安全


Microsoft Azure网站内建支持两种HTTPS方式以满足客户应用的安全需求:SNI SSL和IP SSL。如下图所示,Azure网站采用SSL(off load)卸载功能。客户端与前端服务器使用HTTPS建立安全连接。前端服务器到工作服务器使用HTTP。目前暂时不支持采用客户端证书进行双向加密认证。
继续阅读

ssl offload

针对最近发现的SSL 3.0 POODLE漏洞,微软发布了安全警告30090008.
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
https://support2.microsoft.com/kb/3009008

Azure网站中所有的虚拟机都已经关闭了SSL3.0功能。如果客户使用旧的浏览器比如IE6,通过安全链接HTTPS的方式,访问部署在Azure网站中的站点,会遇到不能访问错误。客户需要更新至支持TLS协议的浏览器。

更多Azure环境中关于该漏洞的解决方案,请参考下面的文章。
http://azure.microsoft.com/blog/2014/10/29/protecting-against-the-ssl-3-0-vulnerabilityhttp://azure.microsoft.com/blog/2014/10/19/how-to-disable-ssl-3-0-in-azure-websites-roles-and-virtual-machines/


如同运行在本地的IIS服务一样,您可以通过IP限制功能拒绝某些特定IP地址的攻击请求。您也可以配置动态IP限制功能,自动拒绝疑似攻击。IP限制模块和动态IP限制模块都是IIS本身自有的功能。建议您阅读下面的文档来更好的了解这两个模块。
Using Dynamic IP Restrictions
http://www.iis.net/learn/manage/configuring-security/using-dynamic-ip-restrictions

IP Address and Domain Restrictions
http://technet.microsoft.com/en-us/library/hh831785.aspx
继续阅读


Azure网站内建支持HTTPS,客户可以通过HTTP或者HTTPS方式访问您的网站。有些网站基于安全考虑,需要强制客户只能通过HTTPS的方式访问。最简单的办法就是在Web.config中添加如下配置,通过sslFlags来禁止HTTPS访问。

   <system.webServer>

      <security>

         <access sslFlags=”ssl”>

      </security>

   </system.webServer>

继续阅读