我正在尝试创建一个审核我的 NSG 的 Azure 策略。 我需要验证我的 NSG 是否包含源和目标匹配且都是 IP 地址的规则(因此不是“虚拟机”) 我目前有以下情况: { "mode": "All", "policyRule": { "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Network/networkSecurityGroups" }, { ...
我正在配置 Azure 云服务(扩展支持)。部分要求是应用某些 IP 安全规则,例如仅从地址白名单中使用 RDP,以及其他一些规则。对于单个虚拟机,我过去曾使用过网络安全组,但这似乎不适用于云服务(扩展支持)。 具体来说,我将网络安全组与虚拟网络中的子网关联起来,角色实例从中获取其地址,但似乎没有遵守此 NSG 的规则。例如,我的入站规则如下所示: (阴影源包含允许的 2 个 IP 地址)。但我能够从互联网上的任何其他 IP 地址连接到 RDP。 那么,问题是如何在云服务上应用 IP 安全规则?无论是 NSG 还是其他什么。 ...
这组 Azure 网络安全组入站规则来自“最佳实践”博客。 我理解这意味着没有任何方式任何网络流量通过“DropAll”规则并到达“AllowVNetInbound”规则。我的理解正确吗? 我可以想象一些情况,在这些情况下,您可能希望拒绝来自 vNet 的所有入站流量,但我无法想象为什么这会被视为最佳做法。(我理解最佳实践意思是除非有非常令人信服的理由,否则一定要这样做。我在这里遗漏了什么? ...
我在 AWS 上创建了一个 EC2 实例,并被分配了一个默认的“安全组”。我知道这充当了我的服务器的虚拟防火墙。 我有麻烦使用 SSH 连接到此 EC2 实例,结果发现问题不在于0.0.0.0/0安全组的“入站规则”中设置“源”,如下图所示。 保持这种状态是否安全,还是我应该将源限制到我的家庭网络的 IP? 如果没有 *.pem 文件,就没人能 ssh 进入我的 EC2 实例,对吗? ...
%20%E4%BB%8E%20Internet%20%E8%BF%9E%E6%8E%A5.png)
我已经在 Azure 上创建了一个 VM,步骤如下:- 创建虚拟机 分配了公共静态 IP 创建了一个新的虚拟网络(子网默认-(10.0.0.0/24) 最初没有创建 NSG(NIC NSG 为 NONE - 不是 BASIC 或 ADVANCE) 没有防火墙或负载均衡器 此时,我的团队可以访问端口 22,并要求我启用端口 9089-9095 以测试 API 创建 NSG 并将其与网络接口(基本)和虚拟网络关联 入站规则我以最高优先级打开了所有端口 我还为 NIC 启用了 IP 转发 未配置路由表。未配置 NAT 现在我也只能访问端口 22 Telnet ...
我想创建一个网络安全组 (NSG)在 Azure 中并将其附加到现有子网使用 ARM 模板。我已经看过这个网站了:https://github.com/Azure/azure-quickstart-templates/tree/master/201-nsg-add-to-existing-subnet但模板引用了 GitHub 上的其他文件,而我的客户不允许。 理想情况下,如果可能的话,我希望避免使用嵌套的 ARM 模板,而只使用 x1 template.json 和 x1 parameters.json 文件或者只使用 x1 template.json ...
在我们的 Azure 环境中,我们有几个虚拟机。对于其中一个,我们要求它需要有一个 DNS 名称才能访问它。过去我们在私有 DNS 区域方面遇到了一些问题,因此我们选择将公共 IP 绑定到机器,这将为我们提供免费的 (.cloudapp.azure.com) DNS。 该虚拟机不应通过互联网访问,因此我们在其所在的子网上添加了一个 NSG,该 NSG 可阻止外部流量但允许虚拟网络流量。 在另一个配对的虚拟网络上,我们有一个 VPN 网关,我可以使用它来访问环境及其内部资源。现在我看到的是,除非我打开前面提到的 NSG 以允许所有流量,否则我无法使用此机器...
我一直在尝试了解 Azure 防火墙 (https://azure.microsoft.com/en-us/services/azure-firewall/) 以及 NSG/网络安全组提供的功能 (https://docs.microsoft.com/en-us/azure/virtual-network/security-overview)。 在我们设计的环境中,我们目前在订阅中拥有大约 5 到 10 个虚拟网络。目前,每个网络都有自己的网络安全组。这些网络包含各种 Azure 产品(Web 应用程序、虚拟机、仅暴露给受信任的位置、暴露给互联网等)。从我...
我在 AKS 群集前面有一个 Azure 应用程序网关。群集具有通过内部负载均衡器发布的一些内部 IP 地址,因此 IP 地址来自群集所在的子网。 我已经在网关的子网上定义了一个网络安全组,并且能够使用通配符拒绝/允许所有到内部 IP 地址的流量。 但是,我想更精细地控制流量,我想允许一个外部 IP 访问网关的某个后端池,另一个外部 IP 访问另一个后端池。我尝试在目标中使用内部负载均衡器 IP,但似乎不起作用。事实上,我不知道传入流量的目标 IP 是什么,因为当我将网关的 IP 作为目标时,我甚至无法阻止传入流量,只有当我使用 * 时,我才能阻止所有传...
我有一个客户的 EC2 实例,该实例装有 Windows Server 2016 数据中心操作系统、IIS 10.0,运行 ASP Classic 网站并关联弹性 IP。在此之前一切正常。在端口 80 中运行的 Web 服务器的设置正常,但我的主要问题出现在 ASP Classic 系统尝试连接到端口 41890 中的外部 MYSQL 数据库时。 我已检查实例安全组并允许 HTTPS(443 - 用于在解决此问题后将站点迁移到 https)和我需要连接到数据库的自定义端口。但即使我允许这样做,网络 ACL 也允许所有传入流量,并且我在 Windows 防火...
我有一个在 OpenStack 上运行的虚拟机 (VM),我使用 Packstack 在该虚拟机上安装了 OpenStack。我将一个浮动 IP 与该 VM 关联。 在 OpenStack 中,我为所有 OpenStack 组件和 RabbitMQ 配置了入口访问规则: .... Ingress IPv4 TCP 15672 0.0.0.0/0 Ingress IPv4 TCP 5672 0.0.0.0/0 我可以从虚拟机访问 RabbitMQ 和管理插件。我甚至在虚拟机中部署了一个虚拟消费者,...
我遇到了一个奇怪的问题。我在 Azure 中有一个 Windows 服务器,我已在上面安装了 Splunk,但我无法访问 Web UI。 我从默认模板创建了它,然后删除了它并尝试重新创建它。我制定了一条 NSG 规则,允许从我的工作公共 IP 使用端口 8000。我已允许端口 8000 通过 Windows 防火墙。我可以在 VM 上本地访问 splunk web ui。它正在监听 0.0.0.0:8000 和其他默认 splunk 端口,并使用 进行检查netstat -ano。 我尝试过的事情: 允许从我的工作 IP 到 VM 的所有流量。 将s...