Azure企業帳號充值 Azure虛擬機白名單設置教程

什麼是Azure虛擬機白名單？

Azure企業帳號充值 說白了，白名單就是「只讓特定人進門」的設定。在Azure裡，這不是什麼高科技，而是透過网络安全組（NSG）來實現的。你可以想像NSG就像個智能保安，只有你事先錄入的IP地址才能順利通過檢查，其他來路不明的訪問直接被拒之門外。這對保護敏感資料或服務來說，簡直是必備技能！

為什麼需要設置白名單？

假設你的虛擬機跑著公司核心資料庫，結果被某個惡意掃描器盯上，天天嘗試暴力破解SSH端口，是不是頭痛？設置白名單後，只有內網IP或特定開發者IP能連接，其他攻擊者連門都摸不到。這不僅提升安全性，還能減少不必要的流量浪費，畢竟每個被擋掉的攻擊嘗試都會消耗一點系統資源嘛！更妙的是，萬一你的服務被黑客盯上，白名單能像「防彈玻璃」一樣阻擋絕大部分攻擊，讓你睡個好覺！

準備工作：你的武器庫清單

Azure企業帳號充值 必要條件

• Azure帳戶與有效訂閱（免費試用版也行）
• 已建立的虛擬機（沒有的話，先去造一台）
• 知道虛擬機所屬的資源組和網路介面名稱

你需要哪些權限？

至少要有「參與者」權限才能操作NSG，管理員權限當然更保險。如果你在公司裡只是個小工程師，記得先跟主管要權限，免得操作時被系統拒之門外，那可就尷尬了。另外，確認你的Azure帳號已啟用「Network Contributor」角色，這樣才能自由擺弄網路設定！

步驟一：創建或選擇現有网络安全組

創建新NSG的完整流程

1. 登入Azure Portal，在左側選單點擊「网络安全組」
2. 點擊「+ 創建」，填寫基本資訊：名稱建議用「NSG-WhiteList-Prod」之類的，資源組選你虛擬機所在的，區域也選對
3. 點擊「檢視+建立」，確認無誤後創建

小貼士：NSG名稱要直觀，別叫「NSG-123」這種，否則半年後你自己都搞混！

選擇現有NSG的小技巧

如果已經有NSG了，比如之前設置過，可以直接在NSG列表裡找。點擊後進入設置頁面，看看「入站安全規則」有沒有預先設定好的規則，如果有，直接編輯即可省時省力！但注意！別急著修改現有規則，先確認是否影響其他服務。萬一你公司其他部門也在用這個NSG，改錯了可能導致全公司斷網——那可是會被全團隊追殺的！

步驟二：添加入站安全規則

精確設定白名單規則

1. 在NSG設置頁面，點擊「入站安全規則」→「+ 添加」
2. 規則名稱：建議寫清楚，例如「Allow-Admin-IP」
3. 來源：選擇「IP地址」，然後輸入允許的IP，例如「192.168.1.5」或「10.0.0.0/24」
4. 來源端口範圍：通常填「*」表示任何端口
5. 目標：選擇「IP地址」，填寫虛擬機的私有IP，或「*」表示所有
6. 目標端口：根據服務填寫，例如SSH是22，HTTP是80，HTTPS是443
7. 協定：選擇TCP、UDP或Any。SSH建議TCP
8. 動作：選擇「允許」
9. 優先順序：建議100~200之間，數字越小優先級越高。注意不要和系統預設規則衝突

舉個實例：你想讓同事小明的IP（123.45.67.89）能SSH連接伺服器，就填「來源IP」為123.45.67.89/32，目標端口22，協定TCP。這樣小明就能暢通無阻，其他人想闖關？門都沒有！

注意！優先順序的玄機

Azure會按優先順序從小到大執行規則，所以如果你設了兩個規則：一個允許192.168.1.5（優先級100），另一個允許192.168.1.6（優先級200），那麼優先級100的規則會先被檢查。但如果有規則說「拒絕所有」，記得把允許的規則優先級設得比拒絕規則高（數字更小），否則拒絕規則會先執行，讓你白忙活！常見錯誤是把允許規則設成優先級999，結果被系統預設的拒絕規則（優先級4096）擋住——這時候得重頭來過！

步驟三：將NSG關聯到虛擬機

關聯到網路介面

1. 進入虛擬機頁面，點擊「網路」選項卡
2. 選擇要關聯的網路介面（通常只有一個）
3. 在網路介面設定中，找到「网络安全組」選項，點擊選擇，選取你剛創建的NSG
4. 點擊「儲存」即可完成關聯

重要提醒：關聯時別選錯網路介面！假設你的虛擬機有兩個NIC（網路介面），結果把NSG關到錯誤的那個上，那等於沒設！檢查時可以看NIC的IP地址，對照虛擬機的實際網路配置。

關聯到子網的進階技巧

如果虛擬機所在的子網已經有NSG，可以直接將NSG關聯到子網，這樣子網內的所有虛擬機都會套用該規則。適合大規模部署，但要注意影響範圍，別不小心擋到其他服務！比如生產環境和測試環境共用同一子網，卻只設了生產環境的白名單，測試環境的開發者就哭暈在廁所了……

步驟四：驗證設定是否生效

測試連線的實戰技巧

用另一台電腦（不在白名單內）嘗試SSH連接虛擬機，應該會顯示「Connection timed out」或「拒絕連接」。再用白名單內的IP連接，應該順利通過。這時候你可以鬆口氣，成功了！但小心：Windows預設防火牆可能攔截連接，記得在虛擬機內也開放對應端口！

使用Azure Network Watcher檢查流量

如果連不上，可以開啟Network Watcher的流量分析功能，看看哪些規則被觸發。這招特別適合排查複雜規則衝突的問題。比如看到「DenyAllInbound」規則被觸發，但你明明設了允許規則，那就是優先順序出問題了！

常見問題與解法

問題1：白名單設定後仍無法連接

先檢查：1. IP地址是否寫錯？（例如把192.168.1.5寫成192.168.1.50）2. 目標端口是否正確？（SSH是22不是3389）3. NSG是否關聯到正確的網路介面？4. 虛擬機本身的防火牆（如Windows Firewall）是否開放對應端口？有時NSG放行了，但系統層級還得放行才行！記住：NSG是網路層，系統防火牆是主機層，兩者都要打通才行！

問題2：如何允許多個IP地址？

可以單獨添加多條規則，或者用逗號分隔的IP清單（例如192.168.1.5,10.0.0.1）。但要注意Azure允許單一規則的來源IP範圍最多1000個，所以量大的話建議拆分成多條規則。例如允許10個IP，就分10條規則，每條一個IP，這樣清楚又安全！

問題3：如何允許特定區域的IP？

Azure NSG支援Azure服務標籤（如「AzureCloud」），但若要精確到國家/地區，得用第三方IP地理定位服務，或者手動輸入該區域的IP段。不過這通常比較麻煩，建議直接用Azure Firewall做進階的地理篩選。或者，你也可以在應用層做檢查，例如在Nginx設定地區封鎖，這比NSG更靈活！

進階技巧：別只靠NSG！

NSG雖然好用，但僅限於網路層級。如果你需要更細緻的控制，例如檢測HTTP攻擊，建議搭配Azure Application Gateway的WAF功能，或者用Azure Firewall來做進階的流量分析和規則管理。這就像是在保安之外再加個偵探，能識別更隱蔽的威脅！比如WAF能攔截SQL注入、XSS攻擊，而NSG只能擋住IP——這就像鎖門 vs 檢查每個進門的人手裡有沒有刀！

總結：安全無小事

設定白名單看似簡單，但細節決定成敗。每次調整都要測試，避免一時疏忽導致服務中斷。記住，安全防禦層層疊疊，NSG只是其中一環。持續關注系統日誌、定期更新規則，才是真正的防禦之道！最後送你一句話：「防禦像蓋房子，一塊磚都不能漏。」快去試試吧，你的伺服器會謝謝你！