可以从共享IP地址中解除webapp的绑定吗？

Question

日安，

正如我们所知，创建基于IP的TLS绑定 (与SNI绑定相反)为App分配一个专用IP地址。但它仍然可以通过与其他网络应用共享的IP (包括其他客户的网络应用)访问。

在某些情况下，我更愿意只允许通信通过专用IP，通过共享IP阻塞通信。是否有可能从共享端点解除the应用程序的绑定？

(我为什么更喜欢这个？比方说，我在这个应用程序前面放了一个WAF服务，这样它就可以检查流量了。我可以使用访问限制来限制我的应用程序对WAF地址范围的访问，但是如果攻击者在同一个WAF上打开一个帐户并将他自己的站点指向我的IP，这将于事无补。一个补救办法- WAF服务可以注册这个IP为我的帐户专用，所以其他WAF用户将无法指向他们的网站到它。但是，当然，我不能用共享的Azure IP来实现这一点，因为这样，拥有Azure affected站点的合法WAF用户就会受到影响)。

谢谢，穆修斯。

Answer 1

显然，如果没有额外的组件，这是不可能的。但如果我这么做

• 将应用程序网关或防火墙放置在VNET子网中的IaaS VM (甚至一些支持端口转发的普通VM )上，
• 把我的webapp绑定到同一个VNET上，
• 使用“访问限制”只允许从Gateway的子网访问我的webapp应用程序，
• 将NSG附加到此子网并使用它只允许来自CDN范围的传入通信量，
• 把CDN指向这个网关的公共IP -

然后解决了这个问题，因为网关的IP不与其他客户共享。