無法隔離同一個虛擬網絡中的Azure子網

Question

我可能在這裏沒有基礎，因爲我不是網絡專家，也不是新的Azure。我在隔離Azure虛擬網絡中的兩個子網時遇到問題。

場景：

一個虛擬網絡（VN）與地址空間10.0.0.0/16。

兩個子網（subnet1和subnet2） subnet1：10.0.0.0/24 subnet2：10.0.1.0/24

兩個虛擬機（VM1和VM2）。每個虛擬機都是禁用了Windows防火牆的Windows Server 2012 R2。 VM1生活subnet1， VM2生活subnet2

VM2已Web服務綁定到端口5550 VM1有客戶端（瀏覽器）擊中VM2 Web服務。我可以通過vm1上的客戶端（瀏覽器）成功訪問vm2上的Web服務器操作。

兩個網絡安全組（nsg1和nsg2）。 nsg1與subnet1相關， nsg2與subnet2相關

默認入站規則，特別是對nsg2，允許通過默認規則從VNET訪問：

PRIORITY: 65000, 
NAME: AllowVnetInbound, 
SOURCE: VirtualNetwork, 
DESTINATION: VirtualNetwork, 
SERVICE: Custom(Any/Any), 
ACTION: Allow 

我想配置nsg2否認交通從vm1到vm2，即從subnet1到subnet2。我似乎無法完成這項工作;無論什麼否定規則我放在vm1上的客戶端總是能夠訪問vm2上的Web服務器。

我添加了優先級更高的新規則：

PRIORITY: 200, 
NAME: DenyVnetInbound, 
SOURCE: VirtualNetwork, 
DESTINATION: VirtualNetwork, 
SERVICE: Custom(Any/Any), 
ACTION: Deny 

不工作，在VM1客戶端仍然能夠在VM2訪問Web服務器。

也試過變化..

PRIORITY: 200, 
NAME: DenyVnetInbound, 
SOURCE: 10.0.0.0/24, 
DESTINATION: 10.0.1.0/24, 
SERVICE: Custom(Any/Any), 
ACTION: Deny 

這也不起作用。是否有可能在Azure中隔離同一虛擬網絡中的子網？

Answer 1

我現在可以阻止在可重複的方式等子網。我使用規則：

PRIORITY: 4000 
NAME: DenyVNet 
SOURCE: VirtualNetwork 
DESTINATION: All 
SERVICE: Custom (Any/Any) 
ACTION: Deny 

我認爲根本原因是，我做了一個錯誤的測試（S）。我懷疑這個問題與來自瀏覽器（以及使用HTTP的其他測試應用程序）的HTTP持久連接有關。 HTTP Keep-Alive？

當我改變NSG規則（入站目標子網）：

ACTION        RESULT 
Kill both client and service   New rule always works 
Kill either client or service   New rule works...most of time 
Don't kill either client or service New rule never works, old rule behaviour remains 

這種模式似乎重複了Azure的NSGs。我也相信這是AWS VPC安全組/網絡ACL的情況。

Answer 2

這是絕對有可能的，我不知道你在做什麼錯誤，只是拒絕來自子網1的CIDR範圍到子網1上的子網1的流量NSG出站或子網2 NSG入站。

參考：
https://docs.microsoft.com/en-us/azure/best-practices-network-security#examples-building-security-boundaries-with-azure-virtual-networks