问题描述
总所周知,Azure App Service服务会默认提供一个 ***.chinacloudsites.cn为后缀的域名,但是该域名由上海蓝云网络科技有限公司备案,仅用于向其客户提供 Azure 服务。
而如果不进行ICP备案,任何通过公网流量访问默认域名都会被封堵。因为Azure后台会根据对默认域名的请求次数和频率自动扫描,如果被扫中,就会被封堵。所以为了避免这样的情况,所以需要禁止任何人使用默认域名访问!
问题分析
方式一:使用IIS的rewrite规则,发现访问的时默认域名,返回403
修改App Service wwwroot根目录中的web.config文件(如没有,可以直接复制下文内容,新建web.config文件)
<system.webServer>
<rewrite>
<rules>
<rule name="Disable Azure Domain" patternSyntax="Wildcard" stopProcessing="true">
<match url="*" />
<conditions logicalGrouping="MatchAll" trackAllCaptures="false">
<add input="{HTTP_HOST}" pattern="*.chinacloudsites.cn" />
</conditions>
<action type="CustomResponse" statusCode="403" />
</rule>
</rules>
</rewrite>
</system.webServer>
修改后效果:
方式二:使用应用程序网关,保护后端App Service
1)创建应用程序网关,按照教程把网关的后端池设置为App Service (又名 Web App)
教程:将应用服务添加为后端池:https://docs.azure.cn/zh-cn/application-gateway/configure-web-app-portal#add-app-service-as-backend-pool
2)回到App Service页面,进入Network网络设置页面,在限制访问中,配置只允许应用程序网关的IP地址进行访问。
注意:此时,自定义域名就不是绑定在App Service上,而是通过A记录的方式,在DNS服务器配置上指向应用程序网关的IP地址。
验证效果:
参考资料
将应用服务添加为后端池:https://docs.azure.cn/zh-cn/application-gateway/configure-web-app-portal#add-app-service-as-backend-pool
设置 Azure 应用服务访问限制:https://docs.azure.cn/zh-cn/app-service/app-service-ip-restrictions
