Skydda trafiken till Azure Front Door-källor

Viktigt!

Azure Front Door (klassisk) stöder inte skapande av profil, ny domänregistrering eller hanterade certifikat och dras tillbaka på March 31, 2027. För att undvika avbrott i tjänsten migrera till Azure Front Door Standard eller Premium. Läs mer.

Funktionerna i Azure Front Door fungerar bäst när trafiken bara flödar via Front Door. Du bör konfigurera ditt ursprung för att blockera trafik som inte har skickats via Front Door. Annars kan trafiken kringgå Front Door brandvägg för webbprogram, DDoS-skydd och andra säkerhetsfunktioner.

Tillvägagångssätt	Nivåer som stöds
Private Link	Premie
Hanterade identiteter	Standard, Premium
IP-adressfiltrering	Klassisk, Standard, Premium
Front Door-identifierare	Klassisk, Standard, Premium

Kommentar

I den här artikeln refererar ursprung och ursprungsgruppen till backend och backendpoolen i Azure Front Door-konfigurationen (klassisk).

Front Door innehåller flera metoder som du kan använda för att begränsa ursprungstrafiken.

Private Link-aktiverade källor

När du använder premiumnivån för Azure Front Door kan du använda Private Link för att skicka trafik till ditt ursprung. Läs mer om Private Link-ursprung.

Du bör konfigurera ditt ursprung för att inte tillåta trafik som inte kommer via Private Link. Hur du begränsar trafiken beror på vilken typ av Private Link-ursprung du använder:

Azure App Service och Azure Functions inaktiverar automatiskt åtkomst via offentliga Internetslutpunkter när du använder Private Link. Mer information finns i Använda privata slutpunkter för Azure Web App.
Azure Storage tillhandahåller en brandvägg som du kan använda för att neka trafik från Internet. Mer information finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.
Interna lastbalanserare med Azure Private Link-tjänsten kan inte dirigeras offentligt. Du kan också konfigurera nätverkssäkerhetsgrupper så att du inte tillåter åtkomst till ditt virtuella nätverk från Internet.

Hanterade identiteter

Hanterade identiteter som tillhandahålls av Microsoft Entra ID gör det möjligt för Din Front Door-instans att på ett säkert sätt komma åt andra Microsoft Entra-skyddade resurser, till exempel Azure Blob Storage, utan att behöva hantera autentiseringsuppgifter. När du har aktiverat hanterad identitet för Front Door och beviljat den hanterade identiteten nödvändiga behörigheter till ditt ursprung använder Front Door den hanterade identiteten för att hämta en åtkomsttoken från Microsoft Entra-ID:t för åtkomst till den angivna resursen. Efter att ha erhållit token sätter Front Door värdet för token i auktoriseringshuvudet med hjälp av Bearer-schemat och vidarebefordrar sedan begäran till ursprungsservern. Front Door cachelagrar ett token tills det upphör att gälla. Mer information finns i Använda hanterade identiteter för att autentisera till ursprung (förhandsversion).

Offentliga IP-adressbaserade ursprung

När du använder offentliga IP-adressbaserade ursprung finns det två metoder som du bör använda tillsammans för att säkerställa att trafiken flödar genom din Front Door-instans:

Konfigurera IP-adressfiltrering för att säkerställa att begäranden till ditt ursprung endast godkänns från Ip-adressintervallen för Front Door.
Konfigurera ditt program för att verifiera X-Azure-FDID huvudvärdet, som Front Door kopplar till alla begäranden till ursprunget, och se till att dess värde matchar Front Door-identifieraren.

IP-adressfiltrering

Konfigurera IP-adressfiltrering för dina ursprungspunkter för att acceptera trafik från backendens IP-adressutrymme för Azure Front Door och endast Azures infrastrukturtjänster.

Tjänsttaggen AzureFrontDoor.Backend innehåller en lista över DE IP-adresser som Front Door använder för att ansluta till ditt ursprung. Du kan använda den här tjänsttaggen i dina regler för nätverkssäkerhetsgrupper. Du kan också ladda ned datauppsättningen Azure IP-intervall och tjänsttaggar , som uppdateras regelbundet med de senaste IP-adresserna.

Du bör också tillåta trafik från Azures grundläggande infrastrukturtjänster via de virtualiserade värd-IP-adresserna 168.63.129.16 och 169.254.169.254.

Varning

Front Door IP-adressutrymme ändras regelbundet. Se till att du använder tjänsttaggen AzureFrontDoor.Backend i stället för hårdkodade IP-adresser.

Front Door-identifierare

Enbart IP-adressfiltrering räcker inte för att skydda trafik till ditt ursprung, eftersom andra Azure-kunder använder samma IP-adresser. Du bör också konfigurera ditt ursprung för att säkerställa att trafiken har sitt ursprung från din Front Door-profil.

Azure genererar en unik identifierare för varje Front Door-profil. Du hittar identifieraren i Azure Portal genom att leta efter Front Door-ID-värdet på sidan Översikt i din profil.

När Front Door skickar en begäran till ditt ursprung lägger den till begärandehuvudet X-Azure-FDID . Din källa bör granska headern på inkommande förfrågningar och avvisa förfrågningar där värdet inte matchar identifieraren för din Front Door-profil.

Exempelkonfiguration

I följande exempel visas hur du kan skydda olika typer av ursprung.

Du kan använda Åtkomstbegränsningar för App Service för att utföra IP-adressfiltrering samt sidhuvudfiltrering. Funktionen tillhandahålls av plattformen och du behöver inte ändra ditt program eller din värd.

Application Gateway distribueras till ditt virtuella nätverk. Konfigurera en regel för nätverkssäkerhetsgrupp för att tillåta inkommande åtkomst på portarna 80 och 443 från tjänsttaggen AzureFrontDoor.Backend och tillåt inte inkommande trafik på portarna 80 och 443 från internettjänsttaggen .

Använd en anpassad WAF-regel (Web Application Firewall) för att kontrollera X-Azure-FDID rubrikvärdet. Mer information finns i Skapa och använda anpassade regler för Web Application Firewall v2 på Application Gateway.

Konfigurera trafikroutning i Azure Kubernetes Service (AKS) med Application Gateway för containrar genom att ställa in en HTTPRoute-regel som matchar inkommande trafik från Azure Front Door med hjälp av X-Azure-FDID-huvudet.

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

När du kör Microsoft Internet Information Services (IIS) på en virtuell Azure-värddator bör du skapa en nätverkssäkerhetsgrupp i det virtuella nätverk som är värd för den virtuella datorn. Konfigurera en regel för nätverkssäkerhetsgrupp för att tillåta inkommande åtkomst på portarna 80 och 443 från tjänsttaggen AzureFrontDoor.Backend och tillåt inte inkommande trafik på portarna 80 och 443 från internettjänsttaggen .

Använd en IIS-konfigurationsfil som i följande exempel för att inspektera X-Azure-FDID rubriken på dina inkommande begäranden:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

När du kör AKS med en NGINX-ingresskontrollant bör du skapa en nätverkssäkerhetsgrupp i det virtuella nätverk som är värd för AKS-klustret. Konfigurera en regel för nätverkssäkerhetsgrupp för att tillåta inkommande åtkomst på portarna 80 och 443 från tjänsttaggen AzureFrontDoor.Backend och tillåt inte inkommande trafik på portarna 80 och 443 från internettjänsttaggen .

Använd en Kubernetes ingresskonfigurationsfil som i följande exempel för att granska X-Azure-FDID headern på inkommande förfrågningar:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Lär dig hur du konfigurerar en WAF-profil på Front Door.
Läs hur du skapar en Front Door.
Läs hur Front Door fungerar.

Feedback

Var den här sidan till hjälp?

Last updated on 2026-05-05