我为我的 Azure VM 分配了一个实例级 IP 地址。然后,我从 Azure 门户配置了 SSH“端点”,并定义了拒绝所有策略。
不过这个策略好像只影响云服务 VIP,对完全对外开放的实例级 IP 没影响,我现在看到有中国黑客试图用这个 IP 暴力破解系统。
我如何将我的拒绝全部策略应用于实例级 IP?
答案1
不要使用端点 acl,而是查看网络安全组,应用于 Vm 或 vnet 检查https://azure.microsoft.com/en-us/blog/network-security-groups/和http://blogs.msdn.com/b/scom_2012_upgrade_process__lessons_learned_during_my_upgrade_process/archive/2015/01/18/controlling-traffic-between-subnets-within-a-vnet-managing-vms-in-azure-iaas-with-azure-powershell-part-2.aspx和https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-create-nsg-arm-ps/
答案2
如果您已为实例分配了实例级公共 IP 地址(ILPIP 或以前称为 PIP),那么您将无法限制入站流量,除非您配置该特定实例的操作系统级防火墙或创建 NSG,因为 ILPIP 的唯一目的是从动态端口上的外部源接收流量,这意味着任何人都可以将数据发送到您的 ILPIP,甚至无需指定端口。
总而言之,如果您想在任何端口上接收来自外部来源的流量,那么请为您的实例分配一个 ILPIP 并配置其操作系统级防火墙或相应地创建 NSG,否则,如果您不希望任何外部流量直接通过动态端口进入您的实例,那么请删除 ILPIP。