你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure Virtual Network Manager 中的安全管理规则保护高风险网络端口
在本文中,你将了解如何使用 Azure Virtual Network Manager 和安全管理规则阻止高风险网络端口。 你将演练以下过程:创建 Azure Virtual Network Manager 实例,借助网络组对虚拟网络 (VNet) 进行分组,并为组织创建和部署安全管理配置。 你将为高风险端口部署常规阻止规则。 然后,你将使用网络安全组创建管理特定应用程序的 VNet 时的例外规则。
虽然本文重点介绍单个端口 SSH,但你可以使用相同的步骤保护环境中的任何高风险端口。 若要了解详细信息,请查看此高风险端口列表
先决条件
- 了解如何创建 Azure Virtual Network Manager
- 了解安全管理规则中的每个元素。
- 具有活动订阅的 Azure 帐户。 免费创建帐户。
- 一组可拆分为网络组的虚拟网络,用于应用精细的安全管理规则。
- 若要修改动态网络组,必须仅通过 Azure RBAC 角色分配授予访问权限。 不支持经典管理员/旧授权
部署虚拟网络环境
你需要一个虚拟网络环境,其中包括可以隔离以允许和阻止特定流量的虚拟网络。 可以使用下表或你自己的虚拟网络配置:
名称 | IPv4 地址空间 | 子网 |
---|---|---|
vnetA-gen | 10.0.0.0/16 | 默认值 - 10.0.0.0/24 |
vnetB-gen | 10.1.0.0/16 | 默认值 - 10.1.0.0/24 |
vnetC-gen | 10.2.0.0/16 | 默认值 - 10.2.0.0/24 |
vnetD-app | 10.3.0.0/16 | 默认值 - 10.3.0.0/24 |
vnetE-app | 10.4.0.0/16 | 默认值 - 10.4.0.0/24 |
- 将所有虚拟网络放置在同一订阅、区域和资源组中
不确定如何生成虚拟网络? 有关详细信息,请参阅快速入门:使用 Azure 门户创建虚拟网络。
创建 Virtual Network Manager 实例
在本节中,你将在组织中部署具有安全管理功能的 Virtual Network Manager 实例。
选择“+ 创建资源”并搜索“网络管理器” 。 然后选择“创建”开始设置 Azure Virtual Network Manager。
在“基本信息”选项卡上,为组织输入或选择以下信息:
设置 值 订阅 选择要将 Azure Virtual Network Manager 部署到的订阅。 资源组 选择或创建资源组用于存储 Azure Virtual Network Manager。 此示例使用之前创建的 myAVNMResourceGroup。 名称 输入此 Azure Virtual Network Manager 实例的名称。 此示例使用名称 myAVNM。 区域 选择此部署的区域。 Azure Virtual Network Manager 可以管理任何区域中的虚拟网络。 Virtual Network Manager 实例将部署到所选区域。 说明 (可选)提供有关此 Virtual Network Manager 实例及其管理的任务的说明。 范围 定义 Azure Virtual Network Manager 的管理范围。 此示例使用订阅级范围。 功能 选择要为 Azure Virtual Network Manager 启用的功能。 可用功能包括“连接”、“安全管理”或“全选” 。
连接 - 启用该功能可以在处于范围之内的虚拟网络之间创建完整的网格网络拓扑或中心辐射型网络拓扑。
安全管理 - 启用该功能可以创建全局网络安全规则。选择“查看 + 创建”,然后在通过验证后选择“创建” 。
部署完成后,选择“转到资源”并查看虚拟网络管理器配置
为所有虚拟网络创建网络组
创建虚拟网络管理器后,你现在可以创建一个网络组以包含组织中的所有 VNet,并手动添加所有 VNet。
- 在“设置”下选择“网络组”。
- 选择“+ 创建”,输入网络组名称,然后选择“添加”。
- 在“网络组”页上,选择创建的网络组。
- 选择“添加”,在“静态成员身份”下手动添加所有 VNet。
- 在“添加静态成员”页上,选择所有要包含的虚拟网络,然后选择“添加”。
为所有虚拟网络创建安全管理员配置
接下来可以在配置中构造安全管理规则,以便一次将这些规则应用于网络组中的所有 VNet。 在本节中,你将创建安全管理配置。 然后创建一个规则集合,并为 SSH 或 RDP 等高风险端口添加规则。 该配置会拒绝流向网络组中所有虚拟网络的网络流量。
返回到虚拟网络管理器资源。
在“设置”下选择“配置”,然后选择“+ 创建”。
从下拉菜单中选择“安全配置”。
在“基本信息”选项卡上,输入一个名称来标识此安全配置,然后选择“下一步: 规则集合”。
从“添加安全配置”页中选择“+ 添加”。
输入一个名称来标识此规则集合,然后选择要将规则集应用到的“目标网络组”。 目标组是包含所有虚拟网络的网络组。
添加用于拒绝高风险流量的安全规则
在本节中,将定义安全规则来阻止流向所有虚拟网络的高风险网络流量。 分配优先级时,请注意将来的例外规则。 设置优先级,以便应用例外规则而不是此规则。
在“安全管理规则”下选择“+ 添加”。
输入定义安全规则所需的信息,然后选择“添加”将规则添加到规则集合。
设置 值 名称 输入规则名称。 说明 输入有关规则的说明。 优先级* 输入一个 1 到 4096 之间的值,以确定规则的优先级。 值越小,优先级越高。 操作* 选择“拒绝”以阻止流量。 有关详细信息,请参阅操作 方向* 选择“入站”,因为你要使用此规则来拒绝入站流量。 协议* 选择适用于端口的网络协议。 Source 源类型 选择“IP 地址”或“服务标记”源类型 。 源 IP 地址 选择“IP 地址”源类型时,将显示此字段。 使用 CIDR 表示法输入 IPv4 或 IPv6 地址或范围。 定义多个地址或地址块时,请使用逗号分隔。 对于此示例,请将此字段留空。 源服务标记 选择“服务标记”源类型时,将显示此字段。 针对你要指定为源的服务选择服务标记。 有关支持的标记列表,请参阅可用服务标记。 源端口 输入单个端口号或端口范围,例如 (1024-65535)。 定义多个端口或端口范围时,请使用逗号分隔。 若要指定任意端口,请输入“*”。 对于此示例,请将此字段留空。 目标 目标类型 选择“IP 地址”或“服务标记”目标类型 。 目标 IP 地址 选择“IP 地址”目标类型时,将显示此字段。 使用 CIDR 表示法输入 IPv4 或 IPv6 地址或范围。 定义多个地址或地址块时,请使用逗号分隔。 目标服务标记 选择“服务标记”目标类型时,将显示此字段。 针对你要指定为目标的服务选择服务标记。 有关支持的标记列表,请参阅可用服务标记。 目标端口 输入单个端口号或端口范围,例如 (1024-65535)。 定义多个端口或端口范围时,请使用逗号分隔。 若要指定任意端口,请输入“*”。 对于此示例,请输入“3389”。 若要向规则集合添加更多规则,请再次重复步骤 1-3。
如果对要创建的所有规则感到满意,请选择“添加”以将规则集合添加到安全管理配置。
然后选择“查看 + 创建”和“创建”,以完成安全配置。
部署用于阻止流量的安全管理员配置
在本部分中,创建的规则会在你部署安全管理配置时生效。
在“设置”下选择“部署”,然后选择“部署配置”。
选中“在目标状态中包括安全管理员”复选框,然后从下拉菜单中选择在上一节中创建的安全配置。 然后选择要将此配置部署到的区域。
选择“下一步”和“部署”以部署安全管理员配置。
为流量异常规则创建网络组
由于所有 VNet 中的流量都被阻止,因此需要一个例外来允许流量流向特定虚拟网络。 你将专门为需要从另一个安全管理规则中排除的 VNet 创建一个网络组。
- 从虚拟网络管理器中,在“设置”下选择“网络组”。
- 选择“+ 创建”,为应用程序网络组输入名称,然后选择“添加”。
- 在“定义动态成员身份”下,选择“定义”。
- 输入或选择允许流量流向应用程序虚拟网络的值。
- 选择“预览资源”查看包含的“有效虚拟网络”,然后选择“关闭”。
- 选择“保存”。
创建流量异常安全管理规则和集合
在本部分中,你将创建一个新的规则集合和安全管理规则,该规则将允许高风险流量前往你定义为例外的虚拟网络子集。 接下来,将它添加到现有的安全管理配置。
重要
为了使安全管理规则允许流量流向应用程序虚拟网络,为优先级设置的数字需要小于阻止流量的现有规则对应的数字。
例如,阻止 SSH 的所有网络规则的优先级为 10,因此允许规则的优先级应为 1-9。
- 从虚拟网络管理器中,选择“配置”并选择安全配置。
- 在“设置”下选择“规则集合”,然后选择“+ 创建”创建新的规则集合。
- 在“添加规则集合页”上,输入应用程序规则集合名称,然后选择你创建的应用程序网络组。
- 在“安全管理规则”下,选择“+ 添加”。
- 输入或选择允许特定流量流向应用程序网络组的值,并在完成后选择“添加”。
- 对所有需要例外的流量重复添加规则过程。
- 完成时选择“保存” 。
使用异常规则重新部署安全管理员配置
要应用新规则集合,需要重新部署安全管理配置,因为它在添加规则集合时经历了修改。
- 从虚拟网络管理器中,选择“配置”。
- 选择你的安全管理配置,然后选择“部署”
- 在“部署配置”页上,选择所有接收部署的目标区域,然后
- 依次选择“下一步”和“部署”。