Я создал группу сетевой безопасности в Azure, чтобы блокировать внешние подключения к определенным конечным точкам. Я добавил несколько правил, чтобы обеспечить это.
В настоящее время правила разрешают одному IP-адресу из белого списка получать доступ ко всем портам, а другому порту из белого списка - только двум определенным портам. Мои правила таковы:
- Источник: IP-адреса
- Диапазон исходных IP-адресов: XX.XXX.XXX.XX
- Диапазон исходных портов: *
- Место назначения: *
- Диапазон портов назначения: *
- Протокол: Любой
- Действие Разрешить
- Приоритет: 1000
Имя: Allow-All
Источник: IP-адреса
- Диапазон исходных IP-адресов: ГГ.ГГГ.ГГ.ГГ
- Диапазон исходных портов: *
- Место назначения: *
- Диапазон портов назначения: 1234
- Протокол: Любой
- Действие Разрешить
- Приоритет: 200
Имя: Allow-Cus1-1234
Источник: IP-адреса
- Диапазон исходных IP-адресов: ГГ.ГГГ.ГГ.ГГ
- Диапазон исходных портов: *
- Место назначения: *
- Диапазон портов назначения: 4321
- Протокол: Любой
- Действие Разрешить
- Приоритет: 199
- Имя: Allow-Cus1-4321
Это работает, как ожидалось, и мы можем получить доступ ко всем нашим конечным точкам, а пользователь другого IP-адреса может получить доступ к двум портам (1234 и 4321, к которым у них есть доступ). Однако проблема возникает, когда я хочу открыть эти два порта для дополнительных других IP-адресов. Я добавил еще два правила, как показано ниже:
- Источник: IP-адреса
- Диапазон исходных IP-адресов: ZZ.ZZZ.ZZ.ZZ
- Диапазон исходных портов: *
- Место назначения: *
- Диапазон портов назначения: 1234
- Протокол: Любой
- Действие Разрешить
- Приоритет: 198
Имя: Allow-Cus2-1234
Источник: IP-адреса
- Диапазон исходных IP-адресов: ZZ.ZZZ.ZZ.ZZ
- Диапазон исходных портов: *
- Место назначения: *
- Диапазон портов назначения: 4321
- Протокол: Любой
- Действие Разрешить
- Приоритет: 197
- Имя: Allow-Cus2-4321
Я думал, что это сработает, но, похоже, это не так. Так кто-нибудь знает, если я пропустил шаг или забыл добавить какую-либо важную информацию в правила? Моя теория заключается в том, что как-то похожие правила противоречат друг другу.
Кто-нибудь знает, можно ли добавить несколько IP-адресов в одно и то же правило для входящего трафика в группе безопасности сети?