仮想ネットワーク内のいくつかのサブネットを保護しようとしています。
サブネット A、B、C を持つ仮想ネットワーク 1 があります。
デフォルトのエンドポイント (RDP と WinRM) を持つ各サブネットに VM があります。
次のコマンドを使用して、ネットワーク セキュリティ グループを作成し、サブネット C に接続しました。
$SGName = 'SecurityGroupC'
$location = 'West US'
$virtualNetwork = '1'
$subnet = 'C'
New-AzureNetworkSecurityGroup -Name $SGName -Location $Location -Label $SGName
Get-AzureNetworkSecurityGroup -Name $SGName | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName $VirtualNetwork -SubnetName $Subnet
次を実行すると、デフォルトのルールを確認できます。
Get-AzureNetworkSecurityGroup -Name $SGName -Detailed
これは、予想されるデフォルト ルールを示しています。
Name : SecurityGroupC
Rules :
Type: Inbound
Name Priority Action Source Address Source Port Destination Destination Protocol
Prefix Range Address Prefix Port Range
---- -------- ------ --------------- ------------- ---------------- -------------- --------
ALLOW VNET INBOUND 65000 Allow VIRTUAL_NETWORK * VIRTUAL_NETWORK * *
ALLOW AZURE LOAD 65001 Allow AZURE_LOADBALAN * * * *
BALANCER INBOUND CER
DENY ALL INBOUND 65500 Deny * * * * *
Type: Outbound
Name Priority Action Source Address Source Port Destination Destination Protocol
Prefix Range Address Prefix Port Range
---- -------- ------ --------------- ------------- ---------------- -------------- --------
ALLOW VNET OUTBOUND 65000 Allow VIRTUAL_NETWORK * VIRTUAL_NETWORK * *
ALLOW INTERNET 65001 Allow * * INTERNET * *
OUTBOUND
DENY ALL OUTBOUND 65500 Deny * * * * *
これらのルールに基づいて、サブネット C の VM の RDP エンドポイントは動作を停止するはずです。ただし、インターネットから VM に直接 RDP で接続することはできます。足りないものはありますか?