当然可以实现，但得先理清应用网关的默认行为，再通过正确的配置来达成目标，我来给你拆解清楚：

默认行为说明 #

Azure应用网关作为反向代理时，默认会自动添加或更新X-Forwarded-For（XFF）标头：如果请求里已经带有XFF，网关会把原始客户端IP追加到标头的最前面；如果没有XFF，就直接创建这个标头并填入客户端IP。所以要隐藏原始IP，核心就是阻止这个标头被转发给后端服务。

具体配置方法 #

最直接的方式是利用应用网关的请求重写规则来移除XFF标头，支持门户操作、ARM模板或CLI配置：

1. Azure 门户操作步骤 #

• 打开你的应用网关资源，进入左侧菜单的「规则」→「重写规则集」
• 点击「添加」创建新的规则集，填写名称后进入规则配置
• 添加一条规则，规则类型选择「请求标头」
• 操作类型选「删除」，标头名称输入X-Forwarded-For
• 保存规则集后，把它关联到你需要生效的路由规则上（在路由规则的「重写规则集」下拉菜单选择刚才创建的规则集）

2. Azure CLI 示例配置 #

如果你习惯用命令行，可以通过以下步骤快速配置：

# 创建重写规则集并添加删除XFF的规则
az network application-gateway rewrite-rule set create \
  --gateway-name "你的网关名称" \
  --resource-group "你的资源组名称" \
  --name "RemoveXFFRuleSet" \
  --rules "RemoveXFF" \
  --rule-type RequestHeader \
  --action-type Remove \
  --header-name X-Forwarded-For

# 将规则集关联到目标路由规则
az network application-gateway rule update \
  --gateway-name "你的网关名称" \
  --resource-group "你的资源组名称" \
  --name "目标路由规则名称" \
  --rewrite-rule-set "RemoveXFFRuleSet"

需要注意的潜在影响 #

• 后端服务依赖IP的功能会失效：如果你的后端服务需要根据客户端IP做访问控制、地域分析或日志溯源，移除XFF后后端将无法获取原始IP，可能导致业务逻辑异常，配置前一定要确认后端是否有这类需求。
• WAF 兼容性：如果应用网关开启了Web应用防火墙（WAF），部分WAF规则可能依赖XFF标头进行攻击检测（比如针对特定IP的封禁规则），移除XFF后可能需要调整WAF策略，避免误拦截或防护失效。
• 其他泄露IP的可能性：除了XFF，还要检查是否有其他标头可能携带客户端IP信息（不过大部分场景下XFF是主要的IP载体）。

总结 #

只要通过重写规则删除X-Forwarded-For标头，就能实现转发请求时不包含原始客户端IP。但一定要结合后端业务需求评估是否适合这么做，避免因IP信息丢失造成不必要的问题。

内容的提问来源于stack exchange，提问作者MobDev