IP-брандмауэр экземпляра виртуальной машины Azure
Я назначил своей виртуальной машине Azure IP-адрес уровня экземпляра. Затем я настроил «конечную точку» SSH на портале Azure и определил политику запрета всем.
Однако эта политика, похоже, влияет только на виртуальный IP-адрес облачной службы, а не на IP-адрес уровня экземпляра, который полностью открыт для Интернета. Сейчас я вижу, как китайские хакеры пытаются перебрать систему на этом IP.
Как я могу применить свою политику запретить все к IP-адресу уровня экземпляра?
Если вы назначили своему экземпляру общедоступный IP-адрес уровня экземпляра (ILPIP или ранее известный как PIP), то вы не сможете ограничить входящий трафик, если вы не настроите брандмауэр уровня ОС этого конкретного экземпляра или не создадите NSG, поскольку единственная цель ILPIP должен получать трафик от внешних источников на динамических портах, что означает, что любой может отправлять данные на ваш ILPIP, даже не указывая порты.
Итак, резюмируя, если вы хотите получать трафик из внешних источников на любой порт, тогда назначьте своему экземпляру ILPIP и настройте его брандмауэр на уровне ОС или создайте NSG соответствующим образом, иначе вы не хотите, чтобы какой-либо внешний трафик поступал на ваш экземпляр непосредственно через динамические порты в все тогда удалите ИЛПИП.
Вместо использования acl конечной точки взгляните на группу безопасности сети, применяемую либо к Vm, либо к проверке vnet. https://azure.microsoft.com/en-us/blog/network-security-groups/ и http://blogs.msdn.com/b/scom_2012_upgrade_process__lessons_learned_during_my_upgrade_process/archive/2015/01/18/controlling-traffic-between-subnets-within-a-vnet-managing-vms-in-azure-iaas-with-azure- PowerShell-часть-2.aspx и https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-create-nsg-arm-ps/