Разработка решений для фильтрации трафика с помощью групп безопасности сети
Группа безопасности сети Azure позволяет фильтровать трафик между ресурсами Azure в виртуальной сети Azure. В этой группе содержатся правила безопасности, которые разрешают или запрещают исходящий и входящий сетевой трафик нескольких типов ресурсов Azure. Для каждого правила можно указать источник и назначение, порт и протокол.
В этой статье описываются свойства правила группы безопасности сети, применяемые правила безопасности по умолчанию и свойства правила, которые можно изменить для создания расширенного правила безопасности.
Правила безопасности
Группа безопасности сети может не содержать правила или содержать любое их число в пределах ограничений подписки Azure. В каждом правиле указываются следующие свойства:
| Свойство | Пояснение |
|---|---|
| Имя. | Уникальное имя в пределах группы безопасности сети. Имя может содержать до 80 символов. |
| Приоритет | Значение в диапазоне от 100 до 4096. Правила обрабатываются в порядке приоритета. Числа обрабатываются по возрастанию, так как меньшие числа имеют более высокий приоритет. Если показатель трафика соответствует установленному в правиле, обработка останавливается. В результате все правила с более низким приоритетом (большие числа) и тем же атрибутом,что и правила с высоким приоритетом, не обрабатываются. |
| Источник или назначение | Любой или конкретный IP-адрес, блок бесклассовой междоменной маршрутизации (CIDR) (например, 10.0.0.0/24), тег службы или группа безопасности приложений. При указании адреса ресурса Azure необходимо указать частный IP-адрес, назначенный ресурсу. Группы безопасности сети обрабатываются после того, как Azure преобразует общедоступный IP-адрес в частный для входящего трафика, и до того, как Azure преобразует частный IP-адрес в общедоступный для исходящего трафика. При указании диапазона, тега службы или группы безопасности приложений требуется меньше правил безопасности. Возможность указать несколько отдельных IP-адресов и диапазонов (нельзя указать несколько тегов служб или групп приложений) в правиле относится к расширенным правилам безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager. Нельзя одновременно задать несколько IP-адресов и их диапазонов в группах безопасности сети, созданных с помощью классической модели развертывания. |
| Протокол | TCP, UDP, ICMP, ESP, AH или "Любой". Протоколы ESP и AH в настоящее время недоступны через портал Azure, но могут использоваться с помощью шаблонов ARM. |
| Направление | Определяет тип трафика (входящий или исходящий), к которому применяется правило. |
| Диапазон портов | Можно задать отдельный порт или их диапазон. Например, вы можете указать 80 или 10000–10005. Если указать диапазон, можно создавать меньше правил безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager. Нельзя задать несколько портов или их диапазонов в одном и том же правиле безопасности в группах безопасности сети, созданных с помощью классической модели развертывания. |
| Действие | Разрешить или запретить доступ |
Правила безопасности оцениваются и применяются на основе пяти кортежей (источник, исходный порт, назначение, целевой порт и протокол). Создать два правила безопасности с одинаковым приоритетом и направлением нельзя. Запись потока создается для имеющихся подключений. Обмен данными разрешен или запрещен в зависимости от состояния подключения записи потока. С помощью записи потока можно отслеживать состояние группы безопасности сети. Если вы задаете правило безопасности для исходящего трафика по любому адресу, например, через порт 80, устанавливать правило безопасности входящего трафика для ответа на исходящий трафик не обязательно. Если связь инициируется извне, достаточно задать правило безопасности для входящего трафика. Обратное также верно. Если через порт разрешено поступление входящего трафика, задавать правило безопасности исходящего трафика для ответа на трафик через порт не требуется.
Имеющиеся подключения могут не прерываться, когда вы удаляете правило безопасности, разрешавшее этот поток. Поток трафика прерывается, когда подключения разрываются, то есть в течение нескольких минут трафик не передается в любом направлении.
Изменение правил группы безопасности сети будет влиять только на новые подключения, сформированные. При создании нового правила или обновлении существующего правила в группе безопасности сети он будет применяться только к новым потокам и новым подключениям. Существующие подключения рабочих процессов не обновляются новыми правилами.
Количество правил безопасности, которые можно создать в группе безопасности сети, ограничено.