grup de securitate de rețea în azurie, documente Microsoft
În acest articol,
Rețeaua Security Group (NSG) conține o listă de reguli de securitate care permit sau refuză traficul de rețea la resursele conectate la rețelele virtuale Azure. grupuri de securitate de rețea pot fi asociate cu subrețele, mașini virtuale individuale (clasice) sau interfețe de rețea private (NIC), conectat la mașinile virtuale (Resource Manager). În cazul în care grupul de securitate a rețelei este asociată cu o subrețea, aceste reguli se aplică tuturor resurselor pe subrețea. În plus, puteți restricționa traficul prin conectarea grupul de securitate a rețelei cu o anumită mașină virtuală sau interfață de rețea.
remarcă
resurse NSG
Următoarele sunt proprietățile grupurilor de securitate de rețea.
Numele grupului de securitate a rețelei
Acesta trebuie să fie unic în cadrul regiunii.
Poate conține litere, cifre, subliniere, puncte și linii.
Primul caracter - o literă sau un număr.
Ultimul caracter - o literă, cifră sau subliniere.
Lungimea maximă: 80 de caractere.
Din moment ce poate fi necesar pentru a crea mai multe grup de securitate de rețea, asigurați-vă că convenția de denumire vă permite să identifice cu ușurință scopul acestor grupuri.
Regiunea Azure, care a înființat un grup de securitate a rețelei.
grup de securitate de rețea poate fi legată de resurse numai în interiorul regiunii în care sunt create aceste grupuri.
Pentru mai multe informații despre modul în care mai multe grupuri de securitate de rețea pot fi create în regiune. A se vedea secțiunea Restricții de rețea.
Resource Group. în care un grup de probleme de securitate de rețea.
Deși Grupul NSG inclus într-o anumită grupă de resurse, acesta poate fi asociat cu resurse în orice alt grup, cu condiția ca resursa este într-o regiune cu grupul Azure NSG.
Grupuri de resurse sunt utilizate pentru gestionarea simultană a resurselor multiple ca unitate de implementare.
grup de securitate de rețea, puteți grup legate de resurse.
Reguli pentru traficul de intrare și de ieșire, să definească traficul permise și interzise.
Pentru mai multe informații, consultați. În secțiunea despre regulile grupurilor de securitate în rețeaua de acest articol.
remarcă
Pe de o copie a mașinii virtuale nu pot fi utilizate în același timp, ACL pentru punctele finale și Grupului NSG. Dacă aveți nevoie de un grup de NSG, dar aveți deja un ACL pentru punctele finale, mai întâi ștergeți lista. Pentru informații despre cum se face acest lucru, a se vedea. Articolul listează Access Control Punct final de gestionare Utilizarea PowerShell în implementarea modelului clasic.
Reguli de rețea Security Group (NSG)
NSG Group Regulile conțin următoarele proprietăți.
Acesta trebuie să fie unic în cadrul regiunii.
Poate conține litere, cifre, subliniere, puncte și linii.
Primul caracter - o literă sau un număr.
Ultimul caracter - o literă, cifră sau subliniere.
Lungimea maximă: 80 de caractere.
grup de securitate de rețea poate conține mai multe reguli. Deci, asigurați-vă că să urmeze convenția de denumire care permite identificarea scopul regulii.
normele de protocol pentru comparație.
porturi sursă Gama
Sursa de reguli pentru domeniul de porturi pentru potrivire.
Un număr de port de la 1 la 65.535, o serie de porturi (de exemplu, 1-65535) sau * (pentru toate porturile).
Porturile sursă poate fi temporară. În cazul în care clientul nu utilizează un port specific, „*“ ar trebui să fie utilizate în cele mai multe cazuri.
Încercați să utilizați o serie de porturi în cazul în care este posibil să nu punem câteva reguli.
porturi multiple sau intervale de porturi nu pot fi grupate, indicând o virgulă.
Gama de porturi de capăt
Gama de reguli pentru atribuirea porturilor pentru a se potrivi.
Un număr de port de la 1 la 65.535, o serie de porturi (de exemplu, 1-65535) sau * (pentru toate porturile).
Încercați să utilizați o serie de porturi în cazul în care este posibil să nu punem câteva reguli.
porturi multiple sau intervale de porturi nu pot fi grupate, indicând o virgulă.
regulile de direcția de trafic pentru a se potrivi.
Intrare sau de ieșire.
Regulile pentru traficul de intrare și de ieșire sunt tratate separat, în funcție de direcția.
Regulile sunt verificate în ordinea priorității. Atunci când se aplică regula, conformitatea cu alte reguli nu sunt verificate.
Valoarea în intervalul 100-4096.
Tipul de acces utilizat atunci când conform regulii.
Se permite sau refuza accesul.
Nu uita: dacă o regulă permis nu este găsit, pachetul este abandonat pentru pachetul.
grupuri de securitate de rețea conțin două seturi de reguli: pentru traficul de intrare și de ieșire. Reguli de prioritate trebuie să fie unic în cadrul fiecărui set.
Imaginea de mai sus arată modul în care regulile sunt procesate de către grupurile de securitate de rețea.
tag-uri implicite
Regulile implicite
Toate NSG Grup conține un set de reguli prestabilite. Aceste reguli nu pot fi șterse, dar ele au cea mai scăzută prioritate, astfel încât acestea să poată fi înlocuite prin crearea de reguli diferite.
Regulile implicite permit și să interzică traficul, după cum urmează:
- rețea virtuală. traficul în rețea virtuală de intrare și ieșire este permis în ambele direcții.
- Internet. traficul de ieșire este permis, dar traficul de intrare este blocat.
- Egalizatorul de încărcare. Permite Azure egalizatorul de încărcare a iniția o verificare de sănătate a mașinilor virtuale și instanțe de rol. În cazul în care nu se utilizează un set de echilibrare a sarcinii, această regulă poate fi înlocuită.
Regulile implicite pentru traficul de intrare
Grupuri de legătură NSG
grup de securitate de rețea poate fi asociat cu mașini virtuale, interfețe de rețea și subrețele. Selecția depinde de modelele de implementare așa cum se arată mai jos.
- Mașina virtuală (doar pentru implementările clasice). Normele de siguranță sunt aplicate întregului volum de trafic de intrare și de ieșire a mașinii virtuale.
- Interfață de rețea (numai pentru implementare cu Resource Manager). Normele de siguranță sunt aplicate întregului volum de trafic de intrare și ieșire din interfața de rețea, care este conectat cu un grup de securitate a rețelei. La mașinile virtuale cu mai multe interfețe de rețea pentru fiecare interfață de rețea, puteți utiliza un grup de securitate de rețea separată (sau la fel).
- Rețeaua (clasic folosind Resource Manager de implementare și implementare). Normele de siguranță sunt aplicate la toate resursele de trafic de intrare și de ieșire care sunt conectate la o rețea virtuală.
Diferite grupuri de securitate de rețea pot fi asociate cu o mașină virtuală (sau interfață de rețea, în funcție de modelul implementat) și subrețea la care este conectată o interfață de rețea sau o mașină virtuală. Normele de securitate sunt aplicate traficului din fiecare rețea grup de securitate în ordinea următoare:
grup de securitate a rețelei este utilizată într-o subrețea. În cazul în care grupul de securitate a rețelei pentru subretea are o regulă corespunzătoare pentru blocarea traficului, pachetul este eliminat.
grup de securitate de rețea se aplică la interfața de rețea (de implementare cu Resource Manager) sau mașina virtuală (implementare clasică). În cazul în care grupul de securitate a rețelei de mașini virtuale sau interfața de rețea are o blocare regulă de trafic corespunzătoare, pachetele sunt eliminate pe o mașină virtuală sau pe interfața de rețea, chiar dacă grupul de securitate a rețelei pentru subretea are o regulă corespunzătoare, care permite traficul.
grup de securitate de rețea se aplică la interfața de rețea (de implementare cu Resource Manager) sau mașina virtuală (implementare clasică). În cazul în care grupul de securitate a rețelei de mașini virtuale sau interfața de rețea are o regulă de blocare a traficului corespunzătoare, pachetele sunt eliminate.
grup de securitate a rețelei este utilizată într-o subrețea. În cazul în care grupul de securitate a rețelei pentru subretea are o regulă de blocare a traficului corespunzătoare, pachetele sunt eliminate, chiar dacă securitatea mașinilor virtuale sau prin interfața de rețea are o regulă corespunzătoare, care permite traficul.
remarcă
Deși o subrețea, o mașină virtuală sau un card de rețea, puteți lega doar un singur grup de securitate a rețelei, același grup NSG poate fi asociat cu orice cantitate dorită de resurse.
punerea în aplicare
grupuri de securitate de rețea pot fi implementate în modelul de implementare sau de implementare modelul clasic folosind Resource Manager, folosind diverse instrumente enumerate mai jos.
planificare
Înainte de a implementa Grupul NSG, trebuie să răspundă la următoarele întrebări.
- Pentru ce tipuri de resurse pe care doriți să filtrați traficul de intrare și de ieșire? Puteți conecta resursele, cum ar fi interfețe de rețea (desfășurat cu ajutorul Resource Manager), mașini virtuale (clasice), servicii cloud, servicii de mediu și aplicații seturi VM Scalable.
- Sunt toate resursele pentru care doriți să le filtrați traficul de intrare și de ieșire, sunt conectate la subrețele în rețelele virtuale disponibile?
Pentru mai multe informații despre planificarea pentru securitatea rețelei în Azure cm. În articol servicii Microsoft Cloud Cloud, și de securitate a rețelei.
Linii directoare de proiectare
restricţii
Dezvoltarea rețelelor virtuale și subrețele
Deoarece grupurile NSG pot fi aplicate sub-rețele, este posibil să se reducă la minimum cantitatea grupurilor NSG. În acest scop, resursele ar trebui să fie grupate în funcție de subrețea și se aplică subrețea NSG Group. Dacă doriți să aplicați Grupului NSG la subrețelele, puteți găsi că rețeaua virtuală existentă și subrețea determinată fără a lua în considerare NSG Group. Poate fi necesar pentru a defini o nouă rețea virtuală și subrețea, pentru a oferi sprijin pentru rețeaua de scheme de grup de securitate. Apoi extinde noile resurse în noua subrețea. Apoi, puteți stabili strategia de migrare pentru a muta resursele existente în noua subrețea.
reguli speciale
Când traficul este blocat, permisă următoarele reguli, infrastructura nu va fi în măsură să interacționeze cu Azure serviciile de bază.
ICMP-trafic
Normele actuale NSG este permis să utilizeze numai TCP și UDP. Pentru protocolul ICMP nu există nici o etichetă separată. Cu toate acestea, traficul ICMP este permisă în rețeaua virtuală de AllowVNetInBound regula implicită. Această regulă permite traficul de intrare și de ieșire în rețeaua virtuală de pe orice port și orice protocol.
- Determina cât de multe niveluri de care aveți nevoie pentru volumul de muncă dumneavoastră. Fiecare nivel poate fi izolat folosind subrețelei aplicarea pe acesta grupa NSG.
- Dacă trebuie să pună în aplicare o subrețea pentru VPN-gateway sau canal ExpressRoute, nu utilizați grup de securitate de rețea la subrețea. În caz contrar, poate produce o defecțiune la conectarea între rețelele virtuale și între rețelele locale.
- Dacă aveți nevoie pentru a implementa modulul de rețea virtuală, conectați modulul într-o subrețea, și de a crea rute definite de utilizator pentru traficul de intrare și de ieșire. Puteți pune în aplicare la nivel de grup NSG subrețea pentru filtrarea subrețea traficul de intrare și de ieșire. Pentru mai multe informații despre traseele definite de utilizator cm. În acest articol.
sarcină balancers
Exemplu de implementare
Pentru a ilustra totul este descris în acest articol, considerăm scenariul standard utilizând o aplicație pe două niveluri, așa cum se arată în diagrama de mai jos.
După cum se poate observa din schema, si Web1 Web2 - mașini virtuale conectate la frontend subrețea. și DB1 și DB2 - mașini virtuale conectate la backend subrețea. Ambele subrețele fac parte TestVNet rețea virtuală. Componentele aplicații Azure rula pe o mașină virtuală, care este conectat la o rețea virtuală. Acest scenariu are următoarele cerințe:
Cerințe 1-6 (fără a lua în considerare cerințele 3 și 4) se referă numai la subrețele spațiu. Următoarele grupuri de securitate de rețea îndeplinesc aceste cerințe, ceea ce permite să reducă la minimum numărul acestor grupuri.
Reguli pentru traficul de intrare
remarcă
Reguli pentru traficul de intrare
servere de baze de date (interfață de management de rețea)
Reguli pentru traficul de intrare
servere de baze de date (interfață de rețea de trafic de baze de date)
Reguli pentru traficul de intrare
Deoarece un grup de securitate de rețea asociată cu interfețe de rețea individuale, aceste reguli sunt concepute pentru a resurselor implementate utilizând Managerul de resurse. Reguli pentru subrețele, și interfețe de rețea sunt combinate, în funcție de modul în care acestea sunt conectate.