemesi kaynağınıza giden trafiğin güvenliğini sağlamak için yeterli değildir. Ayrıca trafiğin Front Door profilinizden kaynaklanmasını sağlamak için kaynağınızı da yapılandırmanız gerekir.

Azure, her Front Door profili için benzersiz bir tanımlayıcı oluşturur. Profilinizin Genel Bakış sayfasında Front Door ID değerini arayarak tanımlayıcıyı Azure portalında bulabilirsiniz.

Front Door kaynağınıza bir istekte bulunduğunda istek üst bilgisini ekler X-Azure-FDID . Kaynağınız gelen isteklerde üst bilgiyi incelemeli ve değerin Front Door profilinizin tanımlayıcısı ile eşleşmediği istekleri reddetmelidir.

Örnek yapılandırma

Aşağıdaki örneklerde farklı kaynak türlerinin güvenliğini nasıl sağlayabildiğiniz gösterilmektedir.

App Service erişim kısıtlamalarını kullanarak HEM IP adresi filtrelemesi hem de üst bilgi filtrelemesi gerçekleştirebilirsiniz. Bu özellik platform tarafından sağlanır ve uygulamanızı veya konağınızı değiştirmeniz gerekmez.

Application Gateway sanal ağınıza dağıtılır. AzureFrontDoor.Backend hizmet etiketinden 80 ve 443 bağlantı noktalarına gelen erişime izin verecek ve İnternet hizmet etiketinden 80 ve 443 bağlantı noktalarında gelen trafiğe izin vermeyecek şekilde bir ağ güvenlik grubu kuralı yapılandırın.

Özel bir Web Uygulaması Güvenlik Duvarı (WAF) kuralı kullanarak X-Azure-FDID üst bilgi değerini kontrol edin. Daha fazla bilgi için bkz. Application Gateway'de Web Uygulaması Güvenlik Duvarı v2 özel kuralları oluşturma ve kullanma.

Azure Kubernetes Service'te (AKS) trafik yönlendirmesini Kapsayıcılar için Application Gateway ile yapılandırmak için, X-Azure-FDID üst bilgisini kullanarak Azure Front Door'dan gelen trafikle eşleşecek bir HTTPRoute kuralı ayarlayın.

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

Azure tarafından barındırılan bir sanal makinede Microsoft Internet Information Services (IIS) çalıştırdığınızda, sanal makineyi barındıran sanal ağda bir ağ güvenlik grubu oluşturmanız gerekir. AzureFrontDoor.Backend hizmet etiketinden 80 ve 443 bağlantı noktalarına gelen erişime izin verecek ve İnternet hizmet etiketinden 80 ve 443 bağlantı noktalarında gelen trafiğe izin vermeyecek şekilde bir ağ güvenlik grubu kuralı yapılandırın.

Gelen isteklerinizdeki üst bilgiyi incelemek X-Azure-FDID için aşağıdaki örnekteki gibi bir IIS yapılandırma dosyası kullanın:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

AKS'yi bir NGINX giriş denetleyicisiyle çalıştırdığınızda, AKS kümesini barındıran sanal ağda bir ağ güvenlik grubu oluşturmanız gerekir. AzureFrontDoor.Backend hizmet etiketinden 80 ve 443 bağlantı noktalarına gelen erişime izin verecek ve İnternet hizmet etiketinden 80 ve 443 bağlantı noktalarında gelen trafiğe izin vermeyecek şekilde bir ağ güvenlik grubu kuralı yapılandırın.

Gelen isteklerinizdeki üst bilgiyi incelemek X-Azure-FDID için aşağıdaki örnekteki gibi bir Kubernetes giriş yapılandırma dosyası kullanın:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Front Door'da WAF profili yapılandırmayı öğrenin.
Front Door oluşturmayı öğrenin.
Front Door’un nasıl çalıştığını öğrenin.

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2025-09-25