gpt4 book ai didi

azure - 如果 Azure 网络安全组是无状态的,出站拒绝是否会被覆盖?

转载 作者:行者123 更新时间:2023-12-03 06:54:34 24 4
gpt4 key购买 nike

我想知道 Azure NSG 在状态性和 Denys 方面如何工作。

例如,让我们与 AWS 安全组进行比较。

# Example AWS Security Group inbound/outbound rules
Inbound: Port 80 from the internet
Outbound: Port 443 to the internet

由于有状态,尽管我只隐式允许 443 出站,但由于有状态,允许 80 出站。

Azure NSG 的工作方式是否相同?如果我对所有出站流量有隐式拒绝,但对某个服务的端口 80 有入站规则,那么即使使用隐式出站拒绝规则,仍允许通过端口 80 流向该服务的出站流量吗?

谢谢

最佳答案

• 在网络安全组中创建规则时请注意以下几点。

a) Azure 中的 NSG 是有状态的。这意味着如果您打开传入端口,传出端口将自动打开以允许流量。因此,如果您为所有出站流量创建隐式拒绝规则,但对某个服务的端口 80 有入站允许规则,则该入站规则只有在配置为更高优先级后才会生效与基于优先级配置的相应入站和出站规则相比,其结果优于“拒绝”规则。

b) 网络安全组中的默认规则允许出站访问,默认情况下拒绝入站访问。默认情况下允许 VNet 内的访问。

c) 与普通 ACL 一样,规则根据优先级进行处理。

d) NSG 只能在创建它的 Azure 区域中使用。

e) 每个订阅的软限制为 100 个 NSG,每个 NSG 的软限制为 200 个规则。

因此,虽然 NSG 是有状态的,但其有效功能取决于入站/出站规则允许/拒绝列表中设置的规则的优先级。优先级越高,该规则越有效,优先级越低,其生效的可能性越小,因为它会被较高优先级的规则覆盖。

请参阅以下链接以了解有关上述内容的更多详细信息:-

https://theithollow.com/2016/08/03/azure-network-security-groups/

关于azure - 如果 Azure 网络安全组是无状态的,出站拒绝是否会被覆盖?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/73160450/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com