如何防止用戶訪問Azure Front Door後臺的App Service域名

2022-01-20 汪宇傑博客

在我過去的文章中,我介紹了Azure Front Door的用法。但是,當我們配置完Front Door並將網站域綁定到Front Door時,用戶仍然可以訪問後臺的 App Service URL。在本文中,我將介紹如何在使用Azure Front Door時防止訪問App Service域名。

例如,我的博客將 https://edi.wang 域名綁定到 Front Door,我在 East Asia 和 West US 的 Backend Pool 中運行2個 App Services。他們的 URL 是 https://ediwang-web-ea.azurewebsites.net/  和 https://ediwang-web-us.azurewebsites.net/。

通常,用戶通過 https://edi.wang  訪問我的博客,該博客由Azure Front Door 作為入口,並由 Azure WAF 保護。但是在 Azure Application Insights 日誌中,我仍然可以看到一些針對原始 App Service URL 的請求。因為它們不受WAF保護,所以網站可能要被菊爆。

因此,我需要使 App Service 拒絕非 Azure Front Door 過來的流量。

在 App Service 的管理頁面,展開 Networking,點擊 Configure Access Restrictions

選擇您不希望用戶訪問的 DNS 名稱。在我這裡是 「ediwang-web-ea.azurewebsites.net」。

點擊「Add rule」按鈕。

指定一個你喜歡的 Name 和 Priority。在 Type 裡選擇 Service Tag,然後選擇 AzureFrontDoor.Backend

你也需要指定 X-Azure-FDID 的值。

你可以在 Front Door 管理頁面找到 X-Azure-FDID 的值,它是個 GUID。

現在嘗試訪問 App Service 的域名,如我這個 https://ediwang-web-ea.azurewebsites.net/

你會看到一個大大的403頁面甩臉上,但是正常訪問 https://edi.wang/ 依然是允許的。

花 9.96 分鐘,對其餘的 Backend Pool 也配置相同的規則,就能限制住用戶只能通過 Azure Front Door 來訪問你的網站了!

參考:https://docs.microsoft.com/en-us/azure/frontdoor/front-door-faq#how-do-i-lock-down-the-access-to-my-backend-to-only-azure-front-door- 

汪宇傑博客

Azure | .NET | 微軟 MVP

無廣告,不賣課,做純粹的技術公眾號

相關焦點

  • Azure Front Door添加自定義域名
    本文將介紹在配置Azure Front Door時,添加用戶自定義域名的過程,由於不涉及Standard和Premium不同的部分,所以本文的配置採用Standard版本。創建完成後,可以通過Endpoint的域名訪問後端網站:$ curl https://azurefd.z01.azurefd.netHello World 二 添加自定義域名1 添加Domain在Front Door管理頁面上,點擊添加domain
  • 國內帳號部署Azure私有雲,該如何搞定App Service?
    今天我們就來聊聊如何用中國區帳號搞定App Service這個PaaS的部署!可能您會說,前段時間不是已經寫過一篇類似的文章了嗎?首先確保我們已經導入默認的Windows erver 2016鏡像,具體步驟可以參考以下文檔:https://docs.microsoft.com/en-us/azure/azure-stack/azure-stack-add-default-image然後進入到以下目錄,雙擊以下的「Server2016DatacenterFullEval.vhd」
  • 中國區 Azure 應用程式開發說明
    %localappdata%\.IdentityService\AadConfigurations3.重啟 VS 即可連接 Global Azure。https://portal.azure.cnSQL Azure 資料庫管理 APIhttps://management.database.windows.nethttps://management.database.chinacloudapi.cn服務總線*.servicebus.windows.net*.servicebus.chinacloudapi.cnACS*.accesscontrol.windows.net
  • 如何在 15 分鐘內構建一個無伺服器服務?
    這個個人網站將具備以下特點:服務將部署到以下域名上(這裡用的都是假想的域名):這裡用了HTTPS,因為各大瀏覽器早已開始將HTTP協議標記為不安全協議了。為了保證安全,HTTPS是必要的,後面會介紹如何設置證書等。
  • Subdomain Takeover 子域名接管漏洞
    常規域名使用CNAME記錄的DNS委託對用戶完全透明,即在DNS解析過程中它在後臺發生。下圖說明了具有CNAME記錄的域名的Web瀏覽器的行為。用戶創建新的雲服務後,在大多數情況下,雲提供商會生成一個唯一的域名,該域名用於訪問創建的資源。由於大量的雲服務客戶,通過TLD註冊服務商註冊域名不是很方便,因此雲提供商選擇使用子域。
  • 極客學院 | 在微軟Azure上搭建個人博客網站
    本期的IT之家極客學院,我們就來探討如何在微軟Azure上以快捷的方式來搭建一個WordPress站點。此時,通過geekscollege.azurewebsites.net即可訪問搭建好的站點。配置WordPress的過程非常簡單,本期教程不再特別說明。
  • 雲時代來臨,快速利用CDN服務為海外用戶訪問國內網站加速
    眾所周知,海外用戶訪問國內網站速度都不盡人意,主要原因是地理距離比較遠,中國到海外的Internet出口帶寬有限且中間還隔著"長城防火牆"。那我們有什麼辦法可以來加速海外用戶對國內網站的訪問速度麼?答案就是CDN服務。本文主要就是介紹CDN服務提高海外客戶訪問國內網站的加速原理,海外CDN選擇,快速配置以及問題釋疑三個部分。
  • Django 搭建單服務實現多域名訪問
    最近使用Django開發一個小程序和後臺管理系統 ,需要將這兩個不同的項目部署到同一個服務裡面,然後使用不同的域名來訪問不同的項目。Django默認的只支持單服務訪問,要想實現不同域名,需要安裝django的第三方擴展包:django-hosts。
  • 安全研究 隱藏你的C2域名
    https://console.aws.amazon.com/cloudfront/home,申請一個cloudfront申請過程中需要注意的地方:創建完成之後aws會分配一個xxx.cloudfront.net的域名到帳號下面,記錄下這個域名,之後會用到。cloudfront不是免費的,可以了解下價格:傳出價格:
  • 一線服務技術Frontline Service Technology (FST) 概念以及可研究問題
    provider and customer at the organizational frontline.(4)人機協作如何能夠達到最優?人機協作的培訓如何展開?How can FLE–conversational collaboration be optimized? What training and resourcesare needed to foster such collaboration?
  • CDN工程師必看-認知Cloudfront配置參數
    本文適合需要對Cloudfront有所了解的人閱讀,也是作為Cloudfront優化配置的基礎。為讓剛接觸CDN的工程師對CDN有個了解,我們簡單介紹一下CDN重要的節點:客戶端(瀏覽器/App等)/CDN邊緣站點/源站(伺服器或S3),引用AWS官方博客的例子。
  • 如何黑掉EA遊戲的所有遊戲用戶帳號
    技術細節1.Eaplayinvite.ea.com子域名劫持EA遊戲運營多個域名,如ea.com和origin.com,以便為其玩家提供全球訪問各種服務,包括創建新的Apex Legend帳戶,連接到Origin社交網絡,以及在EA遊戲在線商店購買新的EA遊戲。
  • 【第2355期】JavaScript是如何工作的:Service Workers,生命周期及其使用場景
    換句話說,即 service worker 會接收到該域名下所有頁面 的 fetch 事件。如果註冊 service worker 的文件路徑是 /example/sw.js ,那麼 service worker 會接收到所有頁面路徑以 /example/ 為開頭的 URL 地址的 fetch 事件(比如 /example/page1/ /example/page2/)。
  • 微軟認證考試AZ-900 – Microsoft Azure 基礎知識(一)
    •       描述服務水平協議(SLA)•       確定適用於特定 Azure 產品或服務的SLA4.5  了解 Azure 中的服務生命周期•     了解公共和私人預覽功能•     了解如何訪問預覽功能
  • 如何與 Service Worker 通信
    這類功能是例如推送通知或後臺同步的離線功能。它們是漸進式 Web 應用的核心。但是在設置它們之後,似乎很難完成涉及與 Web 應用交互的更複雜的事情。在本文中,我將展示可用的選擇並最後進行比較。到 2020 年,[Service Workers 的瀏覽器支持](https://caniuse.com/#search=service worker)有了很大的改進。如何與 Service Worker 通信選擇要向其發送消息的 Service Worker對於任何來源,都可以有多個 Service Worker。
  • Azure VNet介紹
    下面將介紹如何創建Azure VNet。通過Portal頁面部署Azure VNet進入AzureChina的管理Portal: https://portal.azure.cn在"More Services"中點擊虛擬網絡:
  • Service Worker初探
    支持離線訪問傳統的web頁面,在每次訪問的時候,都會去請求伺服器的資源。在使用Service Worker之後,第一次訪問的時候,可以將我們的靜態資源緩存下來,下次訪問的時候可以通過Service Worker返回緩存,就可以支持離線訪問了。2. 加載速度快頁面資源緩存之後,不需要依賴網絡加載伺服器資源。
  • 微軟Azure DNS域名解析服務使用-GeoDNS分區解析Anycast速度快
    微軟Azure平臺有DNS服務,而且依託微軟Azure強大的後臺,AzureGeoDNS就是我們常說的根據用戶地理位置來給予不同的DNS解析結果的技術,像DNSPOD也有這個功能,只不過付費版可以區分到國家、省或者市。
  • 爆:谷歌為移動應用(App)發布頂級域名,這一次別再錯過了
    有了令人難忘的. app 域名,人們很容易找到並了解更多關於您的應用的信息。您可以將您的新域名用作登錄頁面,以共享可靠的下載連結,讓用戶保持最新狀態,並可深入連結到應用內內容。.app 域的一個主要優點是安全性內置於您和您的用戶之中。