[我们已经将azure流量管理器和azure应用程序网关与用于Azure虚拟机上托管的MVC C#Web应用程序的Web应用程序防火墙一起使用。
出于安全原因,我们需要允许特定的IP地址并在国家/地区级别阻止访问。但是,我们无法找到在国家/地区级别阻止访问并允许来自该国家/地区的特定IP地址的方法。
您能否指导实现此目标的方法/可行性?它是否需要其他任何Azure服务,或者可以通过现有服务/配置来实现?
我们无法找到在国家/地区级别阻止访问的方法,还允许来自该国家/地区的特定IP地址。
通过网络连接,IP地址仅标识终端设备的位置。同样,来自某个国家/地区的设备位置也包含在该国家/地区级别中。如果选择阻止某些国家(例如,您可以使用Azure前门的WAF查看geo-filtering),但这将阻止该国家的所有IP地址,因为WAF应该在Web应用程序服务或应用程序网关的前面起作用。所以我认为不可能。
实际上,您想要的是允许某些特定的IP地址,您只需在NSG which is associated with an application gateway subnet的入站规则中允许这些IP地址,并在后端Azure VM的NSG规则中将您的应用程序网关子网列入白名单,而无需任何其他Internet访问。它将仅允许该IP地址通过Azure应用程序网关访问您的后端应用程序。从this blog中了解更多详细信息。