問題描述
當(dāng)本地網(wǎng)絡(luò)通過ER專線與Azure云上多個虛擬網(wǎng)絡(luò)打通毫痕,如何通過特定的網(wǎng)絡(luò)策略來限制本地部分網(wǎng)段訪問云上虛擬機(jī)22端口征峦?
問題回答
根據(jù)文檔調(diào)研纸巷,在ER線路服務(wù)的層面,是無法做網(wǎng)絡(luò)策略來限制本地網(wǎng)絡(luò)對虛擬機(jī)22端口的訪問眶痰。但是可以通過Firewall 或者是NSG(網(wǎng)絡(luò)安全組 Network Security Group)這兩種方式來實現(xiàn):
實現(xiàn)一:Azure Firewall
在Azure上部署Firewall瘤旨,將虛擬網(wǎng)絡(luò)的特定網(wǎng)段的流量指向Firewall做過濾,此時需要在ER網(wǎng)關(guān)以及后端子網(wǎng)上都配置針對指定網(wǎng)段的UDR竖伯。
實現(xiàn)二:Network Security Group
在虛擬機(jī)的子網(wǎng)上配置NSG存哲,以拒絕特定本地網(wǎng)段訪問22端口。比較方式一七婴,它會簡單一些祟偷,只需在需要保護(hù)的云上網(wǎng)段的子網(wǎng)上配置NSG規(guī)則即可。
參考資料
Azure 防火墻文檔:https://docs.azure.cn/zh-cn/firewall/
網(wǎng)絡(luò)安全組:https://docs.azure.cn/zh-cn/virtual-network/network-security-groups-overview
網(wǎng)絡(luò)安全組如何篩選網(wǎng)絡(luò)流量:https://docs.azure.cn/zh-cn/virtual-network/network-security-group-how-it-works
