IP-адрес клиента черного списка в шлюзе приложений Azure

Question

Мы используем шлюз приложений Azure для нашего сайта, и у нас мало кто ломает наш сайт. Мы хотим заблокировать их IP на уровне шлюза, поскольку не хотим настраивать одинаковые блоки в каждом веб-сервисе.

Мы не можем найти способ блокировки IP-адресов, используя только шлюз или его виртуальную сеть. У кого-нибудь была такая же проблема, и она может осветить наш путь?

Answer 1

Вы можете развернуть шлюз приложений в виртуальной сети. Если это так, у вас будет выделенная подсеть для этого шлюза приложений. Эта подсеть может содержать только шлюзы приложений. Вы можете связать NSG с этой подсетью. Если это так, вы можете ограничить входящий и исходящий трафик из этой подсети Application Gateway через правила безопасности входящего или исходящего трафика в NSG. В этом случае вы можете добавить входящее правило безопасности, чтобы включить в список IP-адреса своих клиентов.

См. DOC , Примечание:

В приложении поддерживаются группы безопасности сети (NSG). подсеть шлюза со следующими ограничениями:

Для входящего трафика через порты 65503-65534 необходимо внести исключения для SKU Application Gateway v1 и портов 65200 - 65535 для v2 SKU. Этот диапазон портов необходим для инфраструктуры Azure коммуникации. Они защищены (заблокированы) сертификатами Azure. Без надлежащих сертификатов, внешние лица, в том числе клиенты этих шлюзов не смогут инициировать какие-либо изменения на этих конечных точках.

Исходящее интернет-соединение не может быть заблокировано.

Трафик из тега AzureLoadBalancer должен быть разрешен.

Надеюсь, это поможет.