Projetar soluções para filtragem de tráfego com grupos de segurança de rede
Pode utilizar um grupo de segurança de rede do Azure para filtrar o tráfego de rede entre os recursos do Azure numa rede virtual do Azure. Os grupos de segurança de rede contêm regras de segurança que permitem ou negam o tráfego de entrada ou de saída de e para vários tipos de recursos do Azure. Para cada regra, pode especificar a origem e o destino, a porta e o protocolo.
Este artigo descreve as propriedades de uma regra de grupo de segurança de rede, as regras de segurança padrão aplicadas e as propriedades da regra que você pode modificar para criar uma regra de segurança aumentada.
Regras de segurança
Os grupos de segurança de rede contêm zero ou tantas regras conforme pretender, dentro dos limites das subscrições do Azure. Cada regra especifica as propriedades seguintes:
| Property | Explicação |
|---|---|
| Nome | Um nome exclusivo no grupo de segurança de rede. O nome pode ter até 80 caracteres. |
| Prioridade | Um número entre 100 e 4096. As regras são processadas por ordem de prioridade, sendo os números mais baixos processados antes dos mais elevados, uma vez que têm uma prioridade superior. Quando o tráfego corresponder a uma regra, o processamento para. Como resultado, quaisquer regras que existam com prioridades mais baixas (números mais altos) que tenham os mesmos atributos que regras com prioridades mais altas não são processadas. |
| Origem ou destino | Qualquer endereço IP ou um endereço IP individual, um bloco CIDR (Classless Inter-domain Routing) (por exemplo, 10.0.0.0/24), uma etiqueta de serviço ou um grupo de segurança de aplicação. Se especificar um endereço para um recurso do Azure, indique o endereço IP privado atribuído ao mesmo. Os grupos de segurança de rede são processados depois de o Azure traduzir um endereço IP público num privado para tráfego de entrada e antes de traduzir um endereço IP privado num público para tráfego de saída. Menos regras de segurança são necessárias quando você especifica um intervalo, uma etiqueta de serviço ou um grupo de segurança de aplicativo. A capacidade de especificar vários endereços IP individuais e intervalos (não é possível especificar várias tags de serviço ou grupos de aplicativos) em uma regra é chamada de regras de segurança aumentada. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede gerados através do modelo de implementação do Resource Manager. Não é possível especificar vários endereços IP e intervalos de endereços IP em grupos de segurança de rede criados por meio do modelo de implantação clássico. |
| Protocolo | TCP, UDP, ICMP, ESP, AH ou qualquer. Os protocolos ESP e AH não estão atualmente disponíveis através do portal do Azure, mas podem ser utilizados através de modelos ARM. |
| Direção | Indica se a regra se aplica a tráfego de entrada ou de saída. |
| Intervalo de portas | Pode especificar uma porta individual ou um intervalo de portas. Por exemplo, pode indicar 80 ou 10000-10005. Especificar intervalos permite-lhe criar menos regras de segurança. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede gerados através do modelo de implementação do Resource Manager. Não é possível especificar várias portas ou intervalos de portas na mesma regra de segurança em grupos de segurança de rede criados por meio do modelo de implantação clássico. |
| Ação | Permitir ou negar |
As regras de segurança são avaliadas e aplicadas com base nas informações de cinco tuplas (origem, porta de origem, destino, porta de destino e protocolo). Não é possível criar duas regras de segurança com a mesma prioridade e direção. É criado um registo de fluxo para as ligações existentes. A comunicação é permitida ou negada com base no estado da ligação do registo do fluxo. O registo do fluxo permite que um grupo de segurança de rede tenha monitoração de estado. Se especificar uma regra de segurança de saída para qualquer endereço através da porta 80, por exemplo, não é necessário especificar uma regra de segurança de entrada para a resposta ao tráfego de saída. Só tem de especificar uma regra de segurança de entrada se a comunicação for iniciada externamente. O oposto também se aplica. Se o tráfego de entrada for permitido numa porta, não é necessário especificar uma regra de segurança de saída para responder ao tráfego através da porta.
As ligações existentes não podem ser interrompidas quando remover uma regra de segurança que ativou o fluxo. Os fluxos de tráfego são interrompidos quando as ligações são paradas e não há qualquer tráfego a fluir em qualquer direção, pelo menos, durante alguns minutos.
A modificação das regras do grupo de segurança de rede afetará apenas as novas conexões formadas. Quando uma nova regra é criada ou uma regra existente é atualizada em um grupo de segurança de rede, ela só se aplicará a novos fluxos e novas conexões. As conexões de fluxo de trabalho existentes não são atualizadas com as novas regras.
Há limites ao número de regras de segurança que pode criar num grupo de segurança de rede.