Группы безопасности сети Azure - входящие разрешают нескольким IP-адресам доступ к определенному порту.

Я создал группу сетевой безопасности в Azure, чтобы блокировать внешние подключения к определенным конечным точкам. Я добавил несколько правил, чтобы обеспечить это.

В настоящее время правила разрешают одному IP-адресу из белого списка получать доступ ко всем портам, а другому порту из белого списка - только двум определенным портам. Мои правила таковы:

  • Источник: IP-адреса
  • Диапазон исходных IP-адресов: XX.XXX.XXX.XX
  • Диапазон исходных портов: *
  • Место назначения: *
  • Диапазон портов назначения: *
  • Протокол: Любой
  • Действие Разрешить
  • Приоритет: 1000

  • Имя: Allow-All

  • Источник: IP-адреса

  • Диапазон исходных IP-адресов: ГГ.ГГГ.ГГ.ГГ
  • Диапазон исходных портов: *
  • Место назначения: *
  • Диапазон портов назначения: 1234
  • Протокол: Любой
  • Действие Разрешить
  • Приоритет: 200

  • Имя: Allow-Cus1-1234

  • Источник: IP-адреса

  • Диапазон исходных IP-адресов: ГГ.ГГГ.ГГ.ГГ
  • Диапазон исходных портов: *
  • Место назначения: *
  • Диапазон портов назначения: 4321
  • Протокол: Любой
  • Действие Разрешить
  • Приоритет: 199
  • Имя: Allow-Cus1-4321

Это работает, как ожидалось, и мы можем получить доступ ко всем нашим конечным точкам, а пользователь другого IP-адреса может получить доступ к двум портам (1234 и 4321, к которым у них есть доступ). Однако проблема возникает, когда я хочу открыть эти два порта для дополнительных других IP-адресов. Я добавил еще два правила, как показано ниже:

  • Источник: IP-адреса
  • Диапазон исходных IP-адресов: ZZ.ZZZ.ZZ.ZZ
  • Диапазон исходных портов: *
  • Место назначения: *
  • Диапазон портов назначения: 1234
  • Протокол: Любой
  • Действие Разрешить
  • Приоритет: 198

  • Имя: Allow-Cus2-1234

  • Источник: IP-адреса

  • Диапазон исходных IP-адресов: ZZ.ZZZ.ZZ.ZZ
  • Диапазон исходных портов: *
  • Место назначения: *
  • Диапазон портов назначения: 4321
  • Протокол: Любой
  • Действие Разрешить
  • Приоритет: 197
  • Имя: Allow-Cus2-4321

Я думал, что это сработает, но, похоже, это не так. Так кто-нибудь знает, если я пропустил шаг или забыл добавить какую-либо важную информацию в правила? Моя теория заключается в том, что как-то похожие правила противоречат друг другу.

Кто-нибудь знает, можно ли добавить несколько IP-адресов в одно и то же правило для входящего трафика в группе безопасности сети?


azure azure-security network-security-groups
person Brian Delaney    schedule 24.10.2017    source источник
comment
Когда вы говорите, что это не работает, что происходит? ZZ.ZZ.ZZ.ZZ не может получить доступ к 1234 и 4321 или другие IP-адреса теперь заблокированы?   -  person Cloud SME    schedule 24.10.2017
comment
Ваша конфигурация верна, проверяете ли вы ZZ.ZZ.ZZ.ZZ правильный IP-адрес вашего клиента? Кроме того, вы должны убедиться, что порт 1243 и 4321 прослушивает.   -  person Shui shengbao    schedule 25.10.2017

Ответы (1)


arrow_upward
0
arrow_downward

Я не уверен, что именно было задано в вышеупомянутом вопросе, но, насколько я понимаю, вот что я знаю.

Таким образом, мы можем добавить порт / IP-адрес источника и назначения, используя запятую, как показано ниже, например.

Источник: IP-адреса

Диапазон исходных IP-адресов: ZZ.ZZZ.ZZ.ZZ, YY.YYY.YY.YY

Диапазон исходных портов: *

Место назначения: *

Диапазон целевого порта: 4321,4562,7589

Протокол: Любой

Действие Разрешить

Приоритет: 197

Имя: Allow-Cus2-4321

person Brijesh Kumar    schedule 23.05.2018