Поддерживает ли служба приложений Azure расширенные списки ACL?

Question

Мне интересно, как работают ограничения IP в службе приложений Azure.Документация гласит:

https://docs.microsoft.com/en-us/azure/app-service/app-service-ip-restrictions

"Возможность ограничения IP реализована в внешних ролях службы приложений, которые находятся выше по потоку от рабочих хостов, на которых выполняется ваш код. Следовательно, IPОграничения фактически являются сетевыми ACL-списками. "

Но это не сетевые ACL-списки, а правила брандмауэра на другом компьютере - это допустимое утверждение?

Есть ли способ настроить расширенные ACL (с правилами на основе портов), если это не так?

Answer 1

В веб-приложениях Azure открыты только порты 80 и 443, поэтому на самом деле нет правил для правил на основе портов.Если вы действительно хотите заблокировать свое веб-приложение, вы можете отключить функцию FTP в настройках приложения, и вы можете принудительно установить HTTPS в настройках пользовательского домена.Кроме того, если вы хотите применить группы сетевой безопасности к веб-приложению, вы можете развернуть его в среде службы приложений (ASE v2) , которая является изолированным экземпляром, который можно развернуть с частным IP-адресом.

Вы также можете использовать шлюз приложений с брандмауэром веб-приложений (WAF) для защиты своего веб-приложения.Если вы планируете использовать шлюз приложений с мультитенантным веб-приложением (не ASE), см. Нашу документацию здесь .