问题描述

当本地网络通过ER专线与Azure云上多个虚拟网络打通，如何通过特定的网络策略来限制本地部分网段访问云上虚拟机22端口？

问题回答

根据文档调研，在ER线路服务的层面，是无法做网络策略来限制本地网络对虚拟机22端口的访问。但是可以通过Firewall 或者是NSG(网络安全组 Network Security Group)这两种方式来实现：

实现一：Azure Firewall

在Azure上部署Firewall，将虚拟网络的特定网段的流量指向Firewall做过滤，此时需要在ER网关以及后端子网上都配置针对指定网段的UDR。

实现二：Network Security Group

在虚拟机的子网上配置NSG，以拒绝特定本地网段访问22端口。比较方式一，它会简单一些，只需在需要保护的云上网段的子网上配置NSG规则即可。

参考资料

Azure 防火墙文档：https://docs.azure.cn/zh-cn/firewall/

网络安全组：https://docs.azure.cn/zh-cn/virtual-network/network-security-groups-overview

网络安全组如何筛选网络流量：https://docs.azure.cn/zh-cn/virtual-network/network-security-group-how-it-works