我需要阻止一些外部源in来访问Azure应用程序网关中后端池中的一些站点

Question

我的场景如下：

• 我的数据中心的应用网关：
• 一个后端池，其中我有两个服务器，有5个网站(a.com、b.com和c.com)
• 另一个后端池，其中我有两个服务器与5个网站(e.com，f.com和g.com)

在我的后端池中，我有一些块，以便一些外部In不访问网站(a.com)，而所有其他站点(b.com和c.com)都可以被任何外部源访问。

Application文档指出，外部(客户端IP)对后端池不可见，因为到达后端池的(客户端IP)是应用程序网关子网的IP。

https://docs.microsoft.com/en-us/azure/architecture/example-scenario/gateway/firewall-application-gateway at (仅适用于应用网关)

Ref Doc .：也就是说，应用网关从客户端终止web会话，并与其后端服务器建立单独的会话。

也就是说，我将在IIS上看到的IP来自应用程序网关子网。

这样，在IIS级别上，我就不能进行这种类型的限制，因为在不使用应用程序网关的情况下，我不能像往常一样过滤外部I。

除了通过应用程序网关或另一个Azure层进行阻塞之外，还有其他替代方法吗？

记住，在同一个应用程序网关上，我使用多站点。

谢谢。

Answer 1

流量来自的IP永远是App，没有什么可以改变的，其他Azure服务也是一样的，比如前门。

然而，App确实为名为“X转发-For”的请求添加了一个标题，该请求包含客户端源IP，因此如果您可以在此基础上进行筛选，您可以做同样的事情。