在 Windows Azure 网站中配置动态 IP 地址限制

我们最近对 Windows Azure 网站进行了升级，并启用了IIS8的动态 IP 限制模块。现在，开发人员可以为其网站启用并配置动态 IP 限制功能（或简称 DIPR）。

可以通过以下链接查看此 IIS8 功能的完整概述：

http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-dynamic-ip-address-restrictions

DIPR 功能主要为开发人员提供两种保护：

·   根据并发请求数阻止 IP 地址

·   根据某一时段的请求数阻止 IP 地址

此外，开发人员还可以配置 DIPR 的行为，例如，针对被阻止的请求, 发回的HTTP 状态代码的类型。

在 Azure 网站中，开发人员可以使用添加到 web.config 文件（位于该网站的根文件夹）中的配置部分来配置 DIPR。

如果您要根据并发请求数（即任意时刻正在发出的活动请求数）来阻止连接，请向该网站的 web.config 文件添加以下配置段。

如果在 denyByConcurrentRequests 元素中将enabled 属性设置为
true，则在最多并发请求数超过 maxConcurrentRequests 属性中设置的值（在以上示例中设置为 10）时，IIS 将自动开始阻止该 IP 地址的请求。

另一方面，如果您要根据特定时间窗口内发出的请求总数阻止连接，则可以使用以下配置段：

在以上示例中，如果在 denyByRequestRate 元素中将enabled 属性设置为
true，则会指示 IIS 在 requestIntervalInMilliseconds 定义的时间窗口（在此示例中设置为 2000 毫秒）内观察到的请求总数超过maxRequests 属性中设置的值（在此示例中设置为 10）时阻止该 IP 地址的请求。因此，在 2 秒的时间段内发出 10 个以上请求的客户端将被阻止。

最后，开发人员还可以选择同时启用这两种阻止机制。以下代码段既可指示 DIPR 阻止并发请求数超过 10 个的客户端，也可指示 DIPR 阻止在 5 秒时间窗口内总共发出 20 个以上请求的客户端：

在 DIPR 阻止某个 IP 地址后，该地址会一直保持阻止状态，直到当前时间窗口结束为止，之后，该 IP 地址将再次能够向该网站发出请求。例如，如果requestIntervalInMilliseconds
设置为 5000（5 秒），而某个 IP 地址在 2 秒刻度处被阻止，则该地址在剩下 3 秒（即，当前时间窗口内的剩余时间）内会一直保持阻止状态。

开发人员可以自定义客户端被阻止时返回的错误，方法为配置 dynamicIpSecurity元素自身的
denyAction 属性。denyAction 的允许值包括：

·   AbortRequest（返回 HTTP 状态代码 0）

·   Unauthorized（返回 HTTP 状态代码 401）

·   Forbidden（返回 HTTP 状态代码 403）。请注意，这是默认设置。

·   NotFound（返回 HTTP 状态代码 404）

例如，如果您要发送 404 状态代码，而不是发送默认代码（即 Forbidden 403），则可使用以下配置：

这里，我们会遇到这样一个问题：在 Azure 网站中运行时，DIPR 会看到什么 IP 地址？在 Windows Azure 中运行意味着 Web 应用程序正在使用多种负载平衡器。也就是说，呈现给该网站的客户端 IP 地址可能是上游负载平衡器的地址，而不是 Internet 上实际客户端的地址。但是，Azure 网站将为您自动执行必要的转换，确保 DIPR 模块“看到的”客户端 IP 地址是发出 HTTP 请求的 Internet
客户端的实际 IP 地址。

本文翻译自：

http://blogs.msdn.com/b/windowsazure/archive/2013/08/27/confirming-dynamic-ip-address-restrictions-in-windows-azure-web-sites.aspx