我有一个关于我在云中的客户服务器的网络问题。
我们只使用一个标准的 2012R2 虚拟机,通过 NSG 防火墙设置了一些端点,我们在网络前面有一个 LoadBalancer,有几个端口转发到同一个 VPC。
我们使用带有端口转发的负载均衡器的原因是因为我发现了无数机器人试图通过尝试闯入 3389 和 21 的记录。
因此,我尝试将 NSG 规则中的源设置更改为 AzureLoadBalancer,希望它只允许访问通过外部端口上的 LoadBalancer 传入的流量。
但由于某种原因,情况并非如此?是否有适当的程序来限制来自 LoadBalancer 通过 NSG 到 VM 的流量?
对此的任何帮助将不胜感激。
谢谢
NSG不能与负载均衡器相关联,NSG 可以与子网或该子网中的单个 VM 实例相关联,因此我们不能使用 NSG 阻止来自 Internet 的入站 IP 地址。
为了保护虚拟机(使用公共 IP),我们可以部署 Linux 虚拟机,使用 IP 表作为防火墙。您也可以在 Azure Marketplace 中搜索一些第三方防火墙产品。
更新:
为了保护您的 VM,您可以使用 NSG 允许源 IP 地址范围访问您的 VM。NSG->添加入站安全规则->高级->源IP地址范围。
查看 LB 故障排除文档:
https://docs.microsoft.com/en-us/azure/load-balancer/load-balancer-troubleshoot
你有:
-此外,检查 VM 的 NIC 或子网上是否有拒绝所有网络安全组规则,该规则的优先级高于允许 LB 探测和流量的默认规则(网络安全组必须允许负载均衡器 IP 为 168.63.129.16) .
如果您创建您的 NSG 规则并且只允许来自 168.63.129.16 您应该设置。无论您的前端 IP 是什么,Azure 负载均衡器都将始终来自该地址。