Azure 订阅号购买 Azure虚拟机白名单设置教程

白名单设置，别让黑客当"房东"

上个月，同事的服务器被黑了，结果发现是忘了设白名单，连隔壁老王都能远程桌面……这事儿让我意识到，网络安全不是小事。想象一下，你的虚拟机就像家里的门，要是不锁上，谁都能进，那还得了？所以，今天咱们就来聊聊怎么用Azure的网络安全组（NSG）设置IP白名单，让只有你信任的人能访问，其他人都靠边站。

Azure 订阅号购买 为什么需要白名单？

可能有人会问，我服务器又不存什么机密，用得着这么麻烦吗？哈哈，别天真了！黑客可不管你的数据重要不重要，他们就爱到处扫漏洞，一旦发现你的虚拟机开着端口，立马尝试破解。尤其是远程桌面（RDP）或者SSH这些常见端口，简直是黑客的"热门打卡点"。设个白名单，等于给门卫发了张"熟人名单"，只有名单上的人才能进门，其他人都得绕道走。这招简单又高效，比啥都管用。

手把手教设置：三步搞定

别被"网络安全组"这种专业名词吓到，其实操作起来比煮泡面还简单。只要按下面三步走，保证你也能轻松搞定。

第一步：找到网络安全组

打开Azure门户（就是那个蓝色的网站），在左上角搜索栏输入"网络安全组"，然后点击搜索结果里的"网络安全组"。这时候你会看到所有NSG的列表。别急着点进去，先确认哪个是你的虚拟机用的。怎么确认？简单！去你的虚拟机页面，点击"网络"选项卡，旁边会显示关联的NSG名称。比如你的虚拟机叫"Server01"，对应的NSG可能就叫"Server01-NSG"。找到它，点击进入。

这里有个常见误区：很多人以为NSG在虚拟机的设置里，其实它是个独立资源，只是和虚拟机绑定。所以如果找不到，别慌，按上面方法查准了再继续。否则你折腾半天，结果给错误的NSG加规则，等于白忙活。

第二步：添加入站规则

进入NSG详情页后，左边菜单找到"入站安全规则"，点击进入。这时候看到当前的规则列表，点击"添加"。弹出的表单别被吓到，跟着我一步步填：

• 名称：随便起，比如"WhiteList_张三"或者"Office_IP"，方便自己识别就行。
• 来源：选"IP地址"，这样能精确控制谁可以访问。
• 来源IP地址：填你的办公IP或者公司网络IP段。比如192.168.1.100，或者192.168.1.0/24（表示192.168.1.1到192.168.1.254）。注意别写错！比如把192.168.1.1写成192.168.10.1，结果自己也进不去，只能干瞪眼。可以用浏览器搜索"我的IP"就能看到自己的公网IP。
• 目标：选"任何"或者"IP地址"，但一般选"任何"就行，因为规则是针对虚拟机的。
• 目标端口范围：比如远程桌面填3389，SSH填22，具体看你用的端口。别填成80（HTTP）除非你要开放网站。
• 协议：TCP或UDP，通常TCP就行。
• 优先级：这个很重要！数字越小优先级越高。默认规则的优先级是65000，所以你的规则必须小于65000，比如100。如果填70000，那就会被默认规则覆盖，白名单形同虚设！
• 操作：选"允许"。

填完后点"添加"，别忘了保存！这时候你已经成功了一半。

第三步：保存并测试

规则添加后，别急着庆祝。赶紧测试一下是否生效。用另一台电脑（或者手机热点），尝试连接你的虚拟机。如果IP不在白名单里，应该连不上。这时候用命令提示符输入telnet 你的IP 3389，如果显示"连接超时"或者"无法连接"，说明规则生效了。如果还能连上，赶紧回头检查规则设置，可能优先级或者IP填错了。

另外，别忘了检查出站规则。虽然Azure默认允许所有出站流量，但为了安全，可以限制出站到特定IP。不过这次先专注入站白名单，出站控制下次再聊。

常见问题及解决

规则不生效？可能是优先级搞错了

很多新手遇到规则不生效，第一反应是"我是不是哪里填错了？"，结果发现优先级设置反了。比如你设了优先级70000，而默认规则优先级是65000，系统会先匹配默认规则（DenyAllInbound），所以你的白名单规则根本没用上。解决方法很简单：把优先级改成100或者50，数字越小越优先。记住，100比500高，50比100高，别搞反了！

IP变动怎么办？动态IP的应对策略

如果你的公网IP是动态的，比如家里宽带每次重启都会变，那每次变动都要改规则，是不是很烦？这时候可以考虑几个办法：

• 联系ISP要个静态IP，虽然可能要钱，但一劳永逸。
• 用第三方DDNS服务，自动更新IP到白名单里。不过这需要额外配置，可能有点复杂。
• 更安全的做法是用虚拟专用网络（VPN）。把VPN作为唯一入口，只有连接到VPN的设备才能访问虚拟机。这样即使你在家用移动网络，也能安全访问，不用频繁改IP。

不过提醒一句：用DDNS的话，得确保服务可靠，不然IP变了但没更新，照样进不去。所以稳妥起见，还是用VPN更省心。

小贴士：安全无小事

白名单设置后，别以为就高枕无忧了。记住这些小贴士：

• 定期检查规则列表，删除不用的IP。比如同事离职了，赶紧把他的IP从白名单里删掉。
• 别图省事开"0.0.0.0/0"，这样等于没设白名单，黑客分分钟破门而入。端口也别全开，只开放必要的，比如只开3389，别开22、80、443全开。
• 定期更新密码，别用"123456"这种弱密码。白名单再严格，密码弱了也是白搭。
• 启用多因素认证（MFA），给远程访问加一层保险。即使IP在白名单里，没验证码也进不去。

安全是个持续的过程，不是一次设置就完事。多花几分钟检查，少花几小时救火。毕竟，谁也不想半夜被报警电话吵醒，说服务器被黑了——那场面，比追剧卡顿还糟心。

总结：白名单，你的虚拟机"护身符"

Azure 订阅号购买 Azure虚拟机的白名单设置其实超级简单，三步就能搞定。只要记住优先级要小、IP要准、端口要少，就能轻松锁死访问权限。别让黑客把你当"免费房东"，赶紧动手设置吧！以后每次登录，都能安心享受"专属VIP"的感觉——毕竟，只有你能进，其他人？门都没有！