分享方式:


保護流向 Azure Front Door 來源的流量

Front Door 的功能在流量僅流經 Front Door 時的效果最佳。 您應該將來源設定為封鎖未透過 Front Door 傳送的流量。 否則,流量可能會略過 Front Door 的 Web 應用程式防火牆、DDoS 保護及其他安全性功能。

注意

本文章中的來源來源群組是指 Azure Front Door (傳統) 設定的後端和後端集區。

Front Door 提供數種方法,可讓您用來限制原始流量。

當您使用 Front Door 的進階 SKU 時,可以使用 Private Link 將流量傳送至來源。 深入了解 Private Link 來源。

您應該將來源設定為不允許未通過 Private Link 的流量。 限制流量的方式取決於您使用的 Private Link 來源類型:

  • 當您使用 Private Link 時,Azure App Service 和 Azure Functions 會自動停用透過公用網際網路端點的存取。 如需詳細資訊,請參閱針對 Azure Web 應用程式使用私人端點
  • Azure 儲存體提供防火牆,可讓您用於拒絕來自網際網路的流量。 如需詳細資訊,請參閱設定 Azure 儲存體防火牆和虛擬網路
  • 具有 Azure Private Link 服務的內部負載平衡器無法公開路由傳送。 您也可以設定網路安全性群組,以確保您不允許從網際網路存取您的虛擬網路。

公用 IP 位址型來源

當您使用公用 IP 位址型來源時,應該同時使用兩個方法來確保流量會流經 Front Door 執行個體:

  • 設定 IP 位址篩選,以確保只接受來自 Front Door IP 位址範圍內對您來源的要求。
  • 設定您的應用程式以驗證 X-Azure-FDID 標頭值,Front Door 會將其附加至對來源的所有要求,並確保其值符合您 Front Door 的識別碼。

IP 位址篩選

為您的來源設定 IP 位址篩選,僅接受來自 Azure Front Door 後端 IP 位址空間和 Azure 基礎結構服務的流量。

AzureFrontDoor.Backend 服務標籤會提供 Front Door 用於連線到來源的 IP 位址清單。 您可以在網路安全性群組規則內使用此服務標籤。 您也可以下載 Azure IP 範圍和服務標籤資料集,此資料集會定期以最新的 IP 位址更新。

您也應該允許透過虛擬化主機 IP 位址 168.63.129.16169.254.169.254 且來自 Azure 基本基礎結構服務的流量。

警告

Front Door 的 IP 位址空間會定期變更。 請確定您使用的是 AzureFrontDoor.Backend 服務標籤,而不是將 IP 位址寫入程式碼。

Front Door 識別碼

單獨篩選 IP 位址並不足以保護流向您來源的流量,因為其他 Azure 客戶會使用相同的 IP 位址。 您也應該設定來源,以確保流量源自「您的」Front Door 設定檔。

Azure 會為每個 Front Door 設定檔產生唯一識別碼。 您可以在 Azure 入口網站中,於設定檔的 [概觀] 頁面中尋找「Front Door 識別碼」值,以找到識別碼。

當 Front Door 向您的來源提出要求時,它會新增 X-Azure-FDID 要求標頭。 您的來源應該檢查傳入要求上的標頭,並拒絕值與您 Front Door 設定檔識別碼不符的要求。

範例設定

下列範例示範如何保護不同類型的來源。

您可以使用 App Service 存取限制來執行 IP 位址篩選以及標頭篩選。 此功能由平台提供,您不需要變更應用程式或主機。

下一步