Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Azure Front Door (классическая версия) не поддерживает создание профиля, подключение нового домена или управляемые сертификаты и выводится из эксплуатации 31 марта 2027 года. Чтобы избежать нарушения работы службы, перейти на Azure Front Door Standard или Premium. Дополнительные сведения см. в разделе вывод из эксплуатации Azure Front Door (классическая версия).
Функции Azure Front Door лучше всего работают, если трафик проходит только через Front Door. Необходимо настроить источник для блокировки трафика, который не был отправлен через Front Door. В противном случае трафик может обойти брандмауэр веб-приложения Front Door, защиту от атак DDoS и другие функции безопасности.
| Подход | Поддерживаемые уровни |
|---|---|
| Приватный канал | Премия |
| Управляемые учётные записи | Standard, Premium |
| Фильтрация IP-адресов | Классический, Стандартный, Премиум |
| Идентификатор "Front Door" | Классический, Стандартный, Премиум |
Примечание.
Термины источник и группа источников в этой статье обозначают серверную часть и серверный пул конфигурации Azure Front Door (классическая модель).
Front Door предоставляет несколько подходов, которые можно использовать для ограничения трафика источника.
Источники с поддержкой Приватный канал
При использовании уровня "Премиум" Azure Front Door можно использовать приватный канал для отправки трафика в источник. Дополнительные сведения об источниках Приватный канал.
Необходимо настроить источник для запрета трафика, который не проходит через Приватный канал. Способ ограничения трафика зависит от типа используемого источника Приватный канал:
- Служба приложений Azure и Функции Azure автоматически отключают доступ через общедоступные конечные точки Интернета при использовании Приватный канал. Дополнительные сведения см. в статье Использование частных конечных точек для веб-приложений Azure.
- служба хранилища Azure предоставляет брандмауэр, который можно использовать для запрета трафика из Интернета. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей.
- Внутренние балансировщики нагрузки со службой Приватный канал Azure не маршрутизируются в публичные сети. Вы также можете настроить группы безопасности сети, чтобы обеспечить запрет доступа к виртуальной сети из Интернета.
Управляемые учётные записи
Управляемые удостоверения, предоставляемые Microsoft Entra ID, позволяют экземпляру Front Door безопасно обращаться к другим защищенным ресурсам Microsoft Entra, таким как Хранилище BLOB-объектов Azure, без необходимости управлять учетными данными. После того как вы включите управляемое удостоверение для Front Door и предоставите этому удостоверению необходимые разрешения для доступа к вашему источнику, Front Door будет использовать управляемое удостоверение, чтобы получить маркер доступа из Microsoft Entra ID для доступа к указанному ресурсу. После успешного получения токена Front Door установит значение токена в заголовке авторизации по схеме Bearer, а затем отправит запрос к источнику. Front Door кэширует маркер до истечения срока его действия. Для получения дополнительной информации см. об использовании управляемых идентификаторов для аутентификации в источниках (предварительный).
Источники на основе общедоступных IP-адресов
При использовании источников, основанных на общедоступных IP-адресах, необходимо применять два подхода вместе, чтобы обеспечить прохождение трафика через экземпляр Front Door.
- Настройте фильтрацию IP-адресов, чтобы убедиться, что запросы к источнику принимаются только из диапазонов IP-адресов Front Door.
- Настройте ваше приложение так, чтобы проверять
X-Azure-FDIDзначение заголовка, которое Front Door добавляет ко всем запросам к источнику, и убедитесь, что его значение соответствует идентификатору вашего Front Door.
Фильтрация IP-адресов
Настройте фильтрацию IP-адресов для источников, чтобы принимать трафик из внутреннего IP-пространства Azure Front Door и только служб инфраструктуры Azure.
Тег службы AzureFrontDoor.Backend предоставляет список IP-адресов, которые Front Door использует для подключения к вашим источникам. Этот тег службы можно использовать в правилах группы безопасности сети. Вы также можете скачать набор данных диапазонов IP-адресов и тегов служб Azure, который регулярно обновляется с последними IP-адресами.
Кроме того, следует разрешить трафик из базовых инфраструктурных служб Azure через виртуализированные IP-адреса узла и 168.63.129.16.
Предупреждение
Пространство IP-адресов Front Door регулярно изменяется. Убедитесь, что вы используете тег службы AzureFrontDoor.Backend вместо жесткого кодирования IP-адресов.
Идентификатор "Front Door"
Только фильтрация IP-адресов недостаточно для защиты трафика к источнику, так как другие клиенты Azure используют те же IP-адреса. Необходимо также настроить источник, чтобы убедиться, что трафик был получен из вашего профиля Front Door.
Azure создает уникальный идентификатор для каждого профиля Front Door. Идентификатор можно найти в портале Azure, найдя значение Front Door ID на странице Обзор вашего профиля.
Когда Front Door отправляет запрос в источник, он добавляет X-Azure-FDID заголовок запроса. Ваша исходная серверная система должна проверять HTTP-заголовок на входящих запросах и отклонять запросы, значение которых не соответствует идентификатору профиля Front Door.
Пример конфигурации
В следующих примерах показано, как защитить различные типы источников.
- Служба приложений и функции
- Шлюз приложений
- Шлюз приложений для контейнеров
- ИИС
- Контроллер AKS NGINX
Вы можете использовать ограничения доступа службы приложений для фильтрации IP-адресов и заголовков. Возможность предоставляется платформой, и вам не требуется изменять приложение или хост.
Связанный контент
- Узнайте, как настроить профиль WAF в Front Door.
- Узнайте, как создать Front Door.
- Дополнительные сведения о том, как работает Front Door.