Безопасный трафик в источники Azure Front Door

Это важно

Azure Front Door (классическая версия) будет прекращена 31 марта 2027 г. Чтобы избежать нарушений работы служб, важно перенести профили Azure Front Door (классический) на уровень Azure Front Door standard или Premium к марту 2027 года. Для получения дополнительной информации см. вывод из эксплуатации Azure Front Door (классическая версия).

Функции Azure Front Door лучше всего работают, если трафик проходит только через Front Door. Необходимо настроить источник для блокировки трафика, который не был отправлен через Front Door. В противном случае трафик может обойти брандмауэр веб-приложения Front Door, защиту от атак DDoS и другие функции безопасности.

Подход	Поддерживаемые уровни
Private Link	Премия
Управляемые учётные записи	Standard, Premium
Фильтрация IP-адресов	Классический, Стандартный, Премиум
Идентификатор Front Door	Классический, Стандартный, Премиум

Примечание.

Термины источник и группа источников в этой статье обозначают серверную часть и серверный пул конфигурации Azure Front Door (классическая модель).

Front Door предоставляет несколько подходов, которые можно использовать для ограничения трафика источника.

Источники с поддержкой приватного канала

При использовании уровня "Премиум" Azure Front Door можно использовать приватный канал для отправки трафика в источник. Дополнительные сведения о Приватный канал источниках.

Необходимо настроить источник для запрета трафика, который не проходит через Приватный канал. Способ ограничения трафика зависит от типа используемого источника Приватный канал:

служба приложение Azure и Функции Azure автоматически отключают доступ через общедоступные конечные точки Интернета при использовании Приватный канал. Дополнительные сведения см. в статье Использование частных конечных точек для веб-приложений Azure.
служба хранилища Azure предоставляет брандмауэр, который можно использовать для запрета трафика из Интернета. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей.
Внутренние подсистемы балансировки нагрузки со службой Приватный канал Azure не являются общедоступными для routable. Вы также можете настроить группы безопасности сети, чтобы обеспечить запрет доступа к виртуальной сети из Интернета.

Управляемые учётные записи

Управляемые удостоверения, предоставляемые Microsoft Entra ID, позволяют экземпляру Front Door безопасно обращаться к другим защищенным ресурсам Microsoft Entra, таким как Azure Blob Storage, без необходимости управлять учетными данными. После того как вы включите управляемое удостоверение для Front Door и предоставите этому удостоверению необходимые разрешения для доступа к вашему источнику, Front Door будет использовать управляемое удостоверение, чтобы получить маркер доступа из Microsoft Entra ID для доступа к указанному ресурсу. После успешного получения токена Front Door установит значение токена в заголовке авторизации по схеме Bearer, а затем отправит запрос к источнику. Front Door кэширует маркер до истечения срока его действия. Для получения дополнительной информации см. об использовании управляемых идентификаторов для аутентификации в источниках (предварительный).

Источники на основе общедоступных IP-адресов

При использовании источников на основе общедоступных IP-адресов необходимо использовать два подхода, чтобы обеспечить поток трафика через экземпляр Front Door:

Настройте фильтрацию IP-адресов, чтобы убедиться, что запросы к источнику принимаются только из диапазонов IP-адресов Front Door.
Настройте приложение, чтобы проверить X-Azure-FDID значение заголовка, которое Front Door подключает ко всем запросам к источнику и убедитесь, что его значение соответствует идентификатору Front Door.

Фильтрация IP-адресов

Настройте фильтрацию IP-адресов для источников, чтобы принимать трафик из внутреннего IP-пространства Azure Front Door и только служб инфраструктуры Azure.

Тег службы AzureFrontDoor.Backend предоставляет список IP-адресов, которые Front Door использует для подключения к источникам. Этот тег службы можно использовать в правилах группы безопасности сети. Вы также можете скачать набор данных ip-адресов Azure и тегов служб, который регулярно обновляется с помощью последних IP-адресов.

Кроме того, следует разрешить трафик из базовых служб168.63.129.16через виртуализированные IP-адреса узла и169.254.169.254.

Предупреждение

Пространство IP-адресов Front Door регулярно изменяется. Убедитесь, что вы используете тег службы AzureFrontDoor.Backend вместо жесткого написания IP-адресов.

Идентификатор Front Door

Только фильтрация IP-адресов недостаточно для защиты трафика к источнику, так как другие клиенты Azure используют те же IP-адреса. Необходимо также настроить источник, чтобы убедиться, что трафик был получен из профиля Front Door.

Azure создает уникальный идентификатор для каждого профиля Front Door. Идентификатор можно найти в портал Azure, найдя значение идентификатора Front Door на странице обзора профиля.

Когда Front Door отправляет запрос в источник, он добавляет X-Azure-FDID заголовок запроса. Источник должен проверить заголовок на входящих запросах и отклонить запросы, в которых значение не соответствует идентификатору профиля Front Door.

Пример конфигурации

В следующих примерах показано, как защитить различные типы источников.

Вы можете использовать Служба приложений ограничения доступа для фильтрации IP-адресов, а также фильтрации заголовков. Возможность предоставляется платформой, и вам не нужно изменять приложение или узел.

Шлюз приложений развертывается в виртуальной сети. Настройте правило группы безопасности сети, чтобы разрешить входящий доступ к портам 80 и 443 из тега службы AzureFrontDoor.Backend , а также запретить входящий трафик через порты 80 и 443 из тега службы Интернета .

Используйте настраиваемое правило брандмауэра веб-приложения (WAF), чтобы проверить значение заголовка X-Azure-FDID . Для получения дополнительных сведений см. статью Создание и использование настраиваемых правил брандмауэра веб-приложений версии 2 в шлюзе приложений.

Чтобы настроить маршрутизацию трафика в Служба Azure Kubernetes (AKS) с Шлюз приложений для контейнеров, настройте правило HTTPRoute для сопоставления входящего трафика из Azure Front Door с помощью заголовка X-Azure-ПИИD.

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

При запуске Microsoft IIS (IIS) на размещенной в Azure виртуальной машине необходимо создать группу безопасности сети в виртуальной сети, на котором размещена виртуальная машина. Настройте правило группы безопасности сети, чтобы разрешить входящий доступ к портам 80 и 443 из тега службы AzureFrontDoor.Backend , а также запретить входящий трафик через порты 80 и 443 из тега службы Интернета .

Используйте файл конфигурации IIS, как в следующем примере, чтобы проверить X-Azure-FDID заголовок в входящих запросах:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

При запуске AKS с контроллером входящего трафика NGINX необходимо создать группу безопасности сети в виртуальной сети, в которую размещается кластер AKS. Настройте правило группы безопасности сети, чтобы разрешить входящий доступ к портам 80 и 443 из тега службы AzureFrontDoor.Backend , а также запретить входящий трафик через порты 80 и 443 из тега службы Интернета .

Используйте файл конфигурации входящего трафика Kubernetes, как в следующем примере, чтобы проверить X-Azure-FDID заголовок в входящих запросах:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Узнайте, как настроить профиль WAF в Front Door.
Дополнительные сведения о создании Front Door.
Дополнительные сведения о том, как работает Front Door.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-09-25