问题描述
当本地网络通过ER专线与Azure云上多个虚拟网络打通,如何通过特定的网络策略来限制本地部分网段访问云上虚拟机22端口?
问题回答
根据文档调研,在ER线路服务的层面,是无法做网络策略来限制本地网络对虚拟机22端口的访问。但是可以通过Firewall 或者是NSG(网络安全组 Network Security Group)这两种方式来实现:
实现一:Azure Firewall
在Azure上部署Firewall,将虚拟网络的特定网段的流量指向Firewall做过滤,此时需要在ER网关以及后端子网上都配置针对指定网段的UDR。
实现二:Network Security Group
在虚拟机的子网上配置NSG,以拒绝特定本地网段访问22端口。比较方式一,它会简单一些,只需在需要保护的云上网段的子网上配置NSG规则即可。
参考资料
Azure 防火墙文档:https://docs.azure.cn/zh-cn/firewall/
网络安全组:https://docs.azure.cn/zh-cn/virtual-network/network-security-groups-overview
网络安全组如何筛选网络流量:https://docs.azure.cn/zh-cn/virtual-network/network-security-group-how-it-works
