Verkeer beveiligen naar Azure Front Door-bronnen

Belangrijk

Azure Front Door (klassiek) biedt geen ondersteuning voor het maken van profielen, het onboarden van nieuwe domeinen of beheerde certificaten en wordt buiten gebruik gesteld op March 31, 2027. Om serviceonderbreking te voorkomen, migreren naar Azure Front Door Standard of Premium. Meer informatie.

De functies van Azure Front Door werken het beste wanneer verkeer alleen door Front Door stroomt. U moet uw oorsprong configureren om verkeer te blokkeren dat niet via Front Door is verzonden. Anders kan verkeer de firewall van Front Door voor webtoepassingen, DDoS-beveiliging en andere beveiligingsfuncties omzeilen.

Methode	Ondersteunde niveaus
Private Link	Premium
Beheerde identiteiten	Standard, Premium
IP-adresfiltering	Klassiek, Standard, Premium
Front Door-id	Klassiek, Standard, Premium

Notitie

Origin en origin group in dit artikel verwijzen naar de backend en backendpool van de configuratie van Azure Front Door (klassiek).

Front Door biedt verschillende benaderingen die u kunt gebruiken om uw oorsprongverkeer te beperken.

Origins met Private Link ingeschakeld

Wanneer u de Premium-laag van Azure Front Door gebruikt, kunt u Private Link gebruiken om verkeer naar uw oorsprong te verzenden. Meer informatie over de oorsprong van Private Link.

U moet uw oorsprong configureren om verkeer dat niet via Private Link wordt geleverd, te weigeren. De manier waarop u verkeer beperkt, is afhankelijk van het type Private Link-oorsprong dat u gebruikt:

Azure-app Service en Azure Functions schakelen de toegang automatisch uit via openbare interneteindpunten wanneer u Private Link gebruikt. Zie Privé-eindpunten gebruiken voor Azure Web App voor meer informatie.
Azure Storage biedt een firewall die u kunt gebruiken om verkeer van internet te weigeren. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie.
Interne load balancers met de Azure Private Link-service zijn niet openbaar routeerbaar. U kunt ook netwerkbeveiligingsgroepen configureren om ervoor te zorgen dat u de toegang tot uw virtuele netwerk vanaf het internet niet toestaat.

Beheerde identiteiten

Beheerde identiteiten die door Microsoft Entra ID worden geleverd, stellen uw Front Door-exemplaar in staat om veilig toegang te krijgen tot andere met Microsoft Entra beveiligde resources, zoals Azure Blob Storage, zonder referenties te hoeven beheren. Nadat u een beheerde identiteit voor Front Door hebt ingeschakeld en de beheerde identiteit de benodigde machtigingen voor uw bron hebt verleend, zal Front Door de beheerde identiteit gebruiken om een toegangstoken van Microsoft Entra ID te verkrijgen voor toegang tot de opgegeven resource. Nadat het token is verkregen, stelt Front Door de waarde van het token in de autorisatieheader in met behulp van het Bearer-schema en stuurt de aanvraag vervolgens door naar de oorsprong. Front Door slaat het token in de cache op totdat het verloopt. Zie Beheerde identiteiten gebruiken om te verifiëren bij oorsprongen (preview) voor meer informatie.

Op openbare IP-adressen gebaseerde bronnen

Wanneer u op openbare IP-adressen gebaseerde origins gebruikt, zijn er twee benaderingen die u samen moet gebruiken om ervoor te zorgen dat verkeer via uw Front Door-exemplaar stroomt:

Configureer IP-adresfiltering om ervoor te zorgen dat aanvragen naar uw oorsprong alleen worden geaccepteerd vanuit de IP-adresbereiken van Front Door.
Configureer uw toepassing om de X-Azure-FDID headerwaarde te controleren, die Front Door aan alle aanvragen aan de oorsprong koppelt en ervoor te zorgen dat de waarde overeenkomt met de id van uw Front Door.

IP-adresfiltering

Configureer IP-adresfiltering voor uw origins om verkeer te accepteren van de back-end-IP-adresruimte van Azure Front Door en alleen de infrastructuurservices van Azure.

De azureFrontDoor.Backend-servicetag bevat een lijst met de IP-adressen die Front Door gebruikt om verbinding te maken met uw origins. U kunt deze servicetag gebruiken binnen de regels van uw netwerkbeveiligingsgroep. U kunt ook de gegevensset Azure IP-bereiken en servicetags downloaden, die regelmatig wordt bijgewerkt met de meest recente IP-adressen.

U moet ook verkeer van de basisinfrastructuurservices van Azure toestaan via de gevirtualiseerde HOST-IP-adressen 168.63.129.16 en 169.254.169.254.

Waarschuwing

De IP-adresruimte van Front Door verandert regelmatig. Zorg ervoor dat u de servicetag AzureFrontDoor.Backend gebruikt in plaats van vaste IP-adressen.

Front Door-identificatie

Filteren van IP-adressen is niet voldoende om verkeer naar uw oorsprong te beveiligen, omdat andere Azure-klanten dezelfde IP-adressen gebruiken. U moet ook uw oorsprong configureren om ervoor te zorgen dat verkeer afkomstig is van uw Front Door-profiel.

Azure genereert een unieke id voor elk Front Door-profiel. U vindt de ID in de Azure portal door te zoeken naar de Front Door ID op de overzichtspagina van uw profiel.

Wanneer Front Door een request naar uw origine doet, wordt de X-Azure-FDID request header toegevoegd. Uw bron moet de header van binnenkomende aanvragen controleren en aanvragen weigeren waarbij de waarde niet overeenkomt met de identificator van uw Front Door-profiel.

Voorbeeldconfiguratie

In de volgende voorbeelden ziet u hoe u verschillende soorten oorsprongen kunt beveiligen.

U kunt App Service-toegangsbeperkingen gebruiken om IP-adresfilters en headerfilters uit te voeren. De mogelijkheid wordt geleverd door het platform en u hoeft uw toepassing of host niet te wijzigen.

Application Gateway wordt geïmplementeerd in uw virtuele netwerk. Configureer een regel voor een netwerkbeveiligingsgroep om binnenkomende toegang toe te staan op poort 80 en 443 vanuit de servicetag AzureFrontDoor.Backend en om binnenkomend verkeer op poorten 80 en 443 vanaf de internetservicetag niet toe te staan.

Gebruik een aangepaste WAF-regel (Web Application Firewall) om de X-Azure-FDID headerwaarde te controleren. Zie Aangepaste regels voor Web Application Firewall v2 maken en gebruiken in Application Gateway voor meer informatie.

Om verkeersroutering te configureren in Azure Kubernetes Service (AKS) met Application Gateway for Containers, stelt u een HTTPRoute-regel in om inkomend verkeer van Azure Front Door te matchen met behulp van de X-Azure-FDID-header.

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

Wanneer u Microsoft Internet Information Services (IIS) uitvoert op een door Azure gehoste virtuele machine, moet u een netwerkbeveiligingsgroep maken in het virtuele netwerk dat als host fungeert voor de virtuele machine. Configureer een regel voor een netwerkbeveiligingsgroep om binnenkomende toegang toe te staan op poort 80 en 443 vanuit de servicetag AzureFrontDoor.Backend en om binnenkomend verkeer op poorten 80 en 443 vanaf de internetservicetag niet toe te staan.

Gebruik een IIS-configuratiebestand, zoals in het volgende voorbeeld om de X-Azure-FDID header op uw binnenkomende aanvragen te controleren:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Wanneer u AKS uitvoert met een NGINX-ingangscontroller, moet u een netwerkbeveiligingsgroep maken in het virtuele netwerk dat als host fungeert voor het AKS-cluster. Configureer een regel voor een netwerkbeveiligingsgroep om binnenkomende toegang toe te staan op poort 80 en 443 vanuit de servicetag AzureFrontDoor.Backend en om binnenkomend verkeer op poorten 80 en 443 vanaf de internetservicetag niet toe te staan.

Gebruik een kubernetes-configuratiebestand voor inkomend verkeer, zoals in het volgende voorbeeld om de X-Azure-FDID header op uw binnenkomende aanvragen te inspecteren:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Meer informatie over het configureren van een WAF-profiel op Front Door.
Lees hoe u een Front Door maakt.
Lees hoe Front Door werkt.

Feedback

Is deze pagina nuttig?

Last updated on 2025-09-25