在 Azure 网络安全组中,拒绝“AllowVnetInbound”和“AllowAzureLoadBalancerInbound”规则之前的所有流量是否是良好做法?

在 Azure 网络安全组中,拒绝“AllowVnetInbound”和“AllowAzureLoadBalancerInbound”规则之前的所有流量是否是良好做法?

Azure 网络安全组的入站规则

这组 Azure 网络安全组入站规则来自“最佳实践”博客。

我理解这意味着没有任何方式任何网络流量通过“DropAll”规则并到达“AllowVNetInbound”规则。我的理解正确吗?

我可以想象一些情况,在这些情况下,您可能希望拒绝来自 vNet 的所有入站流量,但我无法想象为什么这会被视为最佳做法。(我理解最佳实践意思是除非有非常令人信服的理由,否则一定要这样做我在这里遗漏了什么?

答案1

这样做的唯一真正原因是,如果你想确保自己完全控制管理流量的规则,而不是默认使用内置规则。在你展示的场景中,由于“AllowVnetInboundTraffic”规则被阻止,因此不允许 VNet 内流量。然后,如果你将此规则应用于子网,则需要明确定义允许同一(或对等)VNet 上的计算机之间流量的任何规则。

相关内容