Внесение определенных IP-адресов в белый список с помощью групп безопасности сети Azure

Я пытаюсь ограничить доступ к конечным точкам на моей виртуальной машине только определенными внешними IP-адресами. Изучив это, я обнаружил, что группа сетевой безопасности в Azure может быть подходящей. Я создал группу безопасности сети и подключил ее к подсети моей виртуальной сети.

Затем я создал эти два правила, которые, как я думал, должны разрешать доступ только по одному указанному IP-адресу:

Правила ниже:

 - Source: IP Addresses
 - Source IP address range: *
 - Source port range: *
 - Destination: *
 - Destination port range: *
 - Protocol: Any
 - Action Deny
 - Priority: 1000
 - Name: Deny-All

 - Source: IP Addresses
 - Source IP Address Range: XX.XXX.XXX.XX
 - Source Port Range: *
 - Destination: Any
 - Destination Port Range: *
 - Protocol: Any
 - Action: Allow
 - Priority: 700
 - Name: Allow-Specific

Однако, когда я пытаюсь получить доступ к конечной точке с указанного IP-адреса, я оказываюсь заблокированным. Кто-нибудь знает, забыл ли я шаг или сделал что-то не так. Группа безопасности сети блокирует доступ, но я не могу заставить работать белый список.

Я проверил журналы NSG, но, к сожалению, не могу проверить исходный IP-адрес. Возможно, что исходный IP-адрес меняется где-то в конвейере и изменяется до того, как он попадет в правила NSG.


azure azure-security network-security-groups
person Brian Delaney    schedule 20.10.2017    source источник
comment
Что ж, что-то не так с вашим разрешением, трафик не соответствует правилу и получает отказ   -  person 4c74356b41    schedule 20.10.2017
comment
Попробуйте использовать Наблюдатель за сетью на портале Azure, это предлагает несколько способов диагностики сетевых проблем. Кроме того, уверены ли вы, что на виртуальной машине, к которой вы пытаетесь подключиться, не работает брандмауэр? Не могли бы вы связаться с виртуальной машиной до добавления правила?   -  person P2l    schedule 20.10.2017
comment
Привет @ P2l, спасибо за комментарий. Я уверен, что это не проблема брандмауэра, поскольку, когда я изменяю «Диапазон IP-адресов источника» в своем правиле Разрешить на «Любой», я могу достичь своих конечных точек. Я также попытался проверить журналы NSG, чтобы проверить, какой исходный IP-адрес был в этих запросах, но, к сожалению, журналы, похоже, не содержат этой информации.   -  person Brian Delaney    schedule 20.10.2017

Ответы (1)


arrow_upward
1
arrow_downward

Похоже, проблема заключалась в правиле "запретить все". Я не осознавал, что в NSG уже встроено правило запретить все. По какой-то причине, когда я удалил свое настраиваемое правило Deny-All, но оставил Allow-Specific, я смог получить доступ к конечной точке по IP-адресу из белого списка.

Я не уверен, почему это было так, если у кого-то есть еще отзывы, я был бы счастлив их услышать.

person Brian Delaney    schedule 24.10.2017
comment
Насколько мне известно, это не Deny-All rule проблема. Потому что у правила низкий приоритет. Это не повлияет на правило с приоритетом 700. При его тестировании вы гарантируете, что ваша служба прослушивает? Для тестирования вы можете снова добавить правило, я думаю, вы также можете получить доступ к своей службе из XX.XXX.XXX.XX. - person Shui shengbao; 25.10.2017