我正在尝试保护虚拟网络中的某些子网。
我有虚拟网络 1,其中包含子网 A、B、C。
我在每个子网中都有一个具有默认终结点(RDP 和 WinRM)的虚拟机。
我使用以下命令创建网络安全组并将其附加到子网 C:
$SGName = 'SecurityGroupC'
$location = 'West US'
$virtualNetwork = '1'
$subnet = 'C'
New-AzureNetworkSecurityGroup -Name $SGName -Location $Location -Label $SGName
Get-AzureNetworkSecurityGroup -Name $SGName | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName $VirtualNetwork -SubnetName $Subnet
我可以通过运行查看默认规则:
Get-AzureNetworkSecurityGroup -Name $SGName -Detailed
这显示了预期的默认规则:
Name : SecurityGroupC
Rules :
Type: Inbound
Name Priority Action Source Address Source Port Destination Destination Protocol
Prefix Range Address Prefix Port Range
---- -------- ------ --------------- ------------- ---------------- -------------- --------
ALLOW VNET INBOUND 65000 Allow VIRTUAL_NETWORK * VIRTUAL_NETWORK * *
ALLOW AZURE LOAD 65001 Allow AZURE_LOADBALAN * * * *
BALANCER INBOUND CER
DENY ALL INBOUND 65500 Deny * * * * *
Type: Outbound
Name Priority Action Source Address Source Port Destination Destination Protocol
Prefix Range Address Prefix Port Range
---- -------- ------ --------------- ------------- ---------------- -------------- --------
ALLOW VNET OUTBOUND 65000 Allow VIRTUAL_NETWORK * VIRTUAL_NETWORK * *
ALLOW INTERNET 65001 Allow * * INTERNET * *
OUTBOUND
DENY ALL OUTBOUND 65500 Deny * * * * *
根据这些规则,子网 C 中虚拟机上的 RDP 端点应该停止工作。不过,我仍然可以通过互联网通过 RDP 直接连接到我的虚拟机。我有什么遗漏的吗?
最佳答案
当您创建虚拟机时,它将自动创建 RDP 端点。此设置似乎会覆盖您的网络安全组值。
我通常向其添加一个 ACL“0.0.0.0/0”“DENY”,这样我就可以在需要时重新启用它。
关于Azure 网络安全组不起作用? (附加到子网),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27866347/