hálózati biztonsági csoport az azúrkék, microsoft docs
Ebben a cikkben,
Network Security Group (NSG) tartalmaz egy listát a biztonsági szabályokat, amelyek lehetővé teszik, vagy elutasítja a hálózati forgalmat a források csatlakozik a virtuális hálózatok Azure. hálózati biztonsági csoportok is társítható alhálózatok, az egyes virtuális gépek (klasszikus) vagy a hálózat, interfészek (NIC), csatlakozik a virtuális gépek (Resource Manager). Ha a hálózat biztonsági csoport társított alhálózati, ezek a szabályok vonatkoznak minden erőforrás az alhálózat. Ezen felül, akkor korlátozhatja a forgalom összekapcsolásával a hálózat biztonsági csoport egy adott virtuális gép, vagy hálózati interfész.
megjegyzés
erőforrás NSG
Az alábbi tulajdonságok a hálózati biztonsági csoportok.
A név a hálózati biztonsági csoport
Egyedinek kell lennie a régión belül.
Tartalmazhat betűket, számokat, aláhúzást, pontok és vonalak.
Az első karakter - egy betű vagy szám.
Az utolsó karakter - egy betű, szám, aláhúzás.
Maximális hossz: 80 karakter.
Mivel előfordulhat, hogy hozzon létre több hálózati biztonsági csoport, győződjön meg arról, hogy a névadási lehetővé teszi, hogy könnyen azonosítani a célja ezeknek a csoportoknak.
Region Azure, amely létrehozott egy csoportot a hálózat biztonságát.
hálózati biztonsági csoport köthető források csak a régióban, ahol ezek a csoportok jönnek létre.
További információ arról, hogy hány hálózati biztonsági csoport hozható létre a régióban. Lásd a hálózati korlátozások.
Resource Group. amelyben a csoport a hálózati biztonsági aggályok.
Bár az NSG csoport szereplő bizonyos erőforrás-csoport, akkor társítható forrásból bármilyen más, azzal a feltétellel, hogy az erőforrás egy olyan térségben, Azure NSG csoport.
Resource csoportok használnak egyidejűleg több erőforrás menedzsment, mint a telepítési egységet.
hálózati biztonsági csoport, akkor csoportosítani forrásokat.
Szabályai bejövő és kimenő forgalmat, meghatározzák az engedélyezett és tiltott forgalmat.
További információért lásd. A részben a szabályok a biztonsági csoportok a hálózat ezt a cikket.
megjegyzés
Az egyik példányt a virtuális gép nem használható egyidejűleg az ACL a végpontok és NSG csoport. Ha szüksége van egy csoport NSG, de már van egy ACL-t, végpontok, először törölje a listából. Arról, hogy hogyan kell ezt csinálni, lásd. Cikk felsorolja Access Control Endpoint Management használata PowerShell a klasszikus modell telepítése.
Szabályzat Network Security Csoportja (NSG)
NSG csoport A szabályzat tartalmazza a következő tulajdonságokkal rendelkezik.
Egyedinek kell lennie a régión belül.
Tartalmazhat betűket, számokat, aláhúzást, pontok és vonalak.
Az első karakter - egy betű vagy szám.
Az utolsó karakter - egy betű, szám, aláhúzás.
Maximális hossz: 80 karakter.
hálózati biztonsági csoport tartalmazhat több szabályt. Tehát biztos, hogy kövesse a névadási, amely lehetővé teszi azonosítani a célja a szabályt.
Jegyzőkönyv szabályainak összehasonlítása.
Tartomány forrás port
Forrás port tartomány szabályainak megfelelő.
Egy port száma 1 és 65535, a portok (például 1-65535), vagy * (az összes port).
Forrás port lehet ideiglenes. Ha az ügyfél nem használ egy adott portot, „*” kell használni a legtöbb esetben.
Próbáld ki, hogy a portok, ahol lehetőség van, hogy nem kér néhány szabályt.
Többszörös kikötőkben tartományok nem lehet csoportosítani, jelezve egy vessző.
Tartomány végén kikötők
A tartomány a szabályokat rendel portokat, hogy megfeleljen.
Egy port száma 1 és 65535, a portok (például 1-65535), vagy * (az összes port).
Próbáld ki, hogy a portok, ahol lehetőség van, hogy nem kér néhány szabályt.
Többszörös kikötőkben tartományok nem lehet csoportosítani, jelezve egy vessző.
szabályait a forgalom irányának egyeztetni.
Bejövő és kimenő.
A szabályok a bejövő és kimenő forgalmat külön kezeljük, irányától függően.
Szabályokat ellenőrzött fontossági sorrendben. Ha a szabályt kell alkalmazni, összhangban más szabályokat nem ellenőrzik.
Value tartományban 100-4096.
A hozzáférés típusát használják, ha szabály szerint.
Hozzáférés engedélyezése vagy tiltása.
Ne felejtsük el: ha egy engedély szabály nem található, akkor a csomagot eldobjuk a csomagot.
hálózati biztonsági csoportok tartalmazhatnak két szabályrendszer: bejövő és kimenő forgalmat. Az elsőbbségi szabályok belül egyedinek kell lennie mindegyik.
A fenti ábrán látható, hogy a szabályok által feldolgozott hálózati biztonsági csoportokat.
Alapértelmezett címkék
Az alapértelmezett szabályok
Minden NSG csoport tartalmaz egy alapértelmezett szabályokat. Ezek a szabályok nem lehet törölni, de a legalacsonyabb prioritással, így lehet felülbírálni létre különböző szabályok.
Az alapértelmezett szabályok lehetővé teszik, és megtiltják a forgalom az alábbiak szerint:
- Virtuális hálózat. Bejövő és kimenő virtuális hálózati forgalom engedélyezett mindkét irányban.
- Internet. A kimenő forgalom engedélyezett, de a bejövő forgalom blokkolva.
- Terheléselosztó. Lehetővé teszi, hogy Azure Load Balancer kezdeményezni állapotfelmérés a virtuális gépek és szerepe példányok. Ha egy sor terheléskiegyenlítés nem használják, ez a szabály is felülírható.
Az alapértelmezett szabályok a bejövő forgalom
Kapcsolócsoportok NSG
hálózati biztonsági csoport társítható virtuális gépek hálózati csatolók és alhálózatok. Kiválasztás függ a telepítési modelleket az alábbi módon.
- A virtuális gép (klasszikus telepítések esetén). Biztonsági szabályokat alkalmaznak az összes bejövő és kimenő forgalmat a virtuális gép.
- Hálózati csatoló (csak a telepítéshez Resource Manager). Biztonsági szabályokat alkalmaznak az összes bejövő és kimenő forgalmat a hálózati interfész, amely össze van kötve egy csoport a hálózat biztonságát. A virtuális gépek több hálózati interfész egy hálózati csatoló, akkor egy külön hálózati biztonsági csoport (vagy azonos).
- Hálózat (klasszikus segítségével Resource Manager telepítési és üzembe). Biztonsági szabályokat alkalmaznak az összes bejövő és kimenő forgalmat erőforrások, amelyek kapcsolódnak egy virtuális hálózatot.
A különböző hálózati biztonsági csoportok is társítható egy virtuális gép (vagy hálózati interfész a modelltől függően telepített), és az alhálózat, amelyhez csatlakoztatva van egy hálózati interfész, vagy egy virtuális gép. Biztonsági szabályokat alkalmaznak a forgalom minden biztonsági csoportot hálózat a következő sorrendben:
hálózati biztonsági csoportok esetében a belső hálózatban. Ha a hálózat biztonsági csoport az alhálózati egy megfelelő szabály blokkoló forgalom, a csomag eltávolítása.
hálózati biztonsági csoport alkalmaznak a hálózati interfész (telepítési Resource Manager), vagy virtuális gép (klasszikus telepítve). Ha a biztonsági csoport a virtuális gép hálózati vagy a hálózati interfész egy megfelelő közlekedési szabály blokkoló, csomagok eltávolítása virtuális gépen, vagy a hálózati csatoló, akkor is, ha a hálózat biztonsági csoport az alhálózati egy megfelelő szabályt, amely lehetővé teszi a forgalom.
hálózati biztonsági csoport alkalmaznak a hálózati interfész (telepítési Resource Manager), vagy virtuális gép (klasszikus telepítve). Ha a biztonsági csoport a virtuális gép hálózati vagy a hálózati interfész egy megfelelő közlekedési szabály blokkoló, csomagok eltávolítják.
hálózati biztonsági csoportok esetében a belső hálózatban. Ha a hálózat biztonsági csoport az alhálózati egy megfelelő közlekedési szabály blokkoló, csomagok eltávolítják, akkor is, ha a biztonság a virtuális gépek, vagy a hálózati felület egy megfelelő szabályt, amely lehetővé teszi a forgalom.
megjegyzés
Bár az alhálózati egy virtuális gép, vagy a hálózati kártyát, akkor kötelező csak egy csoport a hálózati biztonság, az azonos csoportba NSG társítható bármilyen kívánt mennyiségű erőforrásokat.
végrehajtás
hálózati biztonsági csoportok is megvalósítható a klasszikus telepítési modellt vagy telepítési modellt kezelő, különböző eszközök segítségével az alább felsorolt.
tervezés
Mielőtt végrehajtja az NSG csoport, meg kell válaszolni a következő kérdésekre.
- Milyen típusú források szűrni kívánt bejövő és kimenő forgalmat? Tud-e csatlakozni az erőforrásokat, mint például a hálózati interfészek (adaptálható Resource Manager), a virtuális gépek (klasszikus), felhő szolgáltatások, környezetvédelmi szolgáltatások és alkalmazások méretezhető VM készletek.
- Mind forrásokra szeretné szűrni a bejövő és kimenő forgalmat, csatlakozik az alhálózatok a rendelkezésre álló virtuális hálózatok?
További információ a tervezés a hálózati biztonság Azure cm. A cikk Microsoft Cloud Cloud szolgáltatás és a hálózat biztonságát.
tervezési irányelvek
korlátozások
A fejlesztés a virtuális hálózatok és alhálózatok
Mivel NSG csoport lehet az al-hálózatokban használjuk, akkor lehetséges, hogy a lehető legkevesebb NSG csoport. E célból erőforrásokat kell csoportosítani az alhálózati és alkalmazza az alhálózati NSG csoport. Ha azt szeretnénk, hogy alkalmazza a NSG csoport a alhálózatok, akkor előfordulhat, hogy a meglévő virtuális hálózati és alhálózati nélkül határozták meg, figyelembe véve NSG csoport. Meg kell adnunk egy új virtuális hálózat és az alhálózati, hogy támogatást nyújtson a biztonsági csoport rendszerek hálózatba. Ezután bontsa ki az új erőforrások új alhálózati. Akkor meg tudja határozni a stratégia a migráció mozgatni a meglévő források az új alhálózatban.
speciális szabályok
Amikor forgalom blokkolva, megengedett az alábbi szabályokat, az infrastruktúra nem lesz képes kapcsolatba lépni az alapvető szolgáltatásokat Azure.
ICMP-forgalmat
A jelenlegi szabályok NSG hagyjuk csak TCP és UDP protokollokat. Az ICMP protokoll nincs külön címkét. Mindazonáltal ICMP forgalom engedélyezett a virtuális hálózatban az alapértelmezett szabály AllowVNetInBound. Ez a szabály lehetővé teszi, hogy a bejövő és kimenő forgalmat a virtuális hálózathoz bármely port és a protokoll.
- Határozzuk meg, hogy hány szintet amire szükség van a terhelés. Minden szinten lehet izolálni alhálózati azokra vonatkozó NSG csoport.
- Ha szükség van, hogy végre egy alhálózati VPN-átjáró vagy a csatorna ExpressRoute, akkor ne használja a hálózati biztonsági csoport az alhálózat. Ellenkező esetben hiba léphet fel, ha csatlakoztatja a virtuális hálózatok és a helyi hálózatokat.
- Ha kell végrehajtani a virtuális hálózati modul csatlakoztatható a modul alhálózati, és hozzon létre a felhasználó által meghatározott útvonalakon a bejövő és kimenő forgalmat. Akkor végre NSG csoport alhálózati szintű szűrés bejövő és kimenő forgalmat alhálózati. További információ a felhasználó által meghatározott útvonalakon cm. Ebben a cikkben.
terheléskiegyenlítők
minta telepítési
Annak illusztrálására, mindent a cikkben leírt, úgy véljük, a standard forgatókönyv, egy kétszintű alkalmazást, amint azt az alábbi ábra mutatja.
Mint látható a programban, és Web1 Web2 - virtuális gép csatlakozik az alhálózati FrontEnd. és DB1 és DB2 - virtuális gépek csatlakozik az alhálózati BackEnd. Mindkét alhálózatok része TestVNet virtuális hálózatot. Components Azure alkalmazások futnak a virtuális gép, amely össze van kötve egy virtuális hálózatot. Ez a forgatókönyv a következő követelményeknek:
Követelmények 1-6 (nem figyelembe véve a követelményeket a 3. és 4.) kizárólag a tér alhálózat. A következő hálózati biztonsági csoportok megfelelnek ezeknek a követelményeknek, ami lehetővé teszi, hogy minél kevesebb ilyen csoportok.
Szabályai bejövő forgalom
megjegyzés
Szabályai bejövő forgalom
Adatbázis szerverek (hálózati menedzsment interfész)
Szabályai bejövő forgalom
Adatbázis szerverek (hálózati adatbázis forgalom interface)
Szabályai bejövő forgalom
Mivel egyes hálózati biztonsági csoport: az egyes hálózati interfészek, ezek a szabályok vannak kialakítva, hogy az általuk felhasznált erőforrásokat használó erőforrás-kezelő. Szabályai az alhálózatok, és hálózati interfészek egyesítjük, attól függően, hogyan vannak csatlakoztatva.