network-security-group

Azure Policy 用于审核 NSG 是否包含源和目标匹配且均为 IP 地址的规则
network-security-group

Azure Policy 用于审核 NSG 是否包含源和目标匹配且均为 IP 地址的规则

我正在尝试创建一个审核我的 NSG 的 Azure 策略。 我需要验证我的 NSG 是否包含源和目标匹配且都是 IP 地址的规则(因此不是“虚拟机”) 我目前有以下情况: { "mode": "All", "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Network/networkSecurityGroups" }, { ...

Admin

Azure 云服务扩展支持 - 应用 IP 过滤规则
network-security-group

Azure 云服务扩展支持 - 应用 IP 过滤规则

我正在配置 Azure 云服务(扩展支持)。部分要求是应用某些 IP 安全规则,例如仅从地址白名单中使用 RDP,以及其他一些规则。对于单个虚拟机,我过去曾使用过网络安全组,但这似乎不适用于云服务(扩展支持)。 具体来说,我将网络安全组与虚拟网络中的子网关联起来,角色实例从中获取其地址,但似乎没有遵守此 NSG 的规则。例如,我的入站规则如下所示: (阴影源包含允许的 2 个 IP 地址)。但我能够从互联网上的任何其他 IP 地址连接到 RDP。 那么,问题是如何在云服务上应用 IP 安全规则?无论是 NSG 还是其他什么。 ...

Admin

在 Azure 网络安全组中,拒绝“AllowVnetInbound”和“AllowAzureLoadBalancerInbound”规则之前的所有流量是否是良好做法?
network-security-group

在 Azure 网络安全组中,拒绝“AllowVnetInbound”和“AllowAzureLoadBalancerInbound”规则之前的所有流量是否是良好做法?

这组 Azure 网络安全组入站规则来自“最佳实践”博客。 我理解这意味着没有任何方式任何网络流量通过“DropAll”规则并到达“AllowVNetInbound”规则。我的理解正确吗? 我可以想象一些情况,在这些情况下,您可能希望拒绝来自 vNet 的所有入站流量,但我无法想象为什么这会被视为最佳做法。(我理解最佳实践意思是除非有非常令人信服的理由,否则一定要这样做。我在这里遗漏了什么? ...

Admin

在 EC2 安全组上允许入站 0.0.0.0/0 是否安全?
network-security-group

在 EC2 安全组上允许入站 0.0.0.0/0 是否安全?

我在 AWS 上创建了一个 EC2 实例,并被分配了一个默认的“安全组”。我知道这充当了我的服务器的虚拟防火墙。 我有麻烦使用 SSH 连接到此 EC2 实例,结果发现问题不在于0.0.0.0/0安全组的“入站规则”中设置“源”,如下图所示。 保持这种状态是否安全,还是我应该将源限制到我的家庭网络的 IP? 如果没有 *.pem 文件,就没人能 ssh 进入我的 EC2 实例,对吗? ...

Admin

Azure VM,无法通过配置的端口 (9089-9095) 从 Internet 连接
network-security-group

Azure VM,无法通过配置的端口 (9089-9095) 从 Internet 连接

我已经在 Azure 上创建了一个 VM,步骤如下:- 创建虚拟机 分配了公共静态 IP 创建了一个新的虚拟网络(子网默认-(10.0.0.0/24) 最初没有创建 NSG(NIC NSG 为 NONE - 不是 BASIC 或 ADVANCE) 没有防火墙或负载均衡器 此时,我的团队可以访问端口 22,并要求我启用端口 9089-9095 以测试 API 创建 NSG 并将其与网络接口(基本)和虚拟网络关联 入站规则我以最高优先级打开了所有端口 我还为 NIC 启用了 IP 转发 未配置路由表。未配置 NAT 现在我也只能访问端口 22 Telnet ...

Admin

使用 ARM 模板将 NSG 附加到现有子网
network-security-group

使用 ARM 模板将 NSG 附加到现有子网

我想创建一个网络安全组 (NSG)在 Azure 中并将其附加到现有子网使用 ARM 模板。我已经看过这个网站了:https://github.com/Azure/azure-quickstart-templates/tree/master/201-nsg-add-to-existing-subnet但模板引用了 GitHub 上的其他文件,而我的客户不允许。 理想情况下,如果可能的话,我希望避免使用嵌套的 ARM 模板,而只使用 x1 template.json 和 x1 parameters.json 文件或者只使用 x1 template.json ...

Admin

Azure NSG 阻止 VPN 路由流量
network-security-group

Azure NSG 阻止 VPN 路由流量

在我们的 Azure 环境中,我们有几个虚拟机。对于其中一个,我们要求它需要有一个 DNS 名称才能访问它。过去我们在私有 DNS 区域方面遇到了一些问题,因此我们选择将公共 IP 绑定到机器,这将为我们提供免费的 (.cloudapp.azure.com) DNS。 该虚拟机不应通过互联网访问,因此我们在其所在的子网上添加了一个 NSG,该 NSG 可阻止外部流量但允许虚拟网络流量。 在另一个配对的虚拟网络上,我们有一个 VPN 网关,我可以使用它来访问环境及其内部资源。现在我看到的是,除非我打开前面提到的 NSG 以允许所有流量,否则我无法使用此机器...

Admin

Azure 防火墙与 Azure 网络安全组
network-security-group

Azure 防火墙与 Azure 网络安全组

我一直在尝试了解 Azure 防火墙 (https://azure.microsoft.com/en-us/services/azure-firewall/) 以及 NSG/网络安全组提供的功能 (https://docs.microsoft.com/en-us/azure/virtual-network/security-overview)。 在我们设计的环境中,我们目前在订阅中拥有大约 5 到 10 个虚拟网络。目前,每个网络都有自己的网络安全组。这些网络包含各种 Azure 产品(Web 应用程序、虚拟机、仅暴露给受信任的位置、暴露给互联网等)。从我...

Admin

是否可以为 Azure 应用程序网关的不同后端池制定安全规则?
network-security-group

是否可以为 Azure 应用程序网关的不同后端池制定安全规则?

我在 AKS 群集前面有一个 Azure 应用程序网关。群集具有通过内部负载均衡器发布的一些内部 IP 地址,因此 IP 地址来自群集所在的子网。 我已经在网关的子网上定义了一个网络安全组,并且能够使用通配符拒绝/允许所有到内部 IP 地址的流量。 但是,我想更精细地控制流量,我想允许一个外部 IP 访问网关的某个后端池,另一个外部 IP 访问另一个后端池。我尝试在目标中使用内部负载均衡器 IP,但似乎不起作用。事实上,我不知道传入流量的目标 IP 是什么,因为当我将网关的 IP 作为目标时,我甚至无法阻止传入流量,只有当我使用 * 时,我才能阻止所有传...

Admin

EC2-Windows Server-未打开 41890 端口
network-security-group

EC2-Windows Server-未打开 41890 端口

我有一个客户的 EC2 实例,该实例装有 Windows Server 2016 数据中心操作系统、IIS 10.0,运行 ASP Classic 网站并关联弹性 IP。在此之前一切正常。在端口 80 中运行的 Web 服务器的设置正常,但我的主要问题出现在 ASP Classic 系统尝试连接到端口 41890 中的外部 MYSQL 数据库时。 我已检查实例安全组并允许 HTTPS(443 - 用于在解决此问题后将站点迁移到 https)和我需要连接到数据库的自定义端口。但即使我允许这样做,网络 ACL 也允许所有传入流量,并且我在 Windows 防火...

Admin

使用与虚拟机关联的浮动 IP 访问 RabbitMQ
network-security-group

使用与虚拟机关联的浮动 IP 访问 RabbitMQ

我有一个在 OpenStack 上运行的虚拟机 (VM),我使用 Packstack 在该虚拟机上安装了 OpenStack。我将一个浮动 IP 与该 VM 关联。 在 OpenStack 中,我为所有 OpenStack 组件和 RabbitMQ 配置了入口访问规则: .... Ingress IPv4 TCP 15672 0.0.0.0/0 Ingress IPv4 TCP 5672 0.0.0.0/0 我可以从虚拟机访问 RabbitMQ 和管理插件。我甚至在虚拟机中部署了一个虚拟消费者,...

Admin

Azure NSG 不允许流量
network-security-group

Azure NSG 不允许流量

我遇到了一个奇怪的问题。我在 Azure 中有一个 Windows 服务器,我已在上面安装了 Splunk,但我无法访问 Web UI。 我从默认模板创建了它,然后删除了它并尝试重新创建它。我制定了一条 NSG 规则,允许从我的工作公共 IP 使用端口 8000。我已允许端口 8000 通过 Windows 防火墙。我可以在 VM 上本地访问 splunk web ui。它正在监听 0.0.0.0:8000 和其他默认 splunk 端口,并使用 进行检查netstat -ano。 我尝试过的事情: 允许从我的工作 IP 到 VM 的所有流量。 将s...

Admin