Oplossingen ontwerpen voor het filteren van verkeer met netwerkbeveiligingsgroepen
U kunt een Azure-netwerkbeveiligingsgroep gebruiken om netwerkverkeer tussen Azure-resources in een virtueel Azure-netwerk te filteren. Een netwerkbeveiligingsgroep bevat beveiligingsregels waarmee binnenkomend netwerkverkeer naar, of uitgaand netwerkverkeer van, diverse typen Azure-resources kan worden toegestaan of geweigerd. Voor elke regel kunt u de bron en het doel, de poort en het protocol opgeven.
In dit artikel worden de eigenschappen beschreven van een netwerkbeveiligingsgroepregel, de standaardbeveiligingsregels die worden toegepast en de regeleigenschappen die u kunt wijzigen om een uitgebreide beveiligingsregel te maken.
Beveiligingsregels
Een netwerkbeveiligingsgroep bevat nul regels of zoveel regels als u wilt binnen de limieten van uw Azure-abonnement. Elke regel geeft de volgende eigenschappen aan:
| Eigenschappen | Uitleg |
|---|---|
| Naam | Een unieke naam binnen de netwerkbeveiligingsgroep. De naam mag maximaal 80 tekens lang zijn. |
| Prioriteit | Een getal tussen 100 en 4096. Regels worden verwerkt in volgorde van prioriteit, waarbij lagere getallen worden verwerkt vóór hogere getallen omdat lagere getallen een hogere prioriteit hebben. Zodra het verkeer overeenkomt met een regel, wordt de verwerking beëindigd. Als gevolg hiervan worden regels met lagere prioriteiten (hogere getallen) die dezelfde kenmerken hebben als regels met hogere prioriteiten, niet verwerkt. |
| Bron of doel | Een IP-adres, CIDR-blok (bijvoorbeeld 10.0.0.0/24), servicetag of toepassingsbeveiligingsgroep. Als u een adres opgeeft voor een Azure-resource, geeft u het privé-IP-adres op dat aan de resource is toegewezen. Netwerkbeveiligingsgroepen worden verwerkt nadat Azure een openbaar IP-adres vertaalt naar een privé-IP-adres voor binnenkomend verkeer en voordat Azure een privé-IP-adres naar een openbaar IP-adres voor uitgaand verkeer vertaalt. Er zijn minder beveiligingsregels nodig wanneer u een bereik, een servicetag of toepassingsbeveiligingsgroep opgeeft. De mogelijkheid om meerdere afzonderlijke IP-adressen en bereiken op te geven (u kunt niet meerdere servicetags of toepassingsgroepen opgeven) in een regel wordt aangeduid als uitgebreide beveiligingsregels. Uitgebreide beveiligingsregels kunnen alleen worden gemaakt in netwerkbeveiligingsgroepen die zijn gemaakt via het Resource Manager-implementatiemodel. U kunt niet meerdere IP-adressen en IP-adresbereiken opgeven in netwerkbeveiligingsgroepen die zijn gemaakt via het klassieke implementatiemodel. |
| Protocol | TCP, UDP, ICMP, ESP, AH of Any. De ESP- en AH-protocollen zijn momenteel niet beschikbaar via Azure Portal, maar kunnen worden gebruikt via ARM-sjablonen. |
| Richting | Hiermee wordt aangegeven of de regel van toepassing is op binnenkomend of uitgaand verkeer. |
| Poortbereik | U kunt één poort of een poortbereik opgeven. U kunt bijvoorbeeld 80 of 10000-10005 opgeven. Als u bereiken opgeeft, hoeft u minder beveiligingsregels te maken. Uitgebreide beveiligingsregels kunnen alleen worden gemaakt in netwerkbeveiligingsgroepen die zijn gemaakt via het Resource Manager-implementatiemodel. U kunt niet meerdere poorten of poortbereiken opgeven in dezelfde beveiligingsregel in netwerkbeveiligingsgroepen die zijn gemaakt via het klassieke implementatiemodel. |
| Actie | Toestaan of weigeren |
Beveiligingsregels worden geëvalueerd en toegepast op basis van de informatie over vijf tuples (bronpoort, doel, doelpoort en protocol). U kunt geen twee beveiligingsregels met dezelfde prioriteit en richting maken. Voor bestaande verbindingen wordt een stroomrecord gemaakt. Communicatie wordt toegestaan of geweigerd op basis van de verbindingsstatus van de stroomrecord. Met de stroomrecord wordt een netwerkbeveiligingsgroep toegestaan stateful te zijn. Als u bijvoorbeeld een beveiligingsregel voor uitgaand verkeer opgeeft voor elk adres via poort 80, hoeft u geen beveiligingsregel voor binnenkomend verkeer op te geven voor de reacties op het uitgaande verkeer. U hoeft alleen een beveiligingsregel voor binnenkomend verkeer op te geven als de communicatie extern is gestart. Het omgekeerde geldt ook. Als binnenkomend verkeer via een poort is toegestaan, is het niet nodig om een beveiligingsregel voor uitgaand verkeer op te geven om te reageren op verkeer via die poort.
Bestaande verbindingen kunnen niet worden onderbroken wanneer u een beveiligingsregel verwijdert die de stroom mogelijk heeft gemaakt. Verkeersstromen worden onderbroken wanneer er verbindingen worden gestopt en er gedurende minstens een paar minuten in beide richtingen geen verkeer stroomt.
Het wijzigen van regels voor netwerkbeveiligingsgroepen heeft alleen invloed op de nieuwe verbindingen die worden gevormd. Wanneer een nieuwe regel wordt gemaakt of een bestaande regel wordt bijgewerkt in een netwerkbeveiligingsgroep, is deze alleen van toepassing op nieuwe stromen en nieuwe verbindingen. Bestaande werkstroomverbindingen worden niet bijgewerkt met de nieuwe regels.
Er gelden beperkingen voor het aantal beveiligingsregels dat u in een netwerkbeveiligingsgroep kunt maken.