微軟雲服務器:利用Azure Bastion(堡壘機)免公網IP、免RDP/SSH端口安全登錄虛擬機
在企業公有雲的日常運維中,有一個堪稱「皇帝的新衣」式的安全重災區:
虛擬機遠程登錄。
很多剛把業務搬上微軟雲(Azure)的朋友,為了圖省事,往往會直接給虛擬機掛一個公網 IP,然後在網路安全組(NSG)里大開綠燈,把 Windows 的
RDP(3389端口)
或者 Linux 的
SSH(22端口)
直接暴露給全世界。
這種做法在黑客和自動化掃描腳本眼裡,無異於在公網上裸奔。 你只需要登錄 Linux 虛擬機的後台看一下日誌,就會震撼地發現,每分每秒都有來自全球各地的未知 IP,在用成千上萬種字典組合瘋狂暴力破解你的 root 密碼。 只要你團隊裡某個員工圖方便設了個弱密碼,整台服務器、乃至整個企業雲端內網的淪陷,只是時間問題。
傳統的安全做法是搭一個 VPN,或者自己用一台虛擬機硬啃配置、搭一個開源的跳板機(堡壘機)。 但自己搭的堡壘機同樣需要公網 IP,你不僅要天天給它打操作系統補丁,還要擔心它本身會不會變成黑客眼裡的「單點突破口」。
在微軟的雲原生安全生態裡,有一個專為徹底終結「公網暴露焦慮」而生的降維打擊武器,叫做
Azure Bastion(堡壘機)
。
它的核心邏輯非常霸道且純粹:
讓你的虛擬機徹底告別公網 IP,甚至在雲端防線(NSG)上把 22 和 3389 端口全部封死。 員工只需要拉開瀏覽器,就能在網頁裡無密、高防、絲滑地登錄進內網。
今天我們拒絕任何官方概念說教,直接從硬核的實戰切入,手把手帶你用大廠級的標準,在 10 分鐘內配置好 AVD 級別的安全堡壘機通道。
第一階段:深度拆解,azure Bastion 的「隱形斗篷世界模型」
在去控制台點鼠標之前,你必須在腦子裡建立起 Azure Bastion 底層的物理運行模型。 為什麼它能做到「免公網 IP、免端口暴露」?
整個安全通信鏈路是由三個陣地交織組成的:
[ 用戶瀏覽器 ] --( HTTPS / 443 端口 )--> [ Azure Bastion (PaaS) ] --( 內網 RDP/SSH )--> [ 純內網虛擬機 (無公網IP) ]
絕對合規的前端防線(HTTPS / 443):bastion 是一個完全託管的 PaaS 服務。 員工在登錄時,不需要在本地電腦安裝任何 RDP(遠程桌面連接)客戶端或 Putty/Xshe
Ll 等工具。 你只需要登錄 Azure 門戶網站,點擊連接,所有的遠程畫面和操作指令,都會被打包封裝在標準的 HTTPS(443 端口)流量里,直接在你的瀏覽器標籤頁裡渲染呈現。 任何企業內網的嚴苛防火牆,都不會攔截 443 網頁流量。
絕對隔離的專屬陣地(AzureBastionSubnet):bastion 不會和你的業務虛擬機擠在同一個子網裡。 它要求在你的虛擬網絡(VNet)里,劃出一塊獨立、專屬、名字死死焊死、任何人不準借宿的獨立子網。 Bastion 坐鎮在這塊陣地里,扮演最強看門大爺。
純內網的安全插管(Private IP Link):當大爺驗證了你的 Azure 賬號身份合法後,它會通過微軟雲內部的骨幹網,用內網私有 IP 去敲你虛擬機的門。 因此,你的虛擬機可以徹底斬斷與外網的一切物理聯系,0 公網 IP、0 外部端口開放,穩如泰山。
第二階段:實戰演練--10 分鐘平地起高樓,焊死安全通道
請確保你已經在 Azure 上擁有了一個虛擬網絡(VNet),並且裡面跑著一台完全沒有掛載公網 IP 的 Linux 或 windows 虛擬機。 接下來,我們開啟戰役。
進入
Azure 服務入口網站(Portal)
,搜尋並進入
「Bastions」
頁面。
步驟 1:開闢 Bastion 專屬的「禁飛區」(子網劃分)
在創建 Bastion 之前,我們必須先去虛擬網路裡給看門大爺切出他的獨立辦公室,否則後續創建會直接報錯失敗。
進入你的虛擬網絡(VNet)頁面,點擊左側菜單的 「Subnets」(子網)。
點擊頂部的 「 Subnet」。
注入靈魂的一步:子網的名稱(Name)必須、強行、一字不差地填寫為:AzureBastionSubnet。 這是微軟底層自動化腳本識別的唯一暗號,錯一個字母都不行。
地址範圍(Address range):劃分一個 /26 或 /27 的小網段即可(例如 10.0.1.0/26),點擊保存。
步驟 2:創建 Bastion 託管服務
回到 Bastions 頁面,點擊頂部的
「 Create」
:
基本配置:選擇好你的資源組,給堡壘機起名叫 bst-core-prod,地域選擇和你虛擬機完全一致的地域(如 East Asia 香港)。
Tier(層級):開發測試選 「Devel
Oper」(最省錢,完全託管);商業生產推薦選 「Basic」 或 「Standard」(支持動態縮放和文件傳輸)。
虛擬網絡:精準選中你剛才劃分了子網的那個 VNet。 系統會自動檢測並綁定我們剛建好的 AzureBastionSubnet。
公網 IP:bastion 服務本身需要一個公開的入口來接收來自全球員工的瀏覽器 HTTPS 請求。 新建一個標準的公網 IP,起名叫 pip-bst-prod。
點擊創建。 微軟的無伺服器編排引擎會在後台全自動為你打磨這個高防網關,通常需要 5 分鐘左右落盤。
第三階段:奇蹟時刻--體驗純網頁端的「黑客帝國式安全登錄」
當 Bastion 的狀態亮起綠色的
Succeeded
時,最震撼的體驗來了。 雙手離開你本地的遠程桌面軟件,準備肉身通關。
進入你那台沒有公網 IP、完全處於內網隔離狀態的虛擬機詳情頁(如 vm-linux-prod)。
點擊頂部的 「Connect」(連接) 大按鈕,在下拉菜單里,毫不猶豫選擇 「Connect via Bastion」。
[ 虛擬機詳情頁 ] -> [ 點擊 Connect ] -> [ 選擇 bastion 通道 ]
頁面會瞬間切換成一個極其乾淨的登錄面板。 輸入你這台 Linux 的系統賬號(如 root)和密碼(或上傳你的 SSH 私鑰文件)。
最震撼的畫面發生:點擊 「Connect」 的瞬間,你的瀏覽器會自動彈出一個全新的標籤頁。 在這個網頁內部,黑乎乎、反應速度極快的 Linux 終端命令行(或者 Windows 的華麗桌面)直接百分之百完美渲染出來!
你在網頁裡敲入
Ifconfig
,看著清一色的
10.0.x.x
純內網 IP,本地電腦沒有開啟任何 VPN,沒有配置任何複雜的端口映射,一切平滑得不可思議。
第四階段:大廠級高防架構下的避坑血淚史
這套方案配置完,你企業內部的虛擬機資產已經等於塞進了保險箱。 但要在嚴苛的商業高並發、審計戰場裡活下來,作為首席安全官(CISO),你必須在合攏電腦前,順手焊死以下兩個容易被忽視的隱形大坑:
1. 致命的「NSG 防火牆反向鎖死」慘劇
很多剛上手 Bastion 的網管,在看到網頁登錄成功後,興奮不已。 為了追求絕對的安全,他們會來到虛擬機的
網絡安全組(NSG)
裡,
大刀闊斧地新建了一條拒絕策略:
「禁止一切入站流量(Deny All Inbound)」
。
災難發生:這條策略一保存,你會發現網頁端的 Bastion 瞬間斷聯,再也登不進去了。
原因拆解:很多人誤以為 Bastion 既然是微軟官方服務,就能無視網絡安全組(NSG)。 其實不然! Bastion 本質上也是通過內網 IP(在 AzureBastionSubnet 範圍里)去連接虛擬機的。 如果你直接簡單粗暴地封鎖了虛擬機的 22/3389 端口,就會把看門大爺一腳關在門外。
大廠標準避坑配置:在虛擬機的 NSG 入站規則里,嚴禁對公網(Internet)開放 22 和 3389。 但你必須新建一條高優先級規則:源(Source)選擇「Service Tag」,標簽名精準選中 AzureBastionSubnet;端口允許 22 和 3389 放行。 這樣,除了大爺能推門進來,公網上任何牛鬼蛇神敲門都會被瞬間物理攔截。
2. 警惕「跨 VNet 瞎指揮」的財務白嫖陷阱
很多公司在雲端不止建了一個虛擬網絡(VNet),可能測試環境一個 VNet,生產環境一個 VNet。 很多新手為了圖省事,會給每一個 VNet 都生生買一個全新的 Azure Bastion 實例。
內幕曝光:Azure Bastion 是按小時和實例算錢的。 如果你開了好幾個堡壘機,月底那張高昂的賬單能直接讓財務跟老闆告狀。
架構師降本增效加固規範:全網只需建一個堡壘機(Hub-Spoke 架構)。 你只需要在最核心的 Hub-VNet 里建一個高配的 Bastion 堡壘機。 其他的子 VNet(如測試、預發環境),只需要通過 虛擬網絡對等互聯(VNet Peering),和核心的 Hub-VNet 連通。 在登錄其他 VNet 的虛擬機時,bastion 能夠極其聰明地跨越 Peering 管道,直接隔空連過去,實現「單機守全網」。 控盤精準,把每一枚硬幣都用在刀刃上。
總結
利用 Azure Bastion 快速搭建企業級高防虛擬機登錄通道,核心的工業級精髓簡化為十六個字:
暗號對齊,免去公網,網頁渲染,內網鎖死。
你徹底告別了過去天天去盯暴力破解日誌、提心吊膽怕虛擬機弱密碼漏洞、深夜人肉爬起來升級跳板機操作系統的原始苦海。 把所有最核心的遠程連接控制面,完全託管給微軟百億美金打造的 W
Eb 級網絡安全網關。 坐在電腦前,拉開瀏覽器優雅辦公,前方任憑黑客如何掃描探測,你整座雲端帝國的核心服務器都將穩如泰山。