Балансировщик нагрузки Azure + правила группы безопасности сети - удаление доступа напрямую

У меня есть сетевой вопрос для одного из серверов моих клиентов в облаке.

Мы используем только стандартную виртуальную машину 2012R2 с несколькими конечными точками, настроенными через брандмауэр NSG, и у нас есть LoadBalancer перед сетью с несколькими портами, перенаправленными на тот же VPC.

Причина, по которой мы используем балансировщик нагрузки с переадресацией портов, заключается в том, что я нахожу бесчисленное количество записей о ботах, пытающихся поразить 3389 и 21 с попытками взлома.

Поэтому я попытался изменить настройку источника в правиле NSG на AzureLoadBalancer в надежде, что он разрешит доступ только к трафику, который пришел через LoadBalancer на внешние порты.

Но почему-то это не так? Существует ли надлежащая процедура ограничения трафика виртуальной машины через группу безопасности сети от LoadBalancer?

Любая помощь с этим приветствуется.

Спасибо


azure networking azure-virtual-machine load-balancing network-security-groups
person WellConnectedIT    schedule 10.01.2017    source источник

Ответы (2)


arrow_upward
1
arrow_downward

NSG нельзя связать с Балансировщик нагрузки, группы безопасности сети могут быть связаны либо с подсетями, либо с отдельными экземплярами виртуальных машин в этой подсети, поэтому мы не можем использовать группу безопасности сети для блокировки входящего IP-адреса из Интернета.
Чтобы защитить виртуальную машину (с общедоступным IP-адресом), мы можем развернуть виртуальную машину Linux, использовать IP-таблицы, работать как межсетевой экран. Также вы можете выполнить поиск по брандмауэрам сторонних производителей в Azure Marketplace.

Обновление:
Чтобы защитить свою виртуальную машину, вы можете использовать NSG, чтобы разрешить диапазону исходных IP-адресов доступ к вашей виртуальной машине. NSG-> Добавить правило безопасности для входящего трафика-> расширенный-> диапазон исходных IP-адресов. введите здесь описание изображения

person Jason Ye    schedule 10.01.2017
comment
Дело не в том, чтобы связать балансировщик нагрузки с NSG; Для дальнейшего уточнения. Как ограничить исходный IP-адрес IP-адресом LoadBalancer? - person WellConnectedIT; 11.01.2017
comment
@WellConnectedIT azure не может ограничить исходный IP-адрес подсистемы балансировки нагрузки в Интернете. Причина, по которой вы добавляете Интернет-LB, заключается в том, чтобы защитить вашу виртуальную машину, вы можете использовать NSG, чтобы разрешить диапазону исходных IP-адресов доступ к вашей виртуальной машине. NSG- ›Добавить правило безопасности для входящего трафика-› расширенный- ›диапазон IP-адресов источника - person Jason Ye; 11.01.2017
comment
Я думаю, вам не хватает этого с этим. В настоящее время у меня есть: Internet ‹Load Balancer‹ NSG ‹VM, но NSG по-прежнему доступна в общедоступном Интернете через прямой IP-адрес виртуальной машины. Я хочу сделать так, чтобы группа безопасности сети могла принимать соединения только через балансировщик нагрузки, чтобы я мог скрывать службы за разными общедоступными портами. Но я бы предпочел ограничить источник балансировщиком нагрузки (который имеет разные порты по сравнению с NSG), чтобы мне не нужно было беспокоиться о том, что люди попадают в порты по умолчанию в NSG. - person WellConnectedIT; 20.01.2017
comment
@WellConnectedIT Думаю, я понял ваше объяснение. Если я правильно понимаю: вам нужна виртуальная машина без прямого IP-адреса, просто может сетевой трафик через IP-адрес балансировщика нагрузки с разными портами. Мы можем отделить общедоступный IP-адрес виртуальной машины, чтобы через IP-адрес балансировщика нагрузки получить доступ к виртуальной машине. - person Jason Ye; 20.01.2017
comment
@WellConnectedIT В модуле ARM мы можем через новый портал отсоединить общедоступный IP-адрес виртуальной машины. войдите на новый портал ›выберите общедоступный IP-адрес ВМ› разъединить. - person Jason Ye; 20.01.2017
comment
У меня точно такой же вопрос, хотелось бы получить ответ, если можно. Отключить IP-адрес не всегда работает, потому что иногда я хочу иметь общедоступный IP-адрес для виртуальной машины, но я не хочу, чтобы общедоступный IP-адрес имел доступ к ssh - person William Yeung; 14.03.2017
comment
@WilliamYeung Есть ли у вас виртуальная машина за балансировщиком нагрузки? - person Jason Ye; 15.03.2017
comment
Правило NAT - да, но не с точки зрения правил Load Balancer. - person William Yeung; 27.03.2017

arrow_upward
0
arrow_downward

Просмотрите документ по устранению неполадок LB:

https://docs.microsoft.com/en-us/azure/load-balancer/load-balancer-troubleshoot

У вас есть:

-Также проверьте, не действует ли правило Запретить все группы сетевой безопасности на сетевом адаптере виртуальной машины или в подсети с более высоким приоритетом, чем правило по умолчанию, которое разрешает зонды LB и трафик (группы безопасности сети должны разрешать IP-адрес балансировщика нагрузки 168.63.129.16) .

Если вы создаете правило NSG и разрешаете только с 168.63.129.16, вы должны быть настроены. Подсистема балансировки нагрузки Azure всегда будет поступать с этого адреса независимо от вашего внешнего IP-адреса.

person Mike    schedule 23.04.2018