静态 Web 应用的 Azure Front Door WAF ip 限制
Azure Front Door WAF ip restrictions for static web apps
我一直在尝试针对 Azure 静态 Web 应用程序的 IP 限制实施 Azure Front Door 自定义规则。到目前为止我有:
- 配置静态 Web 应用程序以支持 Front Door:https://docs.microsoft.com/en-us/azure/static-web-apps/front-door-manual
- 为 Front Door 配置的域、后端和路由
- 添加了 WAF 策略和遵循此指南的 ip 限制自定义规则:https://docs.microsoft.com/en-us/azure/web-application-firewall/afds/waf-front-door-configure-ip-restriction
除了 IP 限制规则似乎阻止了所有流量(或至少是它应该允许通过的 IP)外,其他一切正常。与地理位置类似的规则工作得很好。 IP 限制规则是:
- 匹配类型:IP 地址
- 匹配变量:SocketAddr(也尝试使用 RemoteAddr,结果相同)
- 操作:不包含
- IP 范围:应通过的 X.X.X.X/32 列表。
- 操作:阻止
日志显示来自 IP 范围内 IP 的流量确实被 Front Door 阻止。
有没有人设法让这样的设置工作,或者我正在尝试做的事情是否有明显的错误?我们已经与一位同事一起检查了规则和日志,没有发现任何明显的错误,而且基于地理位置的阻止有效这一事实让我相信,这种情况可能不适用于 Front Door 和静态 Web 应用程序。
我能找到的一些讨论:
- 静态 Web 应用程序问题:https://github.com/Azure/static-web-apps/issues/373
- 此处与 Web 应用程序相关的类似问题:
(提到的 header 在静态 Web 应用程序配置中实现)
不使用前门,但现在可以直接在 SWA 上执行 IP 限制,只要您使用 Standard SKU
解决方法是将规则 100 设置为允许 /32 IP,然后将其后的任何特定拒绝为 200。
您的规则看起来不错,所以只要您等待足够的时间让配置传播到所有前门(最多 20-25 分钟),它就会按照您的预期工作。
我一直在尝试针对 Azure 静态 Web 应用程序的 IP 限制实施 Azure Front Door 自定义规则。到目前为止我有:
- 配置静态 Web 应用程序以支持 Front Door:https://docs.microsoft.com/en-us/azure/static-web-apps/front-door-manual
- 为 Front Door 配置的域、后端和路由
- 添加了 WAF 策略和遵循此指南的 ip 限制自定义规则:https://docs.microsoft.com/en-us/azure/web-application-firewall/afds/waf-front-door-configure-ip-restriction
除了 IP 限制规则似乎阻止了所有流量(或至少是它应该允许通过的 IP)外,其他一切正常。与地理位置类似的规则工作得很好。 IP 限制规则是:
- 匹配类型:IP 地址
- 匹配变量:SocketAddr(也尝试使用 RemoteAddr,结果相同)
- 操作:不包含
- IP 范围:应通过的 X.X.X.X/32 列表。
- 操作:阻止
日志显示来自 IP 范围内 IP 的流量确实被 Front Door 阻止。
有没有人设法让这样的设置工作,或者我正在尝试做的事情是否有明显的错误?我们已经与一位同事一起检查了规则和日志,没有发现任何明显的错误,而且基于地理位置的阻止有效这一事实让我相信,这种情况可能不适用于 Front Door 和静态 Web 应用程序。
我能找到的一些讨论:
- 静态 Web 应用程序问题:https://github.com/Azure/static-web-apps/issues/373
- 此处与 Web 应用程序相关的类似问题:
不使用前门,但现在可以直接在 SWA 上执行 IP 限制,只要您使用 Standard SKU
解决方法是将规则 100 设置为允许 /32 IP,然后将其后的任何特定拒绝为 200。
您的规则看起来不错,所以只要您等待足够的时间让配置传播到所有前门(最多 20-25 分钟),它就会按照您的预期工作。