使用Azure网络安全组将特定IP地址列入白名单

时间:2017-10-20 10:08:33

标签: azure azure-security network-security-groups

我正在尝试将对虚拟机上的端点的访问权限仅限于特定的外部IP地址。经过调查,我发现Azure上的网络安全组可能是合适的。我创建了一个网络安全组并将其连接到我的虚拟网络的子网。

然后我创建了这两个规则,我认为这些规则只允许通过一个指定的IP地址进行访问:

规则如下:

 - Source: IP Addresses
 - Source IP address range: *
 - Source port range: *
 - Destination: *
 - Destination port range: *
 - Protocol: Any
 - Action Deny
 - Priority: 1000
 - Name: Deny-All
 - Source: IP Addresses
 - Source IP Address Range: XX.XXX.XXX.XX
 - Source Port Range: *
 - Destination: Any
 - Destination Port Range: *
 - Protocol: Any
 - Action: Allow
 - Priority: 700
 - Name: Allow-Specific

但是,当我尝试从指定的IP地址访问端点时,我似乎被阻止了。有谁知道我是否忘记了一步或做错了什么。 NSG阻止访问,但我似乎无法使白名单正常工作。

我已检查过NSG日志,但遗憾的是我无法检查源IP地址是什么。也许源IP地址可能会在管道的某个地方发生变化,并且在它达到NSG规则之前就会发生变化。

1 个答案:

答案 0 :(得分:1)

似乎这个问题在于否认所有规则。我没有意识到已经有一个否认所有纳入NSG的规则。出于某种原因,当我删除自定义Deny-All规则但离开Allow-Specific时,我能够访问列入白名单的IP上的端点。

我不确定为什么会这样,如果有人有更多反馈,我会很高兴听到它。