我在 Azure 中创建了一个网络安全组,以阻止与某些端点的外部连接。我添加了几条规则来执行此操作。
目前,规则允许一个列入白名单的 IP 访问所有端口,而另一个列入白名单的端口仅访问两个特定端口。我的规则如下:
- 来源:IP 地址
- 源IP地址范围:XX.XXX.XXX.XX
- 源端口范围:*
- 目的地: *
- 目的端口范围:*
- 协议:任何
- 动作允许
- 优先级:1000
名称:允许所有
来源:IP 地址
- 源IP地址范围:YY.YYY.YY.YY
- 源端口范围:*
- 目的地: *
- 目的端口范围:1234
- 协议:任何
- 动作允许
- 优先级:200
名称:Allow-Cus1-1234
来源:IP 地址
- 源IP地址范围:YY.YYY.YY.YY
- 源端口范围:*
- 目的地: *
- 目的端口范围:4321
- 协议:任何
- 动作允许
- 优先级:199
- 名称:Allow-Cus1-4321
这按预期工作,我们能够访问我们所有的端点,并且另一个 IP 的用户能够访问他们有权访问的两个端口(1234 和 4321)。但是,当我想将这两个端口打开到其他其他 IP 地址时,就会出现问题。我添加了另外两个规则,如下所示:
- 来源:IP 地址
- 源IP地址范围:ZZ.ZZZ.ZZ.ZZ
- 源端口范围:*
- 目的地: *
- 目的端口范围:1234
- 协议:任何
- 动作允许
- 优先级:198
名称:Allow-Cus2-1234
来源:IP 地址
- 源IP地址范围:ZZ.ZZZ.ZZ.ZZ
- 源端口范围:*
- 目的地: *
- 目的端口范围:4321
- 协议:任何
- 动作允许
- 优先级:197
- 名称:Allow-Cus2-4321
我认为这会奏效,但似乎不行。那么有谁知道我是否错过了一步或忘记在规则中添加任何重要信息?我的理论是,类似的规则在某种程度上是相互冲突的。
有谁知道是否可以将多个 IP 添加到网络安全组中的同一入站规则?