你离开家时不会把前门打开，对吧？虚拟机也是如此。当管理对内部网络的访问时，网关很必要，以可防止外部威胁。其中一个选项是堡垒主机。

在军事术语中，堡垒是一种防御结构，作为更大城堡的一部分。它的作用通常是为了更好地观察周围环境，并防止攻击者突破墙壁。同样，堡垒主机作为安全检查点，确定对其分配的内部网络的入站访问是朋友还是敌人。

对于那些认为堡垒主机没有必要的人，可以了解一下，在不到一天的时间，基于互联网的Linux主机发现针对端口22（SSH）和3389（微软远程桌面协议）进行1200多次扫描。如果设置正确，堡垒主机会帮助用户免受僵尸机器、扫描仪和黑客的侵害。

Azure Bastion功能

Azure Bastion是完全托管的PaaS，使管理员能够使用远程桌面协议（RDP）或SSH直接通过Azure门户连接到他们的虚拟机。这可以防止虚拟机管理端口暴露在公共互联网上，并提供额外的安全层。

Azure Bastion主机的关键功能如下：

• 接入点控制。虚拟机管理仍然与公共访问隔离，因为Azure Bastion使用私有IP地址连接到虚拟机。通过消除用于虚拟机管理的公共IP地址，Azure Bastion可以防止端口扫描仪检测这些虚拟机上的开放端口。将RDP（端口3389）或SSH（端口22）暴露到互联网的传统访问方法容易受到各种攻击，包括暴力破解和自动扫描。
• 安全访问。对于Azure Bastion主机，唯一面向公众的组件是堡垒主机本身。此主机可以被监控，访问权限可以限制在已知的IP范围，这降低未经授权访问的风险。客户端和Azure Bastion之间的所有流量都是端到端加密，以确保安全通信。对虚拟机的访问也受到多因素身份验证的保护。活动日志可提供关于谁访问了虚拟机的信息，以帮助审计和事件响应。
• Azure集成。与Microsoft Entra ID和Azure基于角色的访问控制无缝集成，可实现精细的访问管理。用户还可以配置Azure防火墙或网络安全组（NSG）来执行其他规则。拥有特定堡垒主机IP的用户可以设置NSG，仅接受来自堡垒主机的管理连接。大多数合适的NSG配置会自动管理和更新，以允许从堡垒访问。这是一项重大的安全胜利，因为这也减轻管理开销。企业还可以配置Azure Monitor和Azure安全中心以进行威胁检测，以发送与堡垒访问相关的可疑活动的警报。
• 基于浏览器的访问。直接通过Web浏览器访问虚拟机，无需额外的客户端软件。添加的客户端软件可能会对安全性产生负面影响，无论是数据泄露、恶意代码被注入第三方应用程序还是中间人攻击。如果需要，还可支持外部工具。

Azure Bastion的成本和限制

虽然Azure Bastion主机可以为企业带来很多好处，但也需要付出代价。例如，Azure的East US 2地区的标准堡垒主机收费为每小时0.29美元。这可能看起来不是很多钱，但请记住，堡垒主机不能像其他服务一样被关闭。如果需要，堡垒主机可以扩展，用户可以在部署时增加计数。然而，主机要么存在，要么不存在。

出站数据传输也有成本。以我们的Azure East US 2 地区为例，每月前5GB的出站数据传输是免费的。在那之后，成本增加到每GB 0.087美元。根据企业的数据传输需求，这些成本可能会累积很多。

Azure Bastion主机的一个值得注意的限制是，它们不能跨越Azure区域。如果管理员需要跨不同的Azure区域访问虚拟机，他们必须设置多个堡垒主机。然而，Azure Bastion采用两种类型的网络对等，以连接部署在对等虚拟网络中的虚拟机：

1. 虚拟网络对等。允许用户在同一Azure区域内连接虚拟网络。
2. 全球网络对等。允许用户跨Azure区域连接虚拟网络。

如何设置Azure Bastion主机

有兴趣设置Azure Bastion主机的用户可以按照以下步骤开始。

第1步

登录Azure门户。点击创建资源>网络>虚拟网络。这需要用户填写所需的详细信息，例如姓名和地址空间。完成后，单击“创建”。这为用户创建了一个基本网络，以设置可以从堡垒主机访问的基础设施。

第2步

在Azure门户中，使用搜索向导，搜索Bastions，然后选择它，点击创建。这打开了一个需要填写的向导，其中有几个必填字段，包括以下内容：

• 订阅。选择合适的订阅。
• 资源组。选择或创建一个新的资源组。
• 名字。为堡垒主机提供一个名称。
• 地区。选择与你的虚拟网络相同的区域。
• 虚拟网络。选择之前创建的虚拟网络。
• 公共IP地址。创建一个新的公共IP。这是堡垒主机所在的IP。

使用正确的设置更新后，单击“创建”。创建堡垒主机可能需要20分钟或更短时间。用户可以通过单击右上角的铃铛来查看进度，其中详细说明当前任务。

第3步

完成后，用户可以通过访问Azure门户，选择相关虚拟机并单击“连接”来连接到虚拟机。选择堡垒，而不是正常连接。

有用的是，NSG会自动更新，只允许来自堡垒主机的SSH和RDP。

用户会看到一个摘要页面，详细说明他们的Bastion主机配置。

请记住，使用堡垒主机是一项重大的安全升级。几个附加项目与堡垒主机协同工作，以确保NSG配置默认拒绝，以限制内部网络之间的流量。

另一个可以实施的有用工具是及时访问（JIT）。JIT访问是一个托管访问工具，要求用户从堡垒主机请求并获得RDP或SSH访问权限。然而，此功能仅限于更高SKU级别的堡垒主机。