Добиться блокировки на уровне страны при использовании azure traffi c manager и azure шлюза приложений с WAF

Question

Мы использовали azure traffi c manager и azure прикладной шлюз с брандмауэром веб-приложений для MVC C# веб-приложения, которое размещено на виртуальной машине Azure.

Из соображений безопасности нам необходимо разрешить указание c IP-адресов и заблокировать доступ на уровне страны. Но мы не можем найти способ заблокировать доступ на уровне страны, а также разрешить указывать c IP-адреса из этой страны.

Можете ли вы указать способ / возможность достижения этого?
Нужна ли ему какая-либо другая служба azure или она может быть достигнута с помощью существующих служб / конфигурации.

Answer 1

Мы не можем найти способ заблокировать доступ на уровне страны, а также разрешить указывать c IP-адреса из этой страны.

Из сетевого подключения IP-адрес определяет только местоположение терминального устройства. Кроме того, местоположение устройства из страны включено в этот уровень страны. Если вы решите заблокировать некоторые страны (например, вы можете посмотреть геофильтрация с WAF для Azure Front Door), но это заблокирует все IP-адреса из этой страны, так как WAF должен работать впереди. службы веб-приложений или шлюза приложений. Поэтому я не думаю, что это возможно.

На самом деле, вы хотите разрешить некоторые конкретные c IP-адреса, вы можете просто разрешить эти IP-адреса во входящем правиле NSG, которое является связанный со шлюзом приложений su bnet и внесением в белый список вашего шлюза приложений su bnet в правиле NSG серверных виртуальных машин Azure без какого-либо другого доступа inte rnet. Это позволит только этому IP-адресу получать доступ к вашему бэкэнд-приложению через Azure Application Gateway. Подробнее читайте в этом блоге .