如何使用 Azure 虛擬網絡 Manager 封鎖網路流量 - Azure 入口網站
本文說明如何建立安全性管理規則,以封鎖可在 RDP 連接埠 3389 上新增至規則集合的輸入網路流量。 如需詳細資訊,請參閱 安全性系統管理員規則。
必要條件
開始設定安全性系統管理員規則之前,請先確認您已完成下列步驟:
- 您瞭解安全性管理規則中的每個元素。
- 您已建立 Azure 虛擬網絡 Manager 實例。
建立 SecurityAdmin 組態
選取 [設定] 下的 [組態],然後選取 [+ 建立]。
從下拉功能表中選取 [安全性 設定]。
在 [ 基本] 索引 標籤上,輸入 [名稱 ] 來識別此安全性設定,然後選取 [ 下一步:規則集合]。
新增規則集合
輸入 [名稱] 以識別此規則集合,然後選取您要套用規則集的目標網络群組。
新增安全性規則
從 [新增規則集合] 頁面中選取 [+ 新增]。
輸入或選取下列資訊,然後選取 [新增 ] 將規則新增至規則集合。
設定 值 名稱 輸入規則名稱 的名稱Deny_RDP 。 描述 輸入規則的相關描述。 優先權* 輸入介於 0 到 99 之間的值,以判斷規則的優先順序。 值愈低,優先順序愈高。 在此範例中輸入 1 行動* 選取 [ 拒絕 ] 以封鎖流量。 如需詳細資訊,請參閱 動作 方向* 選取 [輸入 ],因為您想要使用此規則拒絕輸入流量。 協定* 選取 TCP 通訊協定。 HTTP 和 HTTPS 是 TCP 連接埠。 來源 來源類型 選取IP位址或服務標籤的來源類型。 來源 IP 位址 當您選取IP位址的來源類型時,會出現此欄位。 使用 CIDR 表示法輸入 IPv4 或 IPv6 位址或範圍。 使用逗號分隔多個位址或位址區塊時。 在此範例中保留空白。 來源服務標籤 當您選取服務標籤的來源類型時,會出現此欄位。 針對您想要指定為來源的服務,選取 [服務卷標]。 如需支援的標籤清單,請參閱 可用的服務標籤。 來源連接埠 輸入單一埠號碼或埠範圍,例如 (1024-65535)。 定義多個埠或埠範圍時,請使用逗號分隔它們。 若要指定任何連接埠,請透過 *。 在此範例中保留空白。 目的地 目的地類型 選取IP位址或服務標籤的目的地類型。 目的地 IP 位址 當您選取IP位址的目的地類型時,會出現此欄位。 使用 CIDR 表示法輸入 IPv4 或 IPv6 位址或範圍。 使用逗號分隔多個位址或位址區塊時。 目的地服務標籤 當您選取服務標籤的目的地類型時,會出現此欄位。 針對您想要指定為目的地的服務,選取 [服務卷標]。 如需支援的標籤清單,請參閱 可用的服務標籤。 目的地連接埠 輸入單一埠號碼或埠範圍,例如 (1024-65535)。 定義多個埠或埠範圍時,請使用逗號分隔它們。 若要指定任何連接埠,請透過 *。 在此範例中輸入 3389 。 如果您想要將更多規則新增至規則集合,請再次重複步驟 1-3。
一旦您對想要建立的所有規則感到滿意,請選取 [新增 ] 將規則集合新增至安全性系統管理員設定。
然後選取 [檢閱 + 建立] 和 [建立],以完成安全性設定。
部署安全性系統管理員設定
如果您剛建立新的安全性系統管理員設定,請務必部署此組態以套用至網路群組中的虛擬網路。
選取 [設定] 下的 [部署],然後選取 [部署組態]。
選取 [ 在您的目標狀態 中包含安全性管理員] 複選框,然後從下拉功能表選擇您在最後一節中建立的安全性設定。 然後選擇您想要將此設定部署至的區域。
選取 [ 下一步 ] 和 [部署 ] 以部署安全性系統管理員設定。
更新現有的安全性系統管理員設定
- 如果您要更新的安全性系統管理員設定套用至包含靜態成員的網路群組,您必須再次部署組態才會生效。
- 安全性系統管理員設定會自動套用至網路群組中的動態成員。
確認安全性系統管理員規則
移至您套用安全性系統管理員規則的其中一個虛擬網路中虛擬機的網路設定。 如果您沒有測試虛擬機,請將測試虛擬機部署到其中一個虛擬網路。 虛擬機具有網路安全組規則下方的新區段,包括 Azure 虛擬網絡 Manager 套用的安全性規則。
下一步
深入瞭解 安全性系統管理員規則。