Настройка групп безопасности сети с помощью Windows Admin Center
Применимо к: Локальные версии Azure, версии 23H2 и 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом разделе приведены пошаговые инструкции по созданию и настройке групп безопасности сети (NSG) для управления потоком трафика данных с помощью брандмауэра Центра обработки данных с помощью Центра администрирования Windows. Он также содержит инструкции по управлению группами безопасности сети в виртуальных и логических сетях программно-определяемой сети (SDN). Вы можете включить и настроить брандмауэр Центра обработки данных, создав группы безопасности сети и применяя их к подсети или сетевому интерфейсу. Дополнительные сведения см. в статье "Что такое брандмауэр центра обработки данных"? Сведения об использовании сценариев PowerShell для этого см. в разделе "Настройка групп безопасности сети" с помощью PowerShell.
Перед настройкой групп безопасности сети необходимо развернуть сетевой контроллер. Дополнительные сведения о сетевом контроллере см. в статье "Что такое сетевой контроллер? Сведения о развертывании сетевого контроллера с помощью сценариев PowerShell см. в статье "Развертывание инфраструктуры SDN".
Кроме того, если вы хотите применить группы безопасности сети к логической сети SDN, необходимо сначала создать логическую сеть. Аналогичным образом, если вы хотите применить группы безопасности сети к виртуальной сети SDN, необходимо сначала создать виртуальную сеть. Дополнительные сведения см. на следующих ресурсах:
Создание группы безопасности сети
Вы можете создать группу безопасности сети в Windows Admin Center.
На домашнем экране Центра администрирования Windows в разделе "Все подключения" выберите систему, в которой вы хотите создать группу безопасности сети.
В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите группы безопасности сети.
В разделе "Группы безопасности сети" выберите вкладку "Инвентаризация " и нажмите кнопку "Создать".
В области "Группа безопасности сети" введите имя группы безопасности сети и нажмите кнопку "Отправить".
В группах безопасности сети убедитесь, что состояние подготовки новой группы безопасности сети отображается успешно.
Создание правил группы безопасности сети
После создания группы безопасности сети вы можете создать правила групп безопасности сети. Если вы хотите применить правила группы безопасности сети к входящего и исходящему трафику, необходимо создать два правила.
На домашнем экране Центра администрирования Windows в разделе "Все подключения" выберите систему, в которой вы хотите создать группу безопасности сети.
В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите группы безопасности сети.
В разделе "Группы безопасности сети" выберите вкладку "Инвентаризация" , а затем выберите только что созданную группу безопасности сети.
В разделе "Правило безопасности сети" нажмите кнопку "Создать".
В области правил безопасности сети укажите следующие сведения:
- Имя правила.
- Приоритет правила — допустимые значения — от 101 до 65000. Меньшее значение обозначает более высокий приоритет.
- Типы — это может быть входящий или исходящий трафик.
- Протокол — укажите протокол, соответствующий входящей или исходящей пакету. Допустимыми значениями являются All, TCP и UDP.
- Префикс исходного адреса— укажите префикс исходного адреса для сопоставления входящего или исходящего пакета. Если указать *, это обозначает все исходные адреса.
- Диапазон исходных портов— укажите диапазон исходного порта для сопоставления входящих или исходящих пакетов. Если вы предоставляете *, это обозначает все исходные порты.
- Префикс адреса назначения— укажите префикс целевого адреса для сопоставления входящего или исходящего пакета. Если указать *, это обозначает все целевые адреса.
- Диапазон портов назначения— укажите диапазон портов назначения для сопоставления входящего или исходящего пакета. Если указать *, это обозначает все порты назначения.
- Действия . Если указанные выше условия соответствуют, укажите разрешение или блокировку пакета. Допустимыми значениями являются Allow и Deny.
- Ведение журнала — укажите включение или отключение ведения журнала для правила. Если ведение журнала включено, все трафик, соответствующий этому правилу, регистрируется на хост-компьютерах.
Выберите Отправить.
Применение группы безопасности сети к виртуальной сети
После создания группы безопасности сети и правил для нее необходимо применить группу безопасности сети к подсети виртуальной сети, подсети логической сети или сетевому интерфейсу.
В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите "Виртуальные сети".
Перейдите на вкладку "Инвентаризация" и выберите виртуальную сеть. На следующей странице выберите подсеть виртуальной сети и выберите "Параметры".
Выберите группу безопасности сети в раскрывающемся списке и нажмите кнопку "Отправить".
Завершив последний шаг, группа безопасности сети связывается с подсетью виртуальной сети и применяет ее ко всем компьютерам, подключенным к подсети виртуальной сети.
Применение группы безопасности сети к логической сети
Группу безопасности сети можно применить к логической подсети сети.
В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите "Логические сети".
Перейдите на вкладку "Инвентаризация" и выберите логическую сеть. На следующей странице выберите логическую подсеть и выберите "Параметры".
Выберите группу безопасности сети из раскрывающегося списка и нажмите кнопку "Добавить".
Завершив последний шаг, группа безопасности сети связывается с подсетью логической сети и применяет ее ко всем компьютерам, подключенным к подсети логической сети.
Применение группы безопасности сети к сетевому интерфейсу
Группу безопасности сети можно применить к сетевому интерфейсу при создании виртуальной машины или более поздней версии.
В разделе "Инструменты" прокрутите вниз до области "Сеть " и выберите "Виртуальные машины".
Перейдите на вкладку "Инвентаризация" , выберите виртуальную машину и выберите "Параметры".
На странице "Параметры" выберите "Сети".
Прокрутите вниз до группы безопасности сети, разверните раскрывающийся список, выберите группу безопасности сети и нажмите кнопку "Сохранить параметры сети".
Завершив последний шаг, группа безопасности сети связывается с сетевым интерфейсом и применяет ее ко всем входящим и исходящим трафикам для сетевого интерфейса.
Получение списка групп безопасности сети
Вы можете легко просмотреть список групп безопасности сети в системе.
- На домашнем экране Центра администрирования Windows в разделе "Все подключения" выберите систему, в которой вы хотите просмотреть список групп безопасности сети.
- В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите группы безопасности сети.
- На вкладке "Инвентаризация" отображается список групп безопасности сети, доступных в системе, и предоставляются команды, которые можно использовать для управления отдельными группами безопасности сети в списке. Вы можете:
Просмотрите список групп безопасности сети.
Просмотрите количество правил для каждой группы безопасности сети и количество примененных подсетей и сетевых адаптеров, применяемых к каждой группе безопасности сети.
Просмотрите состояние подготовки каждой группы безопасности сети (успешно, сбой).
Удаление группы безопасности сети.
Если выбрать группу безопасности сети в списке, можно просмотреть ее правила. Затем можно добавить, удалить или изменить параметры правила группы безопасности сети.
Удаление группы безопасности сети
Вы можете удалить группу безопасности сети, если она больше не нужна.
Примечание.
После удаления группы безопасности сети из списка групп безопасности сети убедитесь, что она не связана с подсетью или сетевым интерфейсом.
В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите группы безопасности сети.
Перейдите на вкладку "Инвентаризация" , выберите группу безопасности сети в списке и нажмите кнопку "Удалить".
В командной строке "Подтверждение удаления" нажмите кнопку "Да".
Рядом с полем поиска выберите "Обновить" , чтобы убедиться, что группа безопасности сети удалена.
Следующие шаги
Дополнительные сведения см. также в следующих разделах: