Azure Account KYC Bypass Service Azure Network Security Group Configuration Guide
Introduction
Azure 网络安全组(Network Security Group,简称 NSG)是你在云上管理流量的核心工具之一。它决定了虚拟机、子网以及某些资源对外的访问方式:允许哪些端口进来,哪些连接可以离开,以及这些规则如何生效。很多团队在刚开始配置时会遇到同样的问题:规则写得多、逻辑不清、排查困难、偶尔还会“明明放行了却仍然不通”。
这份配置指南会用一种更落地的方式,带你把 NSG 从“能用”配置到“用得稳、用得明白”。你不需要先掌握所有 Azure 网络概念,但你要能读懂规则的方向、优先级与匹配条件。文中我会把关键决策点讲清楚,并给出一套可复用的配置思路。
What an NSG Actually Controls
NSG 是一组安全规则集合,每条规则都会对网络流量做匹配判断,然后执行允许或拒绝。它主要作用在两类位置:
- 子网级别:作用于进入/离开该子网的资源(更适合统一管理)。
- 网络接口级别:作用于具体虚拟机网卡(更适合个别资源例外)。
你需要记住一个基础原则:NSG 里配置的是“规则”,规则最终影响的是“流量是否匹配并被处理”。匹配成功后才会放行或拦截。
Core Concepts You Must Get Right
Inbound vs Outbound
方向是最常见的误判来源。
- Inbound(入站):表示“从外部进入目标资源”的流量。
- Outbound(出站):表示“从目标资源发往外部”的流量。
例如,你的服务器提供 Web 服务,通常要配置 Inbound 放行 TCP 80/443;而你要让服务器主动拉取补丁、访问外部 API,则更可能需要 Outbound 放行相应的目的地址或端口。
Priority(优先级)
NSG 规则按优先级从小到大评估。优先级越小越“先被看见”。一旦某条规则匹配了当前流量,就不会再考虑更低优先级的规则。
因此建议你在规划阶段就确定一套优先级区间,比如:
- 保底/基础规则:较小优先级(比如 100–199)
- 关键业务例外:中间优先级(比如 200–299)
- 更细粒度规则:更大优先级(比如 300–399)
这样后续加新规则不会导致“被更早的规则覆盖”。
Source/Destination(源与目的)
每条规则都会有“源地址范围”和“目的地址范围”。你不需要把它们当成复杂的网络知识,但必须知道它们在匹配中起作用。
- 入站规则通常关注“源”:例如允许来自某个办公网段或特定服务 IP 段的访问。
- 出站规则通常关注“目的”:例如允许访问某些固定外部服务地址。
当你不知道对方来自哪里时,确实会倾向于放宽 source/destination 范围。但这往往会降低安全性。更稳妥的做法是先梳理访问路径与网段,再逐步收敛范围。
Protocol and Port(协议与端口)
规则通常按协议(TCP/UDP/ICMP 等)与端口匹配。很多“为什么不通”都来自端口与协议不一致。例如:你以为是 TCP 443,但实际服务可能是 UDP,或者你规则只放行了 80 没放行 443。
同时要注意系统服务可能会使用多个端口或动态端口范围。你需要明确业务要求,避免一把梭放全端口。
A Safer Default Strategy
NSG 默认包含一些“后备”行为。即便你不改默认值,也要理解:当没有任何规则匹配到时,会走系统的默认处理。多数安全团队会采用一种思路:先拒绝后放行,并且只允许必要的流量。
不过在实际落地时,你可以分两步推进:
- 第一步:以不影响业务为前提,明确现状。用“允许必要、拒绝多余”的方式把入口口子梳理清楚。
- 第二步:逐步收紧。把宽松的来源/目的范围缩小,把允许的端口从全放到最小集合。
这样不会因为一次性改成“最严格”就引起服务中断,也能持续提升安全性。
Step-by-Step Configuration Workflow
Step 1: Identify Assets and Traffic Flows
在写 NSG 规则之前,先列清楚三件事:
- 受保护的资源是什么:子网内的虚拟机?还是特定网卡?
- 谁需要访问它:办公网、跳板机、第三方服务、同网段资源。
- 用哪些协议与端口访问:例如 SSH(22)、RDP(3389)、Web(80/443)、数据库(通常是 5432/3306 等)等。
如果你跳过这一步,后续规则很难一致,也更容易遗漏“出站”需要的部分。
Step 2: Decide Scope: Subnet vs NIC
选择规则挂载的位置会影响运维复杂度。
- 子网级 NSG:适合大多数资源共用同一套访问政策。例如开发子网、测试子网分别采用不同策略。
- 网卡级 NSG:适合少数机器需要不同访问策略。比如数据库服务器的允许来源比 Web 更严格。
如果你两者都用,要建立清楚的“谁覆盖谁”。更好的做法是:能用子网级就用子网级;需要例外时才在网卡级加规则,并且保持优先级逻辑一致。
Step 3: Plan Rule Priorities
提前规划优先级,能显著降低后期排障成本。建议你把优先级当成“执行顺序”。你要确保:
- 基础允许规则(例如来自跳板机的管理访问)优先于更宽泛的拒绝规则。
- 精确的业务放行规则优先于通用拒绝规则。
- 不要让“看似放行”的规则被更高优先级的拒绝覆盖。
此外,保持命名规范也很重要:规则名字要反映“用途 + 方向 + 端口 + 范围”。比如“allow-inbound-https-officeCIDR”。
Step 4: Create Inbound Rules First
对大多数场景而言,入口更容易理解,所以建议先把 Inbound 规则搭起来。常见的最小集合包括:
- SSH/RDP 管理访问
- Web 服务端口
- 必要的内部服务端口(例如应用之间的调用端口)
创建时你要始终坚持“最小必要”。例如:
- 管理端口只允许来自跳板机/运维网段,而不是允许所有公网 IP。
- Web 端口只允许需要的来源(如果业务要求允许所有用户访问公网,那也至少确保 80/443 以外不放行)。
当 Inbound 策略确定后,再进入 Outbound。
Step 5: Then Configure Outbound with Intent
很多团队忽略出站规则,结果就是:你以为只要开放入口就行,但业务其实需要访问外部依赖。比如:
- 应用需要向外请求第三方 API
- 虚拟机需要拉取更新或访问包仓库
- 数据库/缓存需要连接到其他内部服务
出站规则要表达清晰的“目的”。如果你不知道对方地址范围,可能会选择允许全目的,这会提升运维便利但降低安全边界。更好的路径是先在日志里观察实际访问目标,再逐步收敛。
Step 6: Validate with a Tight Test Plan
规则写完并不等于“正确”。你需要用测试验证匹配结果。建议你至少做以下几类验证:
- 允许的流量是否真的通:例如从跳板机访问服务器管理端口。
- Azure Account KYC Bypass Service 不允许的流量是否真的断:例如从非授权网段尝试访问。
- 协议与端口是否一致:避免“只放了 TCP 没放 UDP”的情况。
同时注意路径中可能还存在其他网络组件的影响,例如路由、防火墙策略或网关设置。NSG 是关键环节,但并不是唯一限制条件。
Common Reference Configurations
Scenario A: Web Server with Restricted Admin Access
假设你有一组对外提供 Web 服务的虚拟机,同时希望只允许运维从跳板机访问管理端口。
推荐思路:
- Inbound
- 允许 TCP 80/443:来源可以是公网(若业务需要),或仅允许特定入口(如果有 WAF/CDN/网关可控)。
- 允许 TCP 22(SSH)或 3389(RDP):来源限定为跳板机所在网段。
- 其余端口不放行。
- Outbound
- 允许访问更新源/镜像仓库/所需外部服务。
- 内部服务调用端口按需放行。
重点是:管理端口不能开放给所有来源。你可以通过在源地址范围上做收敛,来显著降低风险。
Scenario B: Internal App Subnets with East-West Control
很多企业把应用拆成多个子网:前端、后端、数据库。此时最容易忽略的是“东西向(East-West)”访问,即子网之间的调用。
推荐做法:
- 在前端子网 NSG 中允许到后端子网的特定端口。
- 在后端子网 NSG 中允许到数据库子网的特定端口。
- 尽量避免在后端或数据库子网放行“来自任何人”的规则。
当每一层只允许被明确的调用端访问时,整个系统的可控性会明显提升。排障时也能更快定位问题属于“NSG 拒绝”还是“应用配置错误”。
Scenario C: Batch or Scheduled Jobs with Controlled Egress
批处理任务常见需求是访问外部数据源、写入对象存储、调用特定 API。你可以把 Outbound 设计成“只允许访问必要目标”。
要点:
- 先从日志或历史行为中确定真实访问的目的端口与目标范围。
- 把 Outbound 规则分成几类:DNS/HTTP、数据库连接、文件上传/下载等。
- 对不必要的出站目的保持拒绝或不创建放行规则。
在这个场景里,出站规则往往比入站更能体现安全价值。
Troubleshooting: Why Traffic Still Fails
当你遇到“配置了允许却仍然不通”,通常不是 NSG 没效果,而是匹配逻辑被其他规则或系统行为影响。以下是排查顺序。
1: Confirm the Direction
先确认你在看的是 Inbound 还是 Outbound。很多情况下你明明设置了入站放行,但问题其实发生在出站阶段。
2: Check the Priority Collision
如果存在优先级更高的规则(更小数字),它可能已经把流量拒绝了。你需要核对规则列表里优先级与匹配范围。
3: Verify Source/Destination CIDR Match
源地址/目的地址范围如果写错了网段,规则就匹配不上。尤其是你以为“同网段”,但实际使用的来源地址并不在那个范围内。
4: Ensure Port and Protocol Alignment
确认服务端口和协议一致。还有一种常见情况是:你放行了端口,但应用实际上使用了不同端口或代理转发。
5: Remember NSG Is Not the Only Gate
NSG 之外可能还有其他网络限制条件,比如:
- Azure Account KYC Bypass Service 子网路由与转发路径不一致
- 上游网关或防火墙策略限制
- 操作系统自身防火墙或服务绑定问题
建议你把排查拆成两步:先确认网络层是否允许,再确认应用层是否监听正确端口。
Azure Account KYC Bypass Service Operational Best Practices
Keep Rules Minimal and Documented
规则越多,越难维护。你可以建立一份简单的规则清单模板,例如每条规则都要填写:
- 业务用途
- Azure Account KYC Bypass Service 方向
- 协议与端口
- 源/目的范围
- 负责人和创建日期
这样当团队轮替或排查时,信息不会断层。
Azure Account KYC Bypass Service Use Consistent Naming and Priority Windows
命名和优先级是长期维护的“骨架”。建议你:
- 统一前缀(比如 allow-inbound、deny-outbound)
- 规则名包含方向、协议、端口、范围的关键信息
- 优先级区间固定,不要随意插入
Separate Environments
Azure Account KYC Bypass Service 开发、测试、生产最好不要共用相同的安全策略。至少在网段与规则范围上要隔离,避免“把错误环境的放行规则也带上生产”。
Iterate Based on Evidence
Azure Account KYC Bypass Service 如果你不确定范围,不要一开始就把规则放得极宽。更好的做法是先观测、再收紧。你可以先用较宽的策略让系统跑起来,同时记录实际需要的访问目的,之后再逐步把规则变成更精确的版本。
Azure Account KYC Bypass Service Security Mindset: Avoid the Most Common Mistakes
- 把管理端口开放给全公网:这是最常见、风险也最大的问题。
- 忘记 Outbound:导致业务依赖访问失败,但你却只检查了入站。
- 一次性改动过多:让排查变得不可控。更稳妥的做法是分阶段推进。
- 规则没有命名与文档:后期只能靠猜,效率极低。
- 优先级缺乏规划:规则看似正确,但被更高优先级的拒绝覆盖。
Recommended Template: A Practical Rule Set
下面给出一个通用的“可作为起点”的思路,你可以按自己的环境做调整。它不追求一次到位,但强调逻辑清晰。
- Inbound
- 管理访问:允许 TCP 22/3389,仅来自运维跳板机或特定网段。
- 业务入口:允许 TCP 80/443(或你的实际端口),来源按业务需求收敛。
- 其余端口:不放行。
- Outbound
- Azure Account KYC Bypass Service DNS 与基础访问:按需放行到必要目的与端口。
- 内部调用:允许到应用/数据库所需端口。
- 外部依赖:允许到已知服务目的;未知或不需要的访问不创建放行规则。
你可以把“允许必要、拒绝不必要、用证据收敛范围”作为长期原则。NSG 配置不应该是一次性的,而是随业务变化不断迭代。
Conclusion
Azure NSG 的价值在于把“网络访问规则”变成可管理、可审计、可复用的策略体系。要把它用好,关键不是记住每个参数的名字,而是形成正确的配置习惯:先梳理业务流向,再选择合适的挂载范围,最后用优先级与最小放行原则把规则落到可验证、可维护的程度。
如果你已经开始配置,建议你先检查三件事:方向是否选对、优先级是否被覆盖、源/目的范围是否真的匹配。把这三点核对清楚,很多“明明放行却不通”的问题会直接消失。接下来再用小步迭代把规则收紧,你的网络安全就会更稳、更可靠,也更容易交给团队长期维护。

