група за защита на мрежата в синевата, Microsoft документи
В тази статия,
Група мрежова сигурност (NSG) съдържа списък с правила за сигурност, които позволяват или отричат мрежовия трафик към ресурсите, свързани към виртуалната мрежа Azure на. групи за защита на мрежата могат да бъдат свързани с подмрежи, отделни виртуални машини (класически) или частни мрежови интерфейси (НРС), свързан към виртуалните машини (Resource Manager). Ако групата сигурността на мрежата е свързано с подмрежа, тези правила важат за всички ресурси на подмрежата. В допълнение, можете да ограничите трафика чрез свързване на групата за защита на мрежата с определена виртуална машина или мрежов интерфейс.
забележка
ресурсите NSG
По-долу са свойствата на групи за защита на мрежата.
Името на групата на сигурността на мрежата
Тя трябва да бъде уникален в рамките на региона.
Може да съдържа букви, цифри и долна точки и тирета.
Първият знак - буква или цифра.
Последният знак - буква, цифра, или долна черта.
Максимална дължина: 80 знака.
Тъй като може да се наложи да се създадат множество група сигурността на мрежата, се уверете, че конвенцията за именуване, ви позволява лесно да се определи целта на тези групи.
Регион Azure, който създаде група на мрежовата сигурност.
група за защита на мрежата може да бъде свързано с ресурси само в рамките на региона, в който са създадени тези групи.
За повече информация за това как може да се създаде много групи за защита на мрежата в региона. Вижте Ограничения раздел Network.
Група ресурс. в който група от опасения за сигурност на мрежата.
Въпреки че NSG група, включени в определена група ресурси, тя може да бъде свързано с ресурси в каквато и да е друга група с уговорката, че ресурсът е в район с Azure NSG група.
Ресурсни групи се използват за едновременно управление на множество ресурси като единицата за внедряване.
група за защита на мрежата, можете да група, свързана ресурси.
Правила за входящия и изходящия трафик, определят разрешените и забранени трафик.
За повече информация, вижте. В раздела за правилата на групите за сигурност в мрежата на тази статия.
забележка
На едно копие на виртуална машина не може да се използва в същото време на ACL за крайните точки и NSG Group. Ако имате нужда от една група от НСЖ, но вече имате ACL за крайните точки, първо да изтриете от списъка. За информация за това как да направите това, вж. Член изброява Access Control Endpoint Management Използване PowerShell в разполагането на класическия модел.
Правила Network Group сигурност (NSG)
Групата на ядрените доставчици Група Правилата съдържат следните свойства.
Тя трябва да бъде уникален в рамките на региона.
Може да съдържа букви, цифри и долна точки и тирета.
Първият знак - буква или цифра.
Последният знак - буква, цифра, или долна черта.
Максимална дължина: 80 знака.
група за защита на мрежата може да съдържа няколко правила. Така че не забравяйте да се следват на конвенцията за именуване, която позволява идентифициране на целта на правилото.
правила протокол за сравнение.
Range изходните портове
Източник правила диапазона от портове за съвпадение.
Един номер на порт от 1 до 65535, набор от портове (например, 1-65535) или * (за всички пристанища).
Източник пристанища могат да бъдат временни. Ако клиентът не използва специфичен порт, "*", трябва да се използва в повечето случаи.
Опитайте се да използвате набор от портове, където е възможно да не задам няколко правила.
Множество пристанища или пристанищни диапазони не могат да се групират, като посочва запетая.
Обхват на крайни пристанища
Обхватът на правилата за възлагане на пристанищата, за да съвпадат.
Един номер на порт от 1 до 65535, набор от портове (например, 1-65535) или * (за всички пристанища).
Опитайте се да използвате набор от портове, където е възможно да не задам няколко правила.
Множество пристанища или пристанищни диапазони не могат да се групират, като посочва запетая.
правила за посоката на движение, за да съвпадат.
Входящо или изходящо.
Правилата за входящи и изходящи трафик се обработват поотделно, в зависимост от посоката.
Правила се проверяват по реда на приоритета. Когато се прилага правилото, съгласно други правила не са проверени.
Стойност в диапазона 100-4096.
Видът на достъп се използва, когато според произнесе.
Разрешаване или отказ за достъп.
Не забравяйте: ако не бъде намерено разрешение правило, пакетът е спаднал за пакета.
групи за защита на мрежата съдържат две групи правила: за входящия и изходящия трафик. Правилата за приоритет трябва да са уникални в рамките на всяка група.
Илюстрацията по-горе показва как правилата се обработват от групи за защита на мрежата.
По подразбиране тагове
правилата по подразбиране
Всички група NSG съдържа набор от правила по подразбиране. Тези правила не могат да бъдат изтрити, но те имат най-нисък приоритет, така че те могат да бъдат обезсилени чрез създаване на различни правила.
правилата по подразбиране позволяват и забраняват движението, както следва:
- Виртуална мрежа. Входящи и изходящи виртуален мрежов трафик се допуска и в двете посоки.
- Интернет. Изходящ трафик е позволено, но входящия трафик е блокиран.
- Заредете стабилизатор. Позволява Azure Load Balancer започне проверка на здравословното състояние на виртуални машини и ролеви модели. Ако не се използва набор от балансиране на натоварването, това правило може да се замени.
правилата по подразбиране за входящ трафик
Свързване групи NSG
група за защита на мрежата може да бъде свързана с виртуални машини, мрежови интерфейси и подмрежи. Избор зависи от моделите на внедряване, както е показано по-долу.
- Виртуалната машина (само за класически внедрявания). Правила за безопасност се прилагат за целия входящ и изходящ трафик на виртуалната машина.
- Мрежов интерфейс (само за разполагане с Resource Manager). Правила за безопасност се прилагат за целия входящ и изходящ трафик на мрежовия интерфейс, който е свързан с група за защита на мрежата. В виртуални машини с няколко мрежови интерфейси за всеки мрежов интерфейс, можете да използвате отделна група за защита на мрежата (или същите).
- Мрежа (класически използване разгръщане на ресурсите мениджър и внедряване). Правила за безопасност се прилагат за всички входящи и изходящи трафик ресурси, които са свързани с виртуална мрежа.
Различни групи за защита на мрежата могат да бъдат свързани с виртуална машина (или мрежов интерфейс в зависимост от модела разгърнати) и подмрежата, към която е свързан мрежов интерфейс или виртуална машина. Правила за сигурност се прилагат за движение във всяка група за защита на мрежата в следния ред:
група за защита на мрежата се използва за подмрежа. Ако групата за мрежова сигурност за подмрежа има съответен правило за блокиране на трафика, пакетът се отстранява.
група за защита на мрежата се прилага към мрежовия интерфейс (за внедряване с Resource Manager) или виртуална машина (класическа разгръщане). Ако групата на сигурността на мрежата на виртуална машина или мрежовия интерфейс има съответен правило трафик блокиране, пакети са отстранени на виртуална машина или на мрежовия интерфейс, дори ако групата на мрежова сигурност за подмрежа има съответен правило, което позволява движение.
група за защита на мрежата се прилага към мрежовия интерфейс (за внедряване с Resource Manager) или виртуална машина (класическа разгръщане). Ако групата на сигурността на мрежата на виртуална машина или мрежовия интерфейс има съответен правило трафик блокиране, пакети са отстранени.
група за защита на мрежата се използва за подмрежа. Ако групата за мрежова сигурност за подмрежа има съответен правило трафик блокиране, пакети са отстранени, дори и ако сигурността на виртуалните машини или мрежовия интерфейс има съответен правило, което позволява движение.
забележка
Въпреки подмрежа, виртуална машина или мрежова карта, можете да се свързват само една група от сигурността на мрежата, една и съща група NSG може да се свърже с всеки желан размер на ресурсите.
изпълнение
групи за защита на мрежата могат да бъдат изпълнени в класически модел разгръщане или разполагане модел с помощта на мениджъра на ресурсите, като се използват различни инструменти, изброени по-долу.
планиране
Преди да приложи NSG група, трябва да отговори на следните въпроси.
- За кои видове ресурси искате да филтрирате входящия и изходящия трафик? Можете да се свържете на ресурсите, като например мрежови интерфейси (разгърнати използване на ресурсите Manager), виртуални машини (класически), облачни услуги, услуги за околната среда и приложения Scalable VM комплекти.
- Да не би всички ресурси, за които искате да филтрирате входящия и изходящия трафик, са свързани с подмрежи в наличните виртуални мрежи?
За повече информация за планиране на сигурността на мрежата в Azure см. В статията услуги на Microsoft Cloud облак и мрежова сигурност.
Насоки за проектиране
ограничения
Развитието на виртуални мрежи и подмрежи
Тъй ГЯД групи може да се прилага под-мрежи, е възможно да се намали количеството NSG групи. За тази цел ресурси трябва да бъдат групирани по подмрежа и прилагат подмрежа NSG Group. Ако искате да приложите NSG Групата на подмрежи, може да откриете, че съществуващата виртуална мрежа и подмрежа определя без да се отчита NSG Group. Може да се наложи да се определи нова виртуална мрежа и подмрежа, за да се осигури подкрепа за мрежата на схеми за групови сигурност. След това разширете нови средства в новия подмрежа. След това може да се определи стратегията на миграцията да се движат на съществуващите ресурси в новата подмрежа.
Специални правила
Когато движението е блокирано, разрешени следните правила, инфраструктурата, няма да бъде в състояние да си взаимодействат с Azure на основни услуги.
ICMP трафик
Сегашните правила на NSG разрешено да използва само TCP и UDP протоколи. За протокола ICMP не съществува отделен маркер. Независимо от това ICMP трафик е разрешен във виртуалната мрежа от AllowVNetInBound на правило по подразбиране. Това правило позволява входящ и изходящ трафик в виртуалната мрежа на всяко пристанище и всеки протокол.
- Определяне на броя на нивата необходимо за вашата работа. Всяко ниво може да се изолира при използване на подмрежата прилагане към него NSG група.
- Ако е необходимо да се приложи подмрежа за VPN шлюз или канал ExpressRoute, че не използвате група мрежова сигурност на подмрежа. В противен случай, може да се появи неизправност при свързване между виртуални мрежи и между локални мрежи.
- Ако трябва да се приложат виртуална мрежа, модул, свързване на модула към подмрежа, и да се създаде потребителски дефинирани маршрути за входящи и изходящи трафик. Можете да приложат NSG група на ниво подмрежа за филтриране на входящия и изходящия трафик на подмрежата. За повече информация за потребителски дефинирани маршрути см. В тази статия.
разпределение на натоварването
Примерен разгръщане
За да илюстрираме всичко е описано в тази статия, ние считаме стандартния сценарий, използването на приложения за двустепенна, както е показано на диаграмата по-долу.
Както се вижда от схемата, а Web1 Web2 - виртуални машини, свързани към предния слой на подмрежа. и DB1 и DB2 - виртуални машини, свързани към задния на подмрежата. И двете подмрежи са част TestVNet виртуална мрежа. Компоненти Azure приложения се изпълняват по една виртуална машина, която е свързана с една виртуална мрежа. Този сценарий е със следните изисквания:
Изисквания 1-6 (не като се вземат предвид изискванията, 3 и 4), се отнасят само до Space подмрежи. Следните групи за защита на мрежата отговарят на тези изисквания, което позволява да се намали броят на тези групи.
Правила за входящ трафик
забележка
Правила за входящ трафик
База данни сървъри (интерфейс за управление на мрежата)
Правила за входящ трафик
База данни сървъри (мрежов трафик база данни интерфейс)
Правила за входящ трафик
Тъй като някои група за мрежова сигурност, свързани с отделните мрежови интерфейси, тези правила са предназначени да използваните ресурси с помощта на мениджъра на ресурсите. Правила за подмрежи и мрежови интерфейси са комбинирани, в зависимост от това как те са свързани.