Projektowanie rozwiązań do filtrowania ruchu przy użyciu sieciowych grup zabezpieczeń

Ukończone

Za pomocą sieciowej grupy zabezpieczeń platformy Azure można filtrować ruch sieciowy między zasobami platformy Azure w sieci wirtualnej platformy Azure. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół.

W tym artykule opisano właściwości reguły sieciowej grupy zabezpieczeń, domyślne reguły zabezpieczeń, które są stosowane, oraz właściwości reguły, które można zmodyfikować w celu utworzenia rozszerzonej reguły zabezpieczeń.

Reguły zabezpieczeń

Grupa zabezpieczeń sieci nie zawiera żadnych reguł lub dowolną liczbę reguł zgodnie z potrzebami, w ramach limitów subskrypcji platformy Azure. Każda reguła określa następujące właściwości:

Właściwości Wyjaśnienie
Nazwisko Unikatowa nazwa w obrębie sieciowej grupy zabezpieczeń. Nazwa może mieć długość maksymalnie 80 znaków.
Priorytet Liczba z zakresu od 100 do 4096. Reguły są przetwarzane w kolejności priorytetów. Im niższy numer, tym wyższy priorytet, więc te o niższych numerach są przetwarzane przed tymi o wyższych numerach. Kiedy ruch jest zgodny z regułą, przetwarzanie zostaje zatrzymane. W związku z tym wszelkie reguły, które istnieją z niższymi priorytetami (wyższe liczby), które mają takie same atrybuty jak reguły o wyższych priorytetach, nie są przetwarzane.
Obiekt źródłowy lub docelowy Dowolny lub indywidualny adres IP, blok CIDR (na przykład 10.0.0.0/24), tag usługi lub grupa zabezpieczeń aplikacji. W przypadku określenia adresu dla zasobu platformy Azure należy określić prywatny adres IP przypisany do zasobu. W przypadku ruchu przychodzącego grupy zabezpieczeń sieci są przetwarzane po tym, jak platforma Azure przetłumaczy publiczny adres IP na prywatny adres IP, a w przypadku ruchu wychodzącego — zanim platforma Azure przetłumaczy prywatny adres IP na publiczny adres IP. W przypadku określenia zakresu, tagu usługi lub grupy zabezpieczeń aplikacji wymagana jest mniejsza liczba reguł zabezpieczeń. Możliwość określenia wielu pojedynczych adresów IP i zakresów (nie można określić wielu tagów usługi lub grup aplikacji) w regule jest określana jako rozszerzone reguły zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu adresów IP i zakresów adresów IP w sieciowych grupach zabezpieczeń utworzonych za pomocą klasycznego modelu wdrażania.
Protokół TCP, UDP, ICMP, ESP, AH lub Dowolny. Protokoły ESP i AH nie są obecnie dostępne za pośrednictwem witryny Azure Portal, ale mogą być używane za pośrednictwem szablonów usługi ARM.
Kierunek Określa, czy reguła ma zastosowanie do ruchu przychodzącego, czy wychodzącego.
Zakres portów Można określić pojedynczy port lub zakres portów. Na przykład można określić port 80 lub 10000–10005. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu portów ani zakresów portów w tej samej regule zabezpieczeń w sieciowych grupach zabezpieczeń utworzonych za pomocą klasycznego modelu wdrażania.
Akcja Zezwolić czy zabronić?

Reguły zabezpieczeń są oceniane i stosowane na podstawie pięciu krotki (źródło, port źródłowy, miejsce docelowe, port docelowy i protokół). Nie można utworzyć dwóch reguł zabezpieczeń z tym samym priorytetem i kierunkiem. Rekord przepływu tworzony jest dla istniejących połączeń. Komunikacja jest dozwolona lub zablokowana na podstawie stanu połączenia z rekordu przepływu. Dzięki rekordowi przepływu grupa zabezpieczeń sieci jest stanowa. Jeśli zostanie określona reguła zabezpieczeń dla ruchu wychodzącego do dowolnego adresu za pośrednictwem (na przykład) portu 80, nie trzeba określać żadnej reguły zabezpieczeń ruchu przychodzącego dla odpowiedzi na ruch wychodzący. Należy tylko określić regułę zabezpieczeń dla ruchu przychodzącego w przypadku, jeśli komunikacja jest inicjowana zewnętrznie. Jest to również prawdziwe w odwrotnym przypadku. Jeśli ruch przychodzący jest dozwolony przez port, nie trzeba określać reguły zabezpieczeń dla ruchu wychodzącego, aby odpowiadać na ruch przychodzący przez port.

Istniejące połączenia mogą nie zostać przerwane po usunięciu reguły zabezpieczeń, która zezwoliła na przepływ. Przepływy ruchu są przerywane po zakończeniu połączenia, gdy przez co najmniej kilka minut nie ma ruchu z żadnej strony.

Modyfikowanie reguł sieciowej grupy zabezpieczeń będzie miało wpływ tylko na nowe połączenia, które są tworzone. Po utworzeniu nowej reguły lub zaktualizowaniu istniejącej reguły w sieciowej grupie zabezpieczeń będzie ona stosowana tylko do nowych przepływów i nowych połączeń. Istniejące połączenia przepływu pracy nie są aktualizowane przy użyciu nowych reguł.

Istnieją ograniczenia dotyczące liczby reguł zabezpieczeń, które można utworzyć w grupie zabezpieczeń sieci.