在Azure前門屏蔽80端口訪問

Question

我創建了一個標准層 Front Door，其中包含必要的 Azure WAF 和默認配置。 如果我這樣做：

Test-NetConnection -ComputerName "<frontdoorurl>-dev-xxxxxx.z01.azurefd.net" -Port 80

ComputerName     : <frontdoorurl>-dev-xxxxxx.z01.azurefd.net
RemoteAddress    : xxxx:xxx:xx:x::xx
RemotePort       : 80
InterfaceAlias   : Ethernet 7
SourceAddress    : xxxx:xxxx:xx:xxx:xxxx:xxxx:xxx:xxxx
TcpTestSucceeded : True

我無法永久阻止此操作 - 我嘗試在服務器端口上設置一個等於 80 條件的規則，但沒有合適的操作來阻止端口 80 訪問。

如何永久阻止此操作，以便 Test-NetConnection 的結果為 False？ 或者有沒有辦法阻止從外部訪問端口 80？

PS 我試過詢問 ChatGPT - 它告訴我使用網絡安全組並阻止端口 80。但是在前門的最新 Azure 門戶設置中 - 沒有做出這樣的規定。

Answer 1

Azure Front Door 默認允許 https 請求，但您可以使用路由規則限制每個端點的 http 請求。
注意：對於前門 URL， Test-NetConnection不會返回錯誤結果，因為 FD 將嘗試頻繁獲取服務響應，如果無法訪問，將發送諸如“服務已關閉”之類的消息。

這是從 Front Door 限制端口 80 的方法。

第 1 步：創建具有 2 個后端池的前門應用程序，並按如下方式配置路由規則。

Step2: 更新路由規則 https & https request allows both allow

驗證：當瀏覽URL時，它會同時允許http和https呼叫

Step3：現在為了限制后台的http[80]端口，只更新路由規則為https。

第四步：保存 Front Door 設置

第五步：現在https [443]端口只允許訪問應用程序，80端口不允許通過前門URL。

注意：我們需要從應用端點端和服務器端限制端口 80。 否則，當我們從 Test-NetConnection ping 時，它將返回一個真值。 因為 Front Door 會像這樣給出該站點無法訪問后端池的響應因為這個配置

Answer 2

Azure Front Door 由一個分布式 POP（入網點）網絡組成，它們正在 Anycast IP 上偵聽端口 80 和 443，這意味着您將被路由到離您最近的任何 POP。 您的 AFD 端點將解析為這些 Anycast IP 之一。 您不能阻止端口 80，因為這些 POP 處理的不僅僅是您的站點。 還有許多其他客戶在這些 POP 上托管站點，有些客戶接受 HTTP，因此端口 80 是開放的。 HTTP 到 HTTPS 重定向也需要它。 對於 TCP 連接，域名是無關緊要的，因為我們還不在 HTTP 層。

您始終可以將流量從 HTTP 重定向到 HTTPS，但這些 POP 不受您的控制，這與應用程序網關之類的東西不同。 使用 App Gateway，您可以監聽任何您想要的端口，因為它不會與其他客戶共享。