1. дома
  2. Вопрос и ответ
  3. Как подключить веб-приложение Azure (службу приложений/веб-сайт) к группе сетевой безопасности?

Как подключить веб-приложение Azure (службу приложений/веб-сайт) к группе сетевой безопасности?

2016-09-22 5 views
2

Я не уверен, что я пропустил что-то простое, или если я пытаюсь сделать невозможное.Как подключить веб-приложение Azure (службу приложений/веб-сайт) к группе сетевой безопасности?

У меня есть сайт Tomcat, развернутый на Azure с использованием модели Web + Mobile App Services. Это не виртуальная машина. Я хотел бы иметь возможность применять правила брандмауэра (группа сетевой безопасности) к этой службе приложений.

Вот что я сделал в моей группе ресурсов:

  1. Взятые мой существующий App Service (Tomcat) и модернизировал его S1 размера машины.
  2. Создал VNET с настройками по умолчанию. Это включало создание подсети с именем «default». Все предложения адресного пространства остались в приглашениях по умолчанию Azure.
  3. Используется лезвие настроек сети в службе App, чтобы выбрать только что созданный VNET.
  4. Создал группу безопасности сети - добавлено входящее правило, чтобы запретить HTTP-порт 80 из любого источника.
  5. Associated NSG создан выше подсети по умолчанию
  6. Ждали все на распространение информации
  7. Испытано ударять App службы по HTTP порт 80, и вернулся получили результаты.

Это было не то, что я надеялся увидеть. Для отладки это я проверил:

  1. Создание Tomcat виртуальной машины
  2. На клинке VM Network, связанную ВМ с подсетью «по умолчанию», а конкретно удалили группу Network Security от VM (оставляя его на подсеть - только убедившись, что он явно не прилагается к VM)
  3. Испытано доступ HTTP к VM - трафик отвергнута
  4. Испытано доступ HTTP к App службы - трафик по-прежнему разрешено
  5. Изменены правила Network Group Security для разрешить
  6. Испытано доступ HTTP к VM и трафику разрешен

Как я получаю App Service, чтобы использовать сетевую группу безопасности, как виртуальная машина делает? Мне где-то не хватает настройки подсети в службе App? Есть ли другой способ связать NSG с Службой App?

У меня нет бюджета/необходимости создания ASE. Все, что мне нужно сделать, это поставить брандмауэр перед моей службой приложений, чтобы заблокировать порты, которые я не хочу видеть используемыми.

Спасибо.

источник

2016-09-22 Cam

ответ

2

Вы пытаетесь сделать невозможное. Помните, что веб-приложения в App Service имеют VPN в VNET, между интернетом нет ничего, кроме 80/TCP, 443/TCP в службе многоуровневых приложений, которой вы управляете.

Client ---> 80/TCP Frontend layer ---> 80/TCP Web App ---> Point-to-site VPN ---> VNET ---> NSG_associated_with_subnet

Таким образом, не идти.

Посмотрите, работает ли <ipSecurity> для вашего прецедента (мой другой ответ здесь дает быстрый образец - https://stackoverflow.com/a/38808091/4148708). Кроме того, вам нужна среда обслуживания приложений (ASE) или внутренняя среда обслуживания приложений балансировки нагрузки (ILB ASE).

Они оба непосредственно сидят в подсети в VNET, поэтому вы можете контролировать трафик с помощью NSG.

источник

2016-09-22 21:36:19 evilSnobu

+0

Я предполагаю, что так как это – Cam

+0

Я предполагаю, что, поскольку это PaaS, частью платформы я доверяю, что команда Azure правильно настроила внешний брандмауэр. Я никогда не развертывал веб-приложение до того, где я ** не получал контроль/ответственность за установку брандмауэра. Я просто предположил, что я тоже здесь ответственен за это. Я использую механизм для перенаправления трафика с 80 до 443 и в подкаталоги для администрирования whitelist. И пересечь пальцы, что команда Лазури обеспечила платформу. – Cam

+0

Переписать правила для 80-> 443. Искать Force HTTPS здесь http://microsoftazurewebsitescheatsheet.info/ Укажите свой страх. Каковы векторы атаки, которые вы имеете в виду, и могут быть адресами с правилами брандмауэра? – evilSnobu

 Смежные вопросы

  • Нет связанных вопросов^_^