Azureロードバランサ+ NSGルール - 直接アクセスを削除する

Question

クラウド内の私の顧客サーバーの1つにネットワークに関する質問があります。

NSGファイアウォールを介して設定されたいくつかのエンドポイントを備えた標準的な2012R2 VMを使用しており、同じVPCに転送されるいくつかのポートを備えたネットワークの内側にLoadBalancerがあります。私は破るための試みで3389と21をヒットしようとしているボットの無数のレコードを見つけることだから、我々はポート転送とロードバランサを使用している理由がある

。

だから私は、元の設定を変更しようとしましたAzureLoadBalancerへのNSGルールでは、外部ポートのLoadBalancerを経由して来たトラフィックへのアクセスのみが許可されることを期待しています。

しかし、何らかの理由でこれは当てはまりませんか？ LoadBalancerからNSG経由でVMへのトラフィックを制限する適切な手順はありますか？

これですべてのヘルプは大歓迎です。

おかげ

Answer 1

NSGロードバランサに関連付けることができない、NSGsは、サブネットまたはそのサブネット内の個々のVMインスタンスのいずれかに関連付けることができますので、我々は、インターネットからのインバウンドIPアドレスをブロックするためにNSGを使用することはできません。
VM（パブリックIPを使用）を保護するために、Linux VMを導入し、IPテーブルをファイアウォールとして使用できます。 Azure Marketplaceでサードパーティのファイアウォール製品を検索することもできます。

更新：
あなたのVMを保護するには、あなたのVMにアクセスするための送信元IPアドレスの範囲を許可するようにNSGを使用することができます。 NSG->受信セキュリティルールの追加 - >高度 - >送信元IPアドレス範囲。