Návrh řešení pro filtrování provozu pomocí skupin zabezpečení sítě
K filtrování síťového provozu mezi prostředky Azure ve virtuální síti Azure můžete použít skupinu zabezpečení sítě Azure. Skupina zabezpečení sítě obsahuje pravidla zabezpečení umožňující povolit nebo odepřít příchozí nebo odchozí síťový provoz několika typů prostředků Azure. Pro každé pravidlo můžete určit zdroj a cíl, port a protokol.
Tento článek popisuje vlastnosti pravidla skupiny zabezpečení sítě, výchozí pravidla zabezpečení, která se použijí, a vlastnosti pravidla, které můžete upravit a vytvořit rozšířené pravidlo zabezpečení.
Pravidla zabezpečení
Skupina zabezpečení sítě nemusí obsahovat žádná pravidla nebo může podle potřeby obsahovat libovolný počet pravidel v rámci omezení předplatného Azure. Každé pravidlo určuje následující vlastnosti:
| Vlastnost | Vysvětlení |
|---|---|
| Název | Jedinečný název v rámci skupiny zabezpečení sítě. Název může mít délku až 80 znaků. |
| Priorita | Číslo v rozsahu od 100 do 4096. Pravidla se zpracovávají v pořadí podle priority, přičemž nižší čísla, která mají vyšší prioritu, se zpracovávají před vyššími čísly. Jakmile provoz odpovídá pravidlu, zpracování se zastaví. V důsledku toho se nezpracují všechna pravidla s nižšími prioritami (vyššími čísly), která mají stejné atributy jako pravidla s vyššími prioritami. |
| Zdroj nebo cíl | Všechny nebo určitá IP adresa, blok CIDR (například 10.0.0.0/24), značka služby nebo skupina zabezpečení aplikace Pokud zadáváte adresu prostředku Azure, zadejte privátní IP adresu přiřazenou k tomuto prostředku. Skupiny zabezpečení sítě se zpracovávají poté, co Azure přeloží veřejnou IP adresu na privátní IP adresu pro příchozí provoz, a před tím, než Azure přeloží privátní IP adresu na veřejnou IP adresu pro odchozí provoz. Při zadávání rozsahu, značky služby nebo skupiny zabezpečení aplikace je potřeba méně pravidel zabezpečení. Možnost zadat více jednotlivých IP adres a rozsahů (nemůžete zadat více značek služeb nebo skupin aplikací) v pravidle se označuje jako rozšířená pravidla zabezpečení. Rozšířená pravidla zabezpečení je možné vytvářet pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager. Ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Classic nemůžete zadat více IP adres a rozsahů IP adres. |
| Protokol | TCP, UDP, ICMP, ESP, AH nebo any. Protokoly ESP a AH nejsou v současné době dostupné prostřednictvím webu Azure Portal, ale je možné je použít prostřednictvím šablon ARM. |
| Směr | Určuje, jestli se pravidlo vztahuje na příchozí nebo odchozí provoz. |
| Rozsah portů | Můžete zadat určitý port nebo rozsah portů. Můžete zadat například 80 nebo 10000-10005. Zadání rozsahů umožňuje vytvářet méně pravidel zabezpečení. Rozšířená pravidla zabezpečení je možné vytvářet pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager. Ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Classic nemůžete zadat více portů ani rozsahů portů ve stejných pravidlech zabezpečení. |
| Akce | Povolit nebo odepřít |
Pravidla zabezpečení se vyhodnocují a použijí na základě informací o pěti řazených kolekcích členů (zdroj, zdrojový port, cíl, cílový port a protokol). Nemůžete vytvořit dvě pravidla zabezpečení se stejnou prioritou a směrem. Pro stávající připojení se vytvoří záznam toku. Komunikace se povoluje nebo odepírá na základě stavu připojení v záznamu toku. Záznam toku umožňuje, aby skupina zabezpečení sítě byla stavová. Pokud zadáte odchozí pravidlo zabezpečení pro všechny adresy například přes port 80, není potřeba zadávat příchozí pravidlo zabezpečení pro reakci na odchozí provoz. Příchozí pravidlo zabezpečení je potřeba zadat pouze v případě, že se komunikace zahajuje externě. Opačně to platí také. Pokud je přes port povolený příchozí provoz, není potřeba zadávat odchozí pravidlo zabezpečení pro reakci na provoz přes tento port.
Pokud odeberete pravidlo zabezpečení, které povolilo tok, nesmí se přerušit žádné stávající připojení. Toky provozu se přeruší v případě zastavení připojení a toku provozu oběma směry po dobu alespoň několika minut.
Úprava pravidel skupiny zabezpečení sítě ovlivní pouze nová připojení, která jsou vytvořena. Když se ve skupině zabezpečení sítě vytvoří nové pravidlo nebo se aktualizuje existující pravidlo, bude platit jenom pro nové toky a nová připojení. Stávající připojení pracovních postupů se neaktualizují pomocí nových pravidel.
Počet pravidel zabezpečení, která můžete ve skupině zabezpečení sítě vytvořit, je omezený.