Le Azure Web App sono delle applicazioni che vengono ospitate attraverso macchine virtuali Windows Server e rispondono alle richieste HTTP grazie a IIS. Indipendentemente dal linguaggio che stiamo utilizzando, quindi, gli strumenti che possiamo sfruttare per protegge e configurare il nostro sito internet, si basano sul web server.

Una funzionalità che può spesso essere utile, soprattutto in situazioni di messa in test/staging delle app, è quella di bloccarne l'accesso e di consentire l'utilizzo solo ad una lista di IP da noi prevista.

Per farlo ci basta modificare il file web.config, o crearlo se non esiste, e sfruttare la sezione ipSecurity, inserendo l'XML mostrato nello snippet seguente.

<configuration>
  <system.webServer>
    <security xdt:Transform="Insert">
      <ipSecurity allowUnlisted="false" denyAction="NotFound">
        <add allowed="true" ipAddress="1.2.3.4" />
      </ipSecurity>
    </security>
  </system.webServer>
</configuration>

Possiamo scegliere attraverso l'attributo denyAction di impostare il tipo di risposta da dare. Nell'esempio un 404. Per ulteriori informazioni sulle possibilità di configurazione, si rimanda alla documentazione ufficiale.
https://www.iis.net/configreference/system.webserver/security/ipsecurity