Utforma lösningar för trafikfiltrering med nätverkssäkerhetsgrupper
Du kan använda en Azure-nätverkssäkerhetsgrupp för att filtrera nätverkstrafik mellan Azure-resurser i ett virtuellt Azure-nätverk. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till, eller utgående nätverkstrafik från, flera typer av Azure-resurser. För varje regel kan du ange källa och mål, port och protokoll.
Den här artikeln beskriver egenskaperna för en regel för nätverkssäkerhetsgrupp, standardsäkerhetsregler som tillämpas och de regelegenskaper som du kan ändra för att skapa en förhöjd säkerhetsregel.
Säkerhetsregler
En nätverkssäkerhetsgrupp kan innehålla noll regler, eller så många regler du vill, inom Azure-prenumerationens gränser. Varje regel anger följande egenskaper:
| Property | Förklaring |
|---|---|
| Namn | Ett unikt namn inom nätverkssäkerhetsgruppen. Namnet kan vara upp till 80 tecken långt. |
| Prioritet | Ett tal mellan 100 och 4096. Regler bearbetas i prioritetsordning. Låga tal bearbetas före höga tal eftersom låga tal har högre prioritet. När trafiken matchar en regel avbryts bearbetningen. Därför bearbetas inte regler som finns med lägre prioriteter (högre tal) som har samma attribut som regler med högre prioritet. |
| Källa eller mål | Valfria, eller enskilda IP-adresser, CIDR-block (Classless Inter-Domain Routing) (t.ex. 10.0.0.0/24), tjänsttaggar eller programsäkerhetsgrupper. Om du anger en adress för en Azure-resurs anger du den privata IP-adressen som tilldelats till resursen. Nätverkssäkerhetsgrupper bearbetas efter att Azure omvandlar en offentlig IP-adress till en privat IP-adress för inkommande trafik, och innan Azure omvandlar en privat IP-adress till en offentlig IP-adress för utgående trafik. Färre säkerhetsregler behövs när du anger ett intervall, en tjänsttagg eller en programsäkerhetsgrupp. Möjligheten att ange flera enskilda IP-adresser och intervall (du kan inte ange flera tjänsttaggar eller programgrupper) i en regel kallas för utökade säkerhetsregler. Förhöjda säkerhetsregler kan bara skapas i nätverkssäkerhetsgrupper som skapats genom Resource Manager-distributionsmodellen. Du kan inte ange flera IP-adresser och IP-adressintervall i nätverkssäkerhetsgrupper som skapats via den klassiska distributionsmodellen. |
| Protokoll | TCP, UDP, ICMP, ESP, AH eller Any. ESP- och AH-protokollen är för närvarande inte tillgängliga via Azure-portalen men kan användas via ARM-mallar. |
| Riktning | Om regeln gäller för inkommande eller utgående trafik. |
| Portintervall | Du kan ange en enskild port eller ett portintervall. Du kan till exempel ange 80 eller 10000–10005. Om du anger intervall behöver du inte skapa lika många säkerhetsregler. Förhöjda säkerhetsregler kan bara skapas i nätverkssäkerhetsgrupper som skapats genom Resource Manager-distributionsmodellen. Du kan inte ange flera portar eller portintervall i samma säkerhetsregel i nätverkssäkerhetsgrupper som skapats via den klassiska distributionsmodellen. |
| Åtgärd | Tillåt eller neka |
Säkerhetsreglerna utvärderas och tillämpas baserat på informationen om fem tuppeln (källa, källport, mål, målport och protokoll). Du kan inte skapa två säkerhetsregler med samma prioritet och riktning. En flödespost skapas för befintliga anslutningar. Kommunikation tillåts eller nekas baserat på flödespostens anslutningsstatus. Flödesposten gör att en nätverkssäkerhetsgrupp kan vara tillståndskänslig. Om du till exempel anger en utgående säkerhetsregel till en adress via port 80, behöver du inte ange en inkommande säkerhetsregel för svar på utgående trafik. Du behöver bara ange en inkommande säkerhetsregel om kommunikationen initieras externt. Även det motsatta gäller. Om inkommande trafik tillåts via en port, behöver du inte ange en utgående säkerhetsregel för svar på trafik via porten.
Befintliga anslutningar kanske inte avbryts när du tar bort en säkerhetsregel som aktiverade flödet. Trafikflöden avbryts när anslutningar har stoppats och ingen trafik passerar i endera riktning under minst ett par minuter.
Om du ändrar regler för nätverkssäkerhetsgrupper påverkas endast de nya anslutningar som skapas. När en ny regel skapas eller en befintlig regel uppdateras i en nätverkssäkerhetsgrupp gäller den bara för nya flöden och nya anslutningar. Befintliga arbetsflödesanslutningar uppdateras inte med de nya reglerna.
Det finns gränser för hur många säkerhetsregler du kan skapa i en nätverkssäkerhetsgrupp.