【Azure 應用服務】探索在Azure上設置禁止任何人訪問App Service的默認域名(Default URL)

2021 年 12 月 31 日
筆記
【Azure 應用服務】, App Service, Azure 環境, 禁止訪問Azure App Service默認域名

問題描述

總所周知，Azure App Service服務會默認提供一個 ***.chinacloudsites.cn為後綴的域名，但是該域名由上海藍雲網路科技有限公司備案，僅用於向其客戶提供 Azure 服務。

而如果不進行ICP備案，任何通過公網流量訪問默認域名都會被封堵。因為Azure後台會根據對默認域名的請求次數和頻率自動掃描，如果被掃中，就會被封堵。所以為了避免這樣的情況，所以需要禁止任何人使用默認域名訪問！

問題分析

方式一：使用IIS的rewrite規則，發現訪問的時默認域名，返回403

修改App Service wwwroot根目錄中的web.config文件（如沒有，可以直接複製下文內容，新建web.config文件）

  <system.webServer>
              <rewrite>
                  <rules>
                    <rule name="Disable Azure Domain" patternSyntax="Wildcard" stopProcessing="true">
                      <match url="*" />
                      <conditions logicalGrouping="MatchAll" trackAllCaptures="false">
                        <add input="{HTTP_HOST}" pattern="*.chinacloudsites.cn" />
                      </conditions>
                      <action type="CustomResponse" statusCode="403" />
                    </rule>
                  </rules>
                </rewrite>
  </system.webServer>

修改後效果：

方式二：使用應用程式網關，保護後端App Service

1）創建應用程式網關，按照教程把網關的後端池設置為App Service (又名 Web App)

教程：將應用服務添加為後端池：//docs.azure.cn/zh-cn/application-gateway/configure-web-app-portal#add-app-service-as-backend-pool

2）回到App Service頁面，進入Network網路設置頁面，在限制訪問中，配置只允許應用程式網關的IP地址進行訪問。

注意：此時，自定義域名就不是綁定在App Service上，而是通過A記錄的方式，在DNS伺服器配置上指嚮應用程式網關的IP地址。

驗證效果：

參考資料

Rewrite配置資訊：//docs.microsoft.com/en-us/iis/extensions/url-rewrite-module/url-rewrite-module-configuration-reference#rewrite-rule-configuration

將應用服務添加為後端池：//docs.azure.cn/zh-cn/application-gateway/configure-web-app-portal#add-app-service-as-backend-pool

設置 Azure 應用服務訪問限制：//docs.azure.cn/zh-cn/app-service/app-service-ip-restrictions

Tags: 【Azure 應用服務】 App Service Azure 環境禁止訪問Azure App Service默認域名

Previous post

在ABP VNext框架中對HttpApi模組的控制器進行基類封裝

Next post

Spring Boot 2 中如何使用 Log4j2 記錄日誌