azure - 如何检查Azure网络安全组出站IP是否允许？

Question

我对 Azure 网络安全组有一些疑问。目前，我正在使用 Azure 应用服务发布我的网站，并在 Azure 中、应用服务、由 NSG 控制的网络端(例如入站和出站安全性等)。

我正在与 sagepay 支付网关合作。他们要求我执行以下步骤才能成功完成 sagepay 集成。

Please ensure that all of the following IP addresses are allowed
within your Server or Firewall:

For outbound traffic to our gateway:

195.170.169.9 – live.sagepay.com
195.170.169.8 – test.sagepay.com

For inbound traffic you only need to whitelist IPs if you are
The IPs from which we call back are:

195.170.169.14
195.170.169.18
195.170.169.15

The Subnet mask used by Sage Pay is 255.255.255.000

Please ensure that your firewalls allow outbound Port 443 (HTTPS
only!) and inbound Ports 443 (and optionally 80 HTTP) access in
order to communicate with our servers (on Simulator/Test/Live).

在我的网络组中，

我刚刚将入站规则添加到端口 80,443 并将 IP 列入白名单 - 195.170.169.0/24并对我的出站规则也做了同样的事情。

但是我该如何检查这些东西是否正常工作呢？因为我的网站仍然无法从 sagepay 端获得响应(根据 sagepay 支持团队的说法，通知 URL 也是正确的)

Answer 1

更新(2020 年 7 月):

现在有一种更优雅的方法，使用应用服务中的内置功能 - https://learn.microsoft.com/en-us/azure/app-service/app-service-ip-restrictions#adding-and-editing-access-restriction-rules-in-the-portal

我的以下答案现已弃用。

<小时/>

这是评论中您的后续问题的答案。

<system.webServer>
    <security>
       <!-- this line denies everybody, except those listed below -->            
       <ipSecurity allowUnlisted="false">
           <!-- remove all upstream restrictions -->    
           <clear/>
           <!-- allow this network -->          
           <add ipAddress="195.170.169.0" subnetMask="255.255.255.0" allowed="true" />
       </ipSecurity>
    </security>
...
</system.webServer>

预期结果(来自允许网络之外的公共(public) IP 地址时):

$ curl -i http://{sitename}.azurewebsites.net/

HTTP/1.1 403 Forbidden
Content-Length: 58
Content-Type: text/html
Server: Microsoft-IIS/8.0
X-Powered-By: ASP.NET
Date: Sat, 06 Aug 2016 19:46:04 GMT

You do not have permission to view this directory or page.