Azure 网络安全组(NSG) 和 GCP 防火墙规则 的详细配置指南

于 2025-03-17 14:23:36 发布
阅读量909 收藏 15
点赞数 9
分类专栏: 服务器 运维 Linux 文章标签: azure web安全 flask
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45657541/article/details/146314320
版权

以下是 Azure 网络安全组(NSG) 和 GCP 防火墙规则 的详细配置指南,包含 CLI 操作示例和实战场景!

Azure 网络安全组(NSG) 和 GCP 防火墙规则 的详细配置指南

一、Azure 网络安全组(NSG)配置

1. 创建网络安全组

 创建 NSG(关联到 VNet)
az network nsg create \
  --resource-group my-resource-group \
  --name my-nsg \
  --vnet-name my-vnet \
  --location eastus

2. 添加入站/出站规则

允许 SSH(端口 22)入站

az network nsg rule create \
  --resource-group my-resource-group \
  --nsg-name my-nsg \
  --name allow-ssh \
  --protocol tcp \
  --direction inbound \
  --priority 100 \
  --source-address-prefix 0.0.0.0/0 \
  --source-port-range '*' \
  --destination-port-range 22/22 \
  --access allow

允许 HTTP/HTTPS(端口 80/443)入站

az network nsg rule create \
  --resource-group my-resource-group \
  --nsg-name my-nsg \
  --name allow-http-https \
  --protocol tcp \
  --direction inbound \
  --priority 110 \
  --source-address-prefix 0.0.0.0/0 \
  --destination-port-range 80/80,443/443 \
  --access allow

拒绝其他所有入站流量(默认策略)

az network nsg rule create \
  --resource-group my-resource-group \
  --nsg-name my-nsg \
  --name deny-all-inbound \
  --protocol all \
  --direction inbound \
  --priority 1000 \
  --source-address-prefix 0.0.0.0/0 \
  --access deny

3. 关联 NSG 到子网或 VM

关联到子网

az network vnet subnet update \
  --resource-group my-resource-group \
  --subnet-name my-subnet \
  --vnet-name my-vnet \
  --network-security-groups my-nsg

关联到 VM

az vm update \
  --resource-group my-resource-group \
  --name my-vm \
  --network-interface-names my-ni \
  --set networkInterfaces[0].networkSecurityGroups=my-nsg

4. 查看 NSG 规则

az network nsg rule list \
  --resource-group my-resource-group \
  --nsg-name my-nsg \
  --output table

5. 高级配置

5.1 IP 白名单(限制 SSH 访问)

az network nsg rule create \
  --resource-group my-resource-group \
  --nsg-name my-nsg \
  --name allow-ssh-whitelist \
  --protocol tcp \
  --direction inbound \
  --priority 100 \
  --source-address-prefix 192.168.1.0/24 \
  --destination-port-range 22/22 \
  --access allow

5.2 添加富规则(基于多条件)

az network nsg rule create \
  --resource-group my-resource-group \
  --nsg-name my-nsg \
  --name rich-rule \
  --protocol udp \
  --direction inbound \
  --priority 200 \
  --source-address-prefix 10.0.0.0/8 \
  --source-port-range 53/53 \
  --destination-port-range 53/53 \
  --access allow

5.3 启用日志记录

az network nsg set-log-validation \
  --resource-group my-resource-group \
  --nsg-name my-nsg \
  --enable true

 配置存储账户记录日志
az storage account create \
  --resource-group my-resource-group \
  --name my-log-storage \
  --location eastus \
  --sku {name:Standard_LRS, tier:Standard}

二、GCP 防火墙规则配置

1. 创建 VPC 防火墙规则

 创建防火墙规则(允许 HTTP/HTTPS)
gcloud compute firewall-rules create \
  --project my-project \
  --network my-vpc \
  --name allow-http-https \
  --priority 1000 \
  --direction inbound \
  --protocol tcp \
  --target-tags http-server \
  --ports 80,443 \
  --action allow \
  --source-ranges 0.0.0.0/0

2. 添加 SSH 访问规则

gcloud compute firewall-rules create \
  --project my-project \
  --network my-vpc \
  --name allow-ssh \
  --priority 2000 \
  --direction inbound \
  --protocol tcp \
  --target-tags ssh-server \
  --ports 22 \
  --action allow \
  --source-ranges 192.168.1.0/24

3. 关联防火墙规则到实例

• 在创建 VM 时指定 --tags http-server--tags ssh-server,防火墙规则会自动匹配标签。

4. 查看防火墙规则

gcloud compute firewall-rules list \
  --project my-project \
  --network my-vpc \
  --format table

5. 高级配置

5.1 限制 IP 白名单

gcloud compute firewall-rules create \
  --project my-project \
  --network my-vpc \
  --name allow-ssh-whitelist \
  --priority 3000 \
  --direction inbound \
  --protocol tcp \
  --target-tags ssh-server \
  --ports 22 \
  --action allow \
  --source-ranges 10.0.0.1/32   单个 IP

5.2 设置优先级

 优先级数值越小,规则优先级越高
gcloud compute firewall-rules update \
  --project my-project \
  --network my-vpc \
  --name allow-http-https \
  --priority 500

5.3 启用日志记录

gcloud compute firewall-rules set-logging \
  --project my-project \
  --network my-vpc \
  --name allow-http-https \
  --enable true \
  --log-config destination=cloud-storage, bucket=my-log-bucket

三、实战场景

场景 1:Web 服务器(Azure + GCP)

Azure 配置

 允许 HTTP/HTTPS 入站(全局访问)
az network nsg rule create \
  --resource-group my-rg \
  --nsg-name web-sg \
  --name allow-web \
  --protocol tcp \
  --direction inbound \
  --priority 100 \
  --source-address-prefix 0.0.0.0/0 \
  --destination-port-range 80,443 \
  --access allow

 关联到 VM
az vm update \
  --resource-group my-rg \
  --name web-vm \
  --network-interface-names web-ni \
  --set networkInterfaces[0].networkSecurityGroups=web-sg

GCP 配置

gcloud compute firewall-rules create \
  --project my-project \
  --network my-vpc \
  --name allow-web \
  --priority 1000 \
  --direction inbound \
  --protocol tcp \
  --target-tags web \
  --ports 80,443 \
  --action allow \
  --source-ranges 0.0.0.0/0

场景 2:数据库服务器(仅 Azure)

 仅允许应用服务器 IP 访问 MySQL(3306)
az network nsg rule create \
  --resource-group my-rg \
  --nsg-name db-sg \
  --name allow-db \
  --protocol tcp \
  --direction inbound \
  --priority 200 \
  --source-address-prefix 10.0.1.0/24 \
  --destination-port-range 3306/3306 \
  --access allow

 关联到子网
az network vnet subnet update \
  --resource-group my-rg \
  --subnet-name db-subnet \
  --vnet-name my-vpc \
  --network-security-groups db-sg

四、常见问题排查

1. 规则未生效

• Azure:检查规则优先级是否被更高优先级的规则覆盖。
• GCP:确认防火墙规则的目标标签(--target-tags)是否与 VM 标签匹配。

2. SSH 无法连接

• 确认安全组允许来源 IP 和端口。
• 检查本地 SSH 配置(如密钥对权限)。

3. 跨子网流量问题

• 在 Azure 中,确保子网关联了正确 NSG。
• 在 GCP 中,检查网络接口的路由表是否正确。

五、工具推荐

• Azure CLI:az network nsg 命令集。
• GCP CLI:gcloud compute firewall-rules
• CloudShell:直接在云平台控制台运行 CLI。

通过以上配置,你可以灵活控制 Azure 和 GCP 的网络安全策略,确保资源既安全又高效!

使用fastapipulumi搭建基于Azure云的IAC Restful API服务 — 对外发布
联蔚盘云的博客
06-20 950
灵活的状态管理:虽然Terraform也有状态文件用于记录资源的现实状态,Pulumi进一步简化了状态管理,允许使用不同的存储后端,包括云存储Pulumi自己的服务。使用常用编程语言:Pulumi允许使用者使用熟悉的编程语言编写基础设施配置,这样可以使用语言本身的功能,如条件语句、循环、函数模块化,提高代码的可读性重用性。接下来,我们就可以通过http请求的方式,调用pulumi的IAC能力,操作Azure云的资源了。根据自身需要,可配置一个资源CMDB,存放云资源实时参数配置与状态,以供实际使用。
GCP_firewall:自动生成GCP Shell命令来设置防火墙以阻止来自特定区域的入侵
04-06
GCP_firewall 自动生成GCP Shell命令来设置防火墙以阻止来自特定区域的入侵 1.获取最新的IP黑名单 在获取最新的IP列表,然后选择输出格式为CIDR。 2.修改源代码 签出您的GCP项目ID,并将其替换为src/command_generator.cc:36 ,请注意,在项目名称之后添加额外的空间。 2.构建命令生成器 mkdir build && cd build cmake .. -G Ninja ninja 3.运行并生成命令 ./command_generator ../ip_list/ip2location-201027-china.txt 4.在GCP云外壳中运行生成的文件。 chmod +x block_china.sh ./block_china.sh 笔记 如果要更新防火墙规则,请确保清除旧规则,然后再添加最新规则
奇安信网神防火墙系统(NSG系列)配置指南【6.1.11.60837_01】.pdf
04-29
360 网神防火墙系统 (NSG 系列)配置指南(6.1.11.60837) 本手册是防火墙的功能配置及维护手册手册,主要通过举例的方式,介绍防火墙各项功能的配置方法注意事项。
360网神防火墙系统(NSG系列)配置指南【6.1.10】
04-21
360网神防火墙系统(NSG系列)配置指南【6.1.10】.pdf
360网神防火墙系统(NSG系列)功能配置及维护手册【V17.03.01】.pdf
06-02
网神SecGate 3600防火墙NSG系列快速入门指南V4.0
Azure】通过 Azure 网络安全组建立虚拟机的入站规则 Inbound 出站规则 Outbound
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
09-24 1万+
本文介绍在Azure门户中设置NSG中的inbound端口规则outbound端口规则,在自己的虚拟机VM中如果添加了对应的防火墙白名单,同样也需要在NSG中进行配置,不然依然无法进行通信。在弹出的窗口Service选项中可以选择常用的一些服务端口,比如MySQL、HTTP、HTTPS等服务,选中后,在下面port下拉菜单栏就会出现该服务所对应的端口号。7、完成创建后,会出现成功提示,并且更新显示所有的入站规则。5、在弹出的右侧菜单中,添加所要添加的入站规则,并点击。2、进入到某个具体的虚拟机。
云计算服务管理比较:AWS、AzureGCP服务深度对比
通过探讨AWS、AzureGoogle Cloud Platform (GCP)在计算、存储、数据库、网络大数据分析等方面的服务架构,揭示了各平台在管理工具最佳实践方面的差异,特别是对于成本控制、自动化运维
【云环境中的防火墙部署】:Linux在云基础设施中安全管理指南
![【云环境中的防火墙部署】:Linux在云基础设施中安全管理指南](https://livenetwork.in/wp-content/uploads/2023/03/Feature-image-firewall.png) # 1....防火墙是一种网络安全系统,它使用一套预
【云计算深度分析】:掌握AWS_Azure_GCP,成为云服务专家
本文详细探讨了当前三大主流云计算服务平台——AWS、AzureGCP的核心服务与操作实践,涵盖了从基础设施即服务(IaaS)到平台即服务(PaaS)再到软件即服务(SaaS)的广泛内容。文章对比分析了各自的服务特点、功能...
【云计算初探】:AWS、AzureGCP,谁是你的云基础架构首选?
本文深入探讨了云计算的多个方面,包括基本概念、服务模型以及主要云服务提供商AWS、AzureGCP的深度解析。通过对比分析,本文评估了不同云服务模型(IaaS、PaaSSaaS)的技术特性、成本效益以及生态系统支持。...
360网神防火墙系统(NSG系列)配置实战.pdf
04-27
医院项目实战
网神SecGate 3600防火墙NSG系列快速入门指南V4.0.pdf
12-20
网神SecGate 3600防火墙NSG系列快速入门指南V4.0.pdf,公司购买该防火墙光盘中所带文档拷贝而出
GCP cloud VPN中的subnet 、route 、peering、firewall 是什么
最新发布
★【World Of Moshow 郑锴】★
12-01 790
VPN/Tunnels负责安全连接; Subnets用于组织隔离资源; Routes指定数据包的传输路径; Peering允许 VPC 之间的直接通信; Firewalls控制网络流量的进出。
Azure NSG网络安全组日志分析
Hacker_LaoYi的博客
11-19 857
目前AZURE在GLOBAL已经提供了完整的网络安全组日志,比较有帮助的是flow logs,它可以帮助我们记录所有flow的信息,帮助运维人员了解应用的基线数据(如某应用的服务端口的连接数),帮助安全管理员发现安全实践(比如日志中出现大量Hit拒绝访问策略的flow)。以NSG网络安全组分析功能为例,我们首先从两个维度来分析一下方案的可行性,第一,NSG网络安全组可以提供哪些日志,第二,日志监控分析工具目前有哪些解决方案(比如AZURE平台是否有直接可用的平台工具,如果没有有哪些开源工具可以借鉴)。
谷歌云计算平台GCP介绍
热门推荐
jameswhale的博客
10-08 1万+
云计算的概况国内外多个大厂都提供了自己的云计算平台,包括亚马逊的AWS,微软的Azure,Google的GCP(Google Cloud Platform),国内的有腾讯云,阿里云,华为...
Azure安全系列(1)-Network Security Group(网络安全组
yushuzhen2008的博客
02-24 1822
Azure安全系列(1)-Network Security Group(网络安全组) 1. 什么是NSG? 2. NSG的相关概念; 3. 默认NSG 规则; 4. NSG适用于哪些产品; 5. NSG限制; 6. 其他注意事项(例如25端口); 7. 虚拟机NSG配置demo; 为虚拟机配置允许所有IP的入站80端口以允许访问http站点; 为虚拟及...
微软云 网络安全组 Azure NSG
weixin_44533642的博客
06-03 424
网络接口与子网:可理解为上面定义的规则是给谁用,配置子网整个子网下的ip都要遵守规则配置网络接口那网络接口绑定的ip(不论公网、私网)要遵守规则网络安全组nsg)是一个类似防火墙的网络安全功能,通过配置出入站规则子网或网络接口来控制子网或网络接口的网络访问权限来增加安全性。nsg是我们创建集群、局域网络不可少的配置,比如可配置shh远程通道(不建议)、端口开放、网络隔离、网络互通等。代码分三步:1、创建nsg 2、设置规则 3、绑定子网或网络接口 后两步不分先后。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

独隅

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值