我有 3 個 Azure Web 應用程式需要能夠相互連線。
一個運行 FE 網站 - 需要從外部存取。
另外兩個我只是運行 FE 站點使用的服務。這些沒有必要向公眾開放,因此我想限制這一點。
限制公眾訪問這兩個網路應用程式但仍允許公眾訪問 FE 網站的最佳方法是什麼?
答案1
要將 Web 應用程式限制為公共訪問,您應該將其部署在沒有公共存取權限且在公用和私人 Azure 之間有防火牆的 Azure VLAN 中,或僅限制 Web 伺服器層級的存取。後者不能防止您受到網路攻擊,而防火牆可以。
作為最簡單的解決方案,您可以透過 IP 或驗證將您的 Web 應用程式限制在 Web 伺服器層級。
透過IP限制訪問
一個可能的選擇是透過 IP 位址限制對應用程式的存取。可以將 IP 位址新增為允許的 IP 位址網路設定您的申請。所有其他 IP 位址都將從 Azure 獲得 403 Forbidden 回應。
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<clear />
<add ipAddress="83.116.19.53"/> <!-- block one IP -->
<add ipAddress="83.116.119.0" subnetMask="255.255.255.0"/> <!--block network 83.116.119.0 to 83.116.119.255-->
</ipSecurity>
</security>
</system.webServer>
限制特定使用者的訪問
另一種選擇是透過在 Web 應用程式上啟用身份驗證來限制存取。這可以針對多個身份驗證提供者完成,例如:Azure Active Directory、Google、Facebook、Twitter 和 Microsoft。以下步驟將協助你將 Azure Active Directory 設定為驗證提供者。
- 在 Azure 入口網站中,導覽至 Web 應用程式的側邊欄標籤。
- 點擊“身份驗證/授權”並選擇“開”。啟動此選項將為您提供身份驗證提供者的多個選項。我們將選擇 Azure Active Directory。
- 由於沒有預先配置的應用程序,因此選擇“Express”選項。此選項將為我們在 Azure Active Directory 中註冊企業應用程序,或讓您選擇現有的。
- 按一下此側邊欄標籤上的「儲存」將在 Azure Active Directory 中註冊應用程式。請注意,您需要在 Azure AD 中擁有適當的角色才能註冊應用程式(全域管理員或雲端應用程式管理員)。如果您沒有,則需要向租用戶管理員要求註冊。
- 若要授予使用者對應用程式的存取權限,請開啟 Azure 入口網站中的 Azure Active Directory 側邊欄選項卡,然後選擇企業應用程式。
- 在「企業應用程式」側邊欄標籤中,選擇「所有應用程式」以查看在 Azure Active Directory 中註冊的所有應用程式的清單。從此清單中選擇應用程式。這將打開特定應用程式的刀片。
- 在側邊欄標籤中選擇「使用者和群組」。在「使用者和群組」側邊欄標籤中,顯示被授予應用程式存取權限的所有使用者。從這裡您可以新增使用者以授予他們存取權限。