Wdrażanie sieciowych grup zabezpieczeń przy użyciu witryny Azure Portal
Sieciowa grupa zabezpieczeń na platformie Azure umożliwia filtrowanie ruchu sieciowego do i z zasobów platformy Azure w sieci wirtualnej platformy Azure. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół.
Reguły zabezpieczeń sieciowej grupy zabezpieczeń
Grupa zabezpieczeń sieci nie zawiera żadnych reguł lub dowolną liczbę reguł zgodnie z potrzebami, w ramach limitów subskrypcji platformy Azure. Każda reguła ma te właściwości.
- Name. Musi być unikatową nazwą w sieciowej grupie zabezpieczeń.
- Priorytet. Może być dowolną liczbą z zakresu od 100 do 4096. Reguły są przetwarzane w kolejności priorytetów. Im niższy numer, tym wyższy priorytet, więc te o niższych numerach są przetwarzane przed tymi o wyższych numerach. Kiedy ruch jest zgodny z regułą, przetwarzanie zostaje zatrzymane. A
- Źródło lub miejsce docelowe. Można ustawić na dowolny lub indywidualny adres IP albo blok routingu międzydomenowego (CIDR) bez klas (10.0.0.0/24, na przykład), tag usługi lub grupę zabezpieczeń aplikacji.
- Protokół. Może to być TCP, UDP, ICMP, ESP, AH lub Dowolny.
- Kierunek. Można skonfigurować do stosowania do ruchu przychodzącego lub wychodzącego.
- Zakres portów. Można określić jako pojedynczy port lub zakres portów. Na przykład można określić port 80 lub 10000–10005. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń.
- Akcja. Można skonfigurować do zezwalania lub odmowy.
Zapora ocenia reguły przy użyciu źródła, portu źródłowego, miejsca docelowego, portu docelowego i protokołu.
Domyślne reguły zabezpieczeń
Platforma Azure tworzy te reguły domyślne.
| Kierunek | Nazwa/nazwisko | Priorytet | Source | Porty źródłowe | Lokalizacja docelowa | Porty docelowe | Protokół | Uzyskaj dostęp |
|---|---|---|---|---|---|---|---|---|
| Przychodzący | AllowVNetInBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Dowolne | Zezwalaj |
| Przychodzący | AllowAzureLoadBalancerInBound |
65001 | AzureLoadBalancer |
0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zezwalaj |
| Przychodzący | DenyAllInbound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zablokuj |
| Wychodzący | AllowVnetOutBound |
65000 | VirtualNetwork |
0-65535 | VirtualNetwork |
0-65535 | Dowolne | Zezwalaj |
| Wychodzący | AllowInternetOutBound |
65001 | 0.0.0.0/0 | 0-65535 | Internet |
0-65535 | Dowolne | Zezwalaj |
| Wychodzący | DenyAllOutBound |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zablokuj |
Ten diagram i punkty punktowe ilustrują różne scenariusze wdrażania sieciowych grup zabezpieczeń.
W przypadku ruchu przychodzącego platforma Azure przetwarza reguły w sieciowej grupie zabezpieczeń skojarzonej z podsiecią najpierw, jeśli istnieje, a następnie reguły w sieciowej grupie zabezpieczeń skojarzonej z interfejsem sieciowym, jeśli istnieje.
- VM1:
Subnet1jest skojarzona z sieciową grupą zabezpieczeń 1, więc reguły zabezpieczeń są przetwarzane, a maszyna VM1 znajduje się w elemecieSubnet1. Chyba że utworzono regułę zezwalającą na ruch przychodzący na porcie 80,DenyAllInbounddomyślna reguła zabezpieczeń odrzuca ruch i nigdy nie oceniana przez sieciową grupę zabezpieczeń 2, ponieważ sieciowa grupa zabezpieczeń2 jest skojarzona z interfejsem sieciowym. Jeśli sieciowa grupa zabezpieczeń 1 ma regułę zabezpieczeń zezwalającą na port 80, sieciowa grupa zabezpieczeń2 przetwarza ruch. Aby zezwolić na ruch przychodzący na porcie 80 do maszyny wirtualnej, obie grupy NSG1 i NSG2 muszą zawierać regułę zezwalającą ruch przychodzący na porcie 80 z Internetu. - VM2: Reguły w sieciowej grupie zabezpieczeń1 są przetwarzane, ponieważ maszyna wirtualna VM2 jest również w systemie
Subnet1. Ponieważ maszyna wirtualna VM2 nie ma sieciowej grupy zabezpieczeń skojarzonej z interfejsem sieciowym, odbiera cały ruch dozwolony przez sieciową grupę zabezpieczeń1 lub odrzuca cały ruch zabroniony przez sieciową grupę zabezpieczeń1. Ruch jest dozwolony albo blokowany dla wszystkich zasobów w tej samej podsieci, gdy grupa zabezpieczeń sieci jest skojarzona z podsiecią. - VM3: Ponieważ nie ma sieciowej grupy zabezpieczeń skojarzonej z
Subnet2usługą , ruch jest dozwolony do podsieci i przetwarzany przez sieciową grupę zabezpieczeń 2, ponieważ sieciowa grupa zabezpieczeń2 jest skojarzona z interfejsem sieciowym dołączonym do maszyny wirtualnej VM3. - VM4: ruch do maszyny wirtualnej VM4 jest dozwolony, ponieważ sieciowa grupa zabezpieczeń nie jest skojarzona
Subnet3z usługą lub interfejsem sieciowym na maszynie wirtualnej. Cały ruch sieciowy przez podsieć i interfejs sieciowy jest dozwolony, jeśli nie mają one skojarzonej żadnej sieciowej grupy zabezpieczeń.
W przypadku ruchu wychodzącego platforma Azure przetwarza reguły w sieciowej grupie zabezpieczeń skojarzonej z interfejsem sieciowym, jeśli istnieje, a następnie reguły w sieciowej grupie zabezpieczeń skojarzonej z podsiecią, jeśli istnieje.
- VM1: reguły zabezpieczeń w sieciowej grupie zabezpieczeń 2 są przetwarzane. Jeśli nie zostanie utworzona reguła zabezpieczeń, która nie zezwala na ruch wychodzący na porcie 80 do Internetu, domyślna reguła zabezpieczeń AllowInternetOutbound zezwala na ruch zarówno w sieciowej grupie zabezpieczeń 1, jak i sieciowej grupie zabezpieczeń2. Jeśli sieciowa grupa zabezpieczeńG2 ma regułę zabezpieczeń, która blokuje port 80, ruch jest blokowany, a sieciowa grupa zabezpieczeń 1 nigdy nie ocenia go. Aby zablokować port 80 na maszynie wirtualnej, jedna lub obie grupy zabezpieczeń sieci muszą zawierać regułę, która blokuje ruch do Internetu na porcie 80.
- VM2: cały ruch jest wysyłany przez interfejs sieciowy do podsieci, ponieważ interfejs sieciowy dołączony do maszyny wirtualnej VM2 nie ma skojarzonej sieciowej grupy zabezpieczeń. Reguły w grupie NSG1 są przetwarzane.
- VM3: Jeśli sieciowa grupa zabezpieczeń ma regułę zabezpieczeń, która blokuje port 80, ruch zostanie odrzucony. Jeśli sieciowa grupa zabezpieczeń ma regułę zabezpieczeń zezwalającą na port 80, port 80 jest dozwolony dla ruchu wychodzącego do Internetu, ponieważ sieciowa grupa zabezpieczeń nie jest skojarzona z
Subnet2. - VM4: cały ruch sieciowy jest dozwolony z maszyny wirtualnej VM4, ponieważ sieciowa grupa zabezpieczeń nie jest skojarzona z interfejsem sieciowym dołączonym do maszyny wirtualnej ani do
Subnet3.
Grupy zabezpieczeń aplikacji
Grupa zabezpieczeń aplikacji (ASG) umożliwia skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co umożliwia grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Platforma obsługuje złożoność jawnych adresów IP i wiele zestawów reguł, co pozwala skupić się na logice biznesowej.
Aby zminimalizować wymaganą liczbę reguł zabezpieczeń, utwórz reguły przy użyciu tagów usługi lub grup zabezpieczeń aplikacji. Unikaj reguł z poszczególnymi adresami IP lub zakresami adresów IP.
Filtrowanie ruchu sieciowego za pomocą sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal
Sieciową grupę zabezpieczeń można użyć do filtrowania ruchu sieciowego przychodzącego i wychodzącego z podsieci sieci wirtualnej. Sieciowe grupy zabezpieczeń zawierają reguły zabezpieczeń, które filtrują ruch sieciowy według adresów IP, portów i protokołów. Reguły zabezpieczeń są stosowane do zasobów wdrożonych w podsieci.
Kluczowe etapy filtrowania ruchu sieciowego za pomocą sieciowej grupy zabezpieczeń to:
- Utwórz grupę zasobów.
- Utwórz sieć prywatną.
- Tworzenie grup zabezpieczeń aplikacji.
- Utworzenie sieciowej grupy zabezpieczeń.
- Skojarz sieciową grupę zabezpieczeń z podsiecią.
- Tworzenie reguł zabezpieczeń.
- Kojarzenie kart sieciowych z usługą ASG.
- Przetestuj filtry ruchu.
Aby wyświetlić szczegółowe kroki wszystkich tych zadań, zobacz Samouczek: filtrowanie ruchu sieciowego przy użyciu sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal.