使用 Azure WebSites 時如何避免 IP 位址被列為黑名單


AzureBlog_AutoHealing

感謝北科大劉建昌同學翻譯 Richard Marr 所發表的文章  http://azure.microsoft.com/blog/2014/07/29/avoiding-ip-blacklisting-with-azure-web-sites/

在雲端多租戶 (multi-tenant) 環境中有時用戶會共享一些 IP 位址,例如目前在技術預覽階段的 Microsoft Azure Websites 共用 ( Shared ) 模式或免費 ( Free ) 模式,倘若有一兩個用戶的網站內含惡意內容 ( malicious content )。在某些情況下這些網站可能是被連累的,但也可能這些網站是故意的。無論哪種狀況都可能導致與其共享 IP 位址的其他網站,被加進各種網站黑名單服務的列表中。一旦一個共享 IP 位址被列入黑名單,就會影響到其它無辜的用戶。

當這樣的事情發生時,大多數用戶的本能反應就是聯繫自己的託管公司,告知託管公司將被封鎖的 IP 位址從黑名單中移除。然而,這只能暫時解決這種狀況。如果問題沒有真正解決,這些惡意網站(通常時間不會太久)還是會導致共享的 IP 位址再次被列入黑名單。

保護您的網站

由於你沒有辦法控制其他租戶在 Azure 上的網站內容,也因此無法得知是哪些網站導致了共享 IP 位址被加入到黑名單中。

唯一可靠的解決方法就是,透過配置一個專用的 IP 位址,來避免這種狀況的發生。這意味著您的網站將使用自己專屬的 IP,這個 IP並不會與其他網站共享。在 Microsoft Azure Websites 標準 ( Standard ) 模式中,用戶可透過配置 IP SSL 的方式,很容易地得到一個專用的 IP 位址。此解決方法僅適用於 Microsoft Azure Websites 標準 ( Standard ) 模式,如果您的網站使用自訂的網域 ( Custom Domain ),則還要注意一些額外的事項。

如果您使用的是自定網域,並且在 DNS 中有一筆 CNAME 記錄指向 Azure Websites 的域名(例如 : contoso.azurewebsites.net)那麼只需要更新 DNS 內該筆紀錄,然後配置 IP-SSL,不用擔心 IP 位址變更造成的困擾。

若您 DNS 內是使用 A Record 方式解析網域名稱到特定 IP 位址,我們建議您按照下列步驟操作:

1. 改變你的主機名稱對映方式 ( 例如 :  www.contoso.com ) :

從使用 A Record 改成利用 CNAME 指向您的 Microsoft Azure WebSites 域名 ( 例如 : contoso.azurewebsites.net )

( 由於是指向同一個 IP 位址,因此這個動作並不會造成停機時間。只需要等待一些時間讓 DNS 更新 )

2.上傳一個憑證 ( www.contoso.com ) 到你的網站:

這個步驟可以在設定 (Configure) 標籤頁面裡的網域名稱下完成,通常你需要從憑證供應商那裏購買憑證。但是您若不是真的需要使用 SSL 只是為了得到專屬 IP 位址,則您可以使用自行簽署憑證的方式來完成。這種憑證相當容易產生,並且不會有任何的花費。( 有關於自行簽署憑證的相關資訊,請參考我 SSL指南 )

image

image

3.為 www.contoso.com 配置一個以 IP 為主的 SSL 繫結 ( IP Based SSL binding ) ,這個選項在SSL繫結內可以設定。( 詳細步驟請參考 SSL 指南中配置 SSL 的部分 )

image

相關步驟也可參閱 http://blogs.msdn.com/b/benjaminperkins/archive/2014/05/05/how-to-get-a-static-ip-address-for-your-microsoft-azure-web-site.aspx (英文)

回報問題

一旦您已經配置了一個專屬的 IP 位址,請回報之前 IP 位址被列為黑名單的問題給微軟公司,可以根本解決此一問題並且協助到其他無辜的用戶。您可以前往 Cert.Microsoft.com 提供詳細資訊,微軟公司的安全團隊會進行審查,並且進行適當的處理。

若需要更多安全性的資訊,請參考 Microsoft Azure Trust Center

Comments (0)

Skip to main content