Reverse proxy
Zaleca się umieszczenie zarówno witryny FoxIDs, jak i witryny FoxIDs Control za reverse proxy.
Reverse proxy
FoxIDs ogólnie obsługuje wszystkie reverse proxy, poniższe reverse proxy zostały przetestowane.
Azure Front Door
Azure Front Door można skonfigurować jako reverse proxy. Azure Front Door domyślnie przepisuje domeny.
NIE włączaj cache. Nagłówek
Accept-Languagenie jest przekazywany, jeśli cache jest włączony. Nagłówek jest wymagany przez FoxIDs do obsługi kultur.
Dodaj endpoint Azure Front Door zarówno dla witryny FoxIDs, jak i dla witryny FoxIDs Control. Ogranicz dostęp, wymagając nagłówka HTTP X-FoxIDs-Secret.
Wyłącz Session affinity i opcjonalnie skonfiguruj polityki WAF.
Cloudflare
Cloudflare można skonfigurować jako reverse proxy. Cloudflare wymaga jednak planu Enterprise do przepisywania domen (nagłówków hosta). Ogranicz dostęp, wymagając nagłówka HTTP X-FoxIDs-Secret.
Azure Application Gateway
Azure Application Gateway może przepisywać wszystkie domeny, jeśli jest skonfigurowany.
Nagłówek HTTP X-FoxIDs-Secret można opcjonalnie dodać, aby ograniczyć dostęp (zalecane w zależności od infrastruktury).
Opcjonalnie skonfiguruj regułę rewrite, aby zarówno wymagać sekretu, jak i wysyłać sekret w nagłówku HTTP X-FoxIDs-Secret. Możesz wymagać nagłówka HTTP X-FoxIDs-Secret, jeśli masz reverse proxy przed Azure Application Gateway.
Jeśli wymagany jest sekret, dodaj niestandardową sondę HTTPS health z parametrem zapytania X-FoxIDs-Secret /?x-foxids-secret=xxx i sekretem.
IIS ARR Proxy
Internet Information Services (IIS) Application Request Routing (ARR) Proxy wymaga serwera Windows. ARR Proxy przepisuje domeny regułą rewrite.
Nagłówek HTTP X-FoxIDs-Secret można opcjonalnie dodać, aby ograniczyć dostęp (zalecane w zależności od infrastruktury).
Można skonfigurować regułę akceptującą wszystkie domeny zewnętrzne. Ten przykład jest regułą globalną; reguły można też dodać do witryn.
Opcjonalnie zarówno wymaganie (secret1), jak i wysyłanie (secret2) w nagłówku HTTP X-FoxIDs-Secret. Możesz wymagać nagłówka HTTP X-FoxIDs-Secret, jeśli masz reverse proxy przed ARR Proxy.
<globalRules>
<rule name="my-rule-name" patternSyntax="Wildcard" stopProcessing="true">
<match url="*" />
<conditions>
<add input="{HTTP_X-FoxIDs-Secret}" pattern="... secret1 ..." ignoreCase="false" />
</conditions>
<action type="Rewrite" url="https://my-foxids-installation.com/{R:1}" />
<serverVariables>
<set name="HTTP_X-ORIGINAL-HOST" value="{HTTP_HOST}" />
<set name="HTTP_X-FoxIDs-Secret" value="... secret2 ..." />
</serverVariables>
</rule>
</globalRules>
Odczyt nagłówków HTTP
Witryna FoxIDs obsługuje odczyt przekazanego adresu IP klienta w następujących nagłówkach HTTP w kolejności priorytetu:
CF-Connecting-IPX-Azure-ClientIPX-Forwarded-For
Witryna FoxIDs obsługuje odczyt domeny niestandardowej (nazwy hosta) z reverse proxy w następujących nagłówkach HTTP w kolejności priorytetu:
X-ORIGINAL-HOSTX-Forwarded-Host
Nagłówek hosta jest odczytywany tylko wtedy, gdy dostęp jest ograniczony nagłówkiem HTTP
X-FoxIDs-Secretlub gdy ustawienieSettings__TrustProxyHeadersma wartośćtrue.
Witryna FoxIDs i witryna FoxIDs Control obsługują odczyt schematu HTTP/HTTPS, jeśli ustawienie Settings__TrustProxySchemeHeader ma wartość true. W następujących nagłówkach HTTP w kolejności priorytetu:
X-Forwarded-SchemeX-Forwarded-Proto
Ogranicz dostęp
Zarówno witryna FoxIDs, jak i witryny FoxIDs Control mogą ograniczać dostęp na podstawie nagłówka HTTP X-FoxIDs-Secret.
Ograniczenie dostępu jest aktywowane przez dodanie ustawienia Settings__ProxySecret z sekretem.