问题标签 [azure-nsg]

我有一个名为的文件nsg-properties.json，如下所示：

我有一个只有一个角色分配的服务主体，它位于我的 NSG 资源 IDContributor的范围内。/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$VNET_RESOURCE_GROUP/providers/Microsoft.Network/networkSecurityGroups/$NSG_NAME

如何以编程方式使用 中的属性定义更新 NSG nsg-properties.json？我尝试过的事情：

• 使用 ARM 模板。没用，因为我的服务主体不在Microsoft.Resources/subscriptions/resourcegroups/write我的资源组范围内。
• 使用az resource create --id $NSG_ID --properties @nsg-properties.json. 没用，因为我的服务主体不在Microsoft.Resources/subscriptions/resourcegroups/read我的资源组范围内。

有az network nsg updateAPI，但我不知道如何使用 JSON 定义作为输入。

你有什么建议吗？

我正在处理这篇文章，并设置了文章本身中描述的网络图，并通过添加 NSG 更进一步。

鉴于下图和上下文，我很难理解为什么当 NSG 仅配置了默认规则 ALLOW VNET INBOUND、ALLOW AZURE LOAD BALANCER INBOUND 和 DENY ALL INBOUND 时，我可以直接访问我的 API

带网络的 Azure APIM

尽管学习了几个小时，但我提前承认自己在网络方面真的很糟糕。

我正在尝试做的详细信息如下图

客户端只能通过端口 X 上的标准 Azure 负载均衡器连接到 VM1 和 VM2，不能直接连接到 VM IP 地址

我们在 LB 中有一条规则将端口 X 上的流量传递到后端池，后端池由 VM1 和 VM2 组成

粘性会话设置为客户端 IP

此规则没有运行状况探测

虚拟机上的 Windows 防火墙已停用

NSG 规则设置到目前为止已尝试

场景1

情景2

场景3

有谁知道我可以用来拒绝从客户端直接访问 VM1 和 VM2，同时允许流量通过 LB 到 VM 的 NSG 规则的组合？

我觉得我在这里错过了一个技巧，因为这似乎是安全明智的标准做法。

网络新手在这里。从文档中感觉 NSG 和路由表 (UDR) 都在做同样的事情 - 能够在多个级别（Vnet、子网、VM）定义 ACL

https://docs.microsoft.com/en-us/azure/virtual-network/network-security-group-how-it-works https://docs.microsoft.com/en-us/azure/virtual-network /virtual-networks-udr-overview

那么它们有何不同以及何时使用？

谢谢。

我有一种情况，我想为其他 Vnet（定义了私有 IP 范围）打开我的 Vnet（比如说 Vnet1），我正在考虑使用 NSG 规则并允许其他 Vnet（比如说 Vnet2、Vnet3）的私有 IP 范围这个入口点子网（在 Vnet1 中）托管我的 API 网关。我有两个问题：

1. 我认为使用私有 IP 地址并允许它们使用 NSG（Vnet 1/子网 1）应该是可行的？我不是在寻找 Vnet 的对等互连/s2s vpn，因为它们都属于不同的团队，而 Vnet2/Vnet3 只是想使用 Api 网关访问 Vnet1 的 API。

2. 是否有我们预见到的任何安全问题，我认为暴露是安全的，因为这些是私有 IP，不能从 Internet 访问。

请让我知道可行性和安全性的意见。

谢谢 Xslguy

Network Watcher 显示 IP 地址位于中国的允许恶意流量。我们的一些客户在中国，所以我确信其中一些是有效的，应该被允许。我想为恶意流量创建警报，但我不想要误报警报。如何/在哪里将 IP 地址列入白名单？是否根据 NSG 中的规则完成？别的地方？

有一个安装了 Oracle DB 的 Azure VM。我需要使用在 Azure 数据工厂 SSIS 运行时上运行的 SSIS 包中的端口 1521 访问该数据库。相关的 SSIS DB 位于 Azure SQL Server 中。

暂时我的 nsg 规则定义如下。

• 来源 - 任何
• 源端口范围 - *
• 目的地 - IP 地址
• 目标 IP - 带有 Oracle 的 Azure VM 的私有 IP
• 服务 - 定制
• 目的港 - 1521
• 协议 - TCP

由于源被定义为任何源，因此存在与之相关的安全风险。

我尝试使用

• 来源 - 服务标签
• 源服务标签 - DataFactory 或 sql.NorthEurope

和

• 来源 - IP 地址
• IP 地址 - 北欧的网关 IP 范围

但所有这些都给 TNS 超时。到目前为止，只有上面提到的规则运行良好。

如何定义源以便只有 Azure SQL 服务器或 SSIS 运行时才能访问 VM 上的 Oracle DB？Azure SQL 服务器似乎只有一个完全限定的 DNS 名称 (FQDN) [xyz.database.windows.net]，但没有与之关联的公共 IP。

我有一个企业网络，其中包含大量 NSG 和多年来积累的数千条未记录的 NSG 安全规则。我们正在尝试清理这个问题，我想知道是否有任何方法可以将元数据添加到这些规则中，以识别规则的业务所有者、上次和下次审查日期并提供规则目的描述等

谁能告诉我是否可以将元数据添加到规则本身或以某种方式将元数据与规则相关联，而不是使用电子表格或 Access 数据库之类的东西？

是否还有任何普遍接受的标准规定将元数据添加到 NSG/防火墙流量过滤规则？

我正在尝试构建一个查询，列出所有订阅中的所有 NSG，这些订阅具有我定义的列表作为源端口。假设我有一个包含以下端口的列表l = [21,22,53]。如何将此列表传递给查询，以便仅获取源是列表端口的 NSG？

到目前为止我所拥有的：

预期的输出将是一个仅包含满足我列表的 NSG 的列表。

谢谢

编辑新帖子以添加更多说明：

在当前架构中，我们运行 ansible playbook (infrastructure.yml) 以在 Azure 中部署基础架构。我们能够毫无问题地创建资源，包括许多其他 NSG 规则。

使用新的 NSG 规则，我们的 terraform 运行失败，并显示以下信息：

我的 Azurerm 版本为：

地形版本：

我可以通过 Azure CLI 命令创建相同的规则，如下所示：

但是我在通过 Terraform 创建 NSG 规则时收到此错误：

<------------- 代码和 HashicoVault 值---------------->

terraform 的代码片段：

我们传递给 terraform 的 HashicoVault 值如下：