再会,
我们知道,创造基于 IP 的 TLS 绑定(与 SNI 绑定相反)为 App Service webapp 分配专用 IP 地址。但它仍然可以通过与其他 webapp(包括其他客户的 webapp)共享的 IP 进行访问。
在某些情况下,我更愿意仅允许通过专用 IP 的流量,阻止通过共享 IP 的流量。是否有可能以某种方式解除 Web 应用与共享端点的绑定?
(为什么我更喜欢这个?假设我在这个应用程序前面放置了一些 WAF 即服务,这样它就可以检查流量。我可以使用访问限制限制对我的应用的访问仅限于 WAF 地址范围,但如果攻击者在同一个 WAF 上开设帐户并将自己的网站指向我的 IP,这将无济于事。 对此的补救措施 - WAF 服务可以将此 IP 注册为我的帐户专用,因此其他 WAF 用户将无法将其网站指向它。 但是,当然,我无法使用共享 Azure IP 执行此操作,因为这样在 Azure App Services 上拥有网站的合法 WAF 用户将受到影响)。
谢谢,Mucius。
答案1
显然,没有额外的组件是无法实现的。但如果我这样做:
- 将应用程序网关或防火墙放置在 VNET 子网中的 IaaS VM(甚至是启用了端口转发的某些普通 VM)上,
- 将我的 Web 应用绑定到同一个 VNET,
- 使用“访问限制”仅允许从网关子网到我的 Web 应用的流量,
- 将 NSG 附加到此子网,并使用它来仅允许来自 CDN 范围的传入流量,
- 并将 CDN 指向此网关的公共 IP -
那么这个问题就解决了,因为 Gateway 的 IP 不与其他客户共享。