我正在尝试锁定充当Web应用程序的app服务器的虚拟机.我有两个VM：一个用于app服务器,另一个用于运行web服务器.我必须打开大量的端口以允许Web服务器与某些wcf服务通信,但我只想允许来自Web服务器的那些连接而不是该网络之外的任何人.我必须添加端点以便Web服务器访问wcf服务,但这也使它们可以访问公共IP.我怎样才能允许此流量 最佳答案 对于虚拟机,从托管服务外部访问端口的唯一方法是定义输入端点(在一组机器上有或没有负载平衡).在您的情况下,您只需打开80和443,专门用于您的Web服务器(例如,不负载平衡).这被视为端口转发端点,因为这两个端口上的流量会直接转发到您的Web服务器.为了更清楚地了解端口转发的端点,我建议Michael Washam的博客文章
here.

此时,您将在应用服务器上打开各种其他端口(通过其防火墙配置),现在您的Web服务器可以与应用服务器通信,但外部世界将无法访问应用服务器.注意：我假设您将Web服务器和应用服务器放在同一个托管服务中.否则,您需要找到一种不同的方式来连接Web服务器和应用服务器,例如配置虚拟网络.

编辑6/5/2013您现在可以在输入端点上启用ACL,允许(或阻止)IP范围.今天的ACL可能只能通过PowerShell进行管理,并在2013年6月更新.请参阅this post以了解更多信息.