Я назначил IP-адрес уровня экземпляра моей виртуальной машине Azure. Затем я настроил «конечную точку» SSH на портале Azure и определил политику deny-all.
Однако эта политика, похоже, влияет только на виртуальный IP-адрес облачной службы, а не на IP-адрес уровня экземпляра, который полностью открыт для Интернета. . Сейчас я вижу, как китайские хакеры пытаются перебрать систему на этом IP.
Как я могу применить свою политику запрета всех действий к IP-адресу уровня экземпляра?
Вместо использования acl конечной точки взгляните на группу безопасности сети, применяемую либо к Vm, либо к проверке vnet https://azure.microsoft.com/en-us/blog/network-security- группы / и http://blogs.msdn.com/b/scom_2012_upgrade_process__lessons_learned_during_my_upgrade_process/archive/2015/01/18/controlling-traffic-between-subnets-within-a-vnet-managing-vms-in -azure-iaas-with-azure-powershell-part-2.aspx и https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-create-nsg-arm -ps /
Если вы назначили своему экземпляру общедоступный IP-адрес уровня экземпляра (ILPIP или ранее известный как PIP), то вы не сможете ограничить входящий трафик, если не настроите уровень ОС этого конкретного экземпляра. брандмауэра или создания NSG, потому что единственной целью ILPIP является получение трафика из внешних источников на динамических портах, что означает, что любой может отправлять данные на ваш ILPIP, даже не указывая порты.
Итак, резюмируя, если вы хотите получать трафик из внешних источников на любом port затем назначьте вашему экземпляру ILPIP и настройте его брандмауэр на уровне ОС или соответственно создайте NSG, иначе, если вы вообще не хотите, чтобы какой-либо внешний трафик поступал на ваш экземпляр напрямую через динамические порты, удалите ILPIP.