Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
K filtrování síťového provozu mezi prostředky Azure ve virtuální síti Azure můžete použít skupinu zabezpečení sítě Azure. Skupina zabezpečení sítě obsahuje pravidla zabezpečení umožňující povolit nebo odepřít příchozí nebo odchozí síťový provoz několika typů prostředků Azure. Pro každé pravidlo můžete určit zdroj a cíl, port a protokol.
Tento článek vysvětluje vlastnosti pravidla skupiny zabezpečení sítě a výchozí pravidla zabezpečení použitá v Azure. Popisuje také, jak upravit vlastnosti pravidla a vytvořit rozšířené pravidlo zabezpečení.
Pravidla zabezpečení
Skupina zabezpečení sítě obsahuje tolik pravidel, kolik potřebujete, v rámci limitů předplatného Azure. Každé pravidlo určuje následující vlastnosti:
| Vlastnictví | Vysvětlení |
|---|---|
| Název | Jedinečný název v rámci skupiny zabezpečení sítě. Název může mít délku až 80 znaků. Musí začínat znakem slova a musí končit znakem slova nebo znakem _. Název může obsahovat znaky slova nebo ., -\_. |
| Priorita | Číslo v rozsahu od 100 do 4096. Pravidla se zpracovávají v pořadí podle priority, přičemž nižší čísla, která mají vyšší prioritu, se zpracovávají před vyššími čísly. Jakmile provoz odpovídá pravidlu, zpracování se zastaví. V důsledku toho se nezpracují všechna pravidla s nižšími prioritami (vyššími čísly), která mají stejné atributy jako pravidla s vyššími prioritami. Výchozí pravidla zabezpečení Azure mají nejvyšší číslo s nejnižší prioritou, aby se zajistilo, že vlastní pravidla budou vždy zpracována jako první. |
| Zdroj nebo cíl | Můžete zadat libovolný, jednotlivou IP adresu, blok CIDR (například 10.0.0.0/24), značku služby nebo skupinu zabezpečení aplikace. Pro prostředky Azure použijte privátní IP adresu přiřazenou k prostředku. Skupiny zabezpečení sítě zpracovávají provoz po překladu veřejných IP adres do privátních IP adres pro příchozí provoz. Zpracovávají provoz před překladem privátních IP adres na veřejné IP adresy pro odchozí provoz. Zadejte rozsah, značku služby nebo skupinu zabezpečení aplikace, abyste snížili počet potřebných pravidel zabezpečení. Rozšířená pravidla zabezpečení umožňují v jednom pravidlu zadat více jednotlivých IP adres a rozsahů. V jednom pravidlu ale nemůžete zadat více značek služeb ani skupin aplikací. Rozšířená pravidla zabezpečení jsou k dispozici pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager. V modelu nasazení Classic není možné zadat více IP adres a rozsahů v jednom pravidlu.
Pokud je zdrojem podsíť 10.0.1.0/24 (kde se nachází virtuální počítač1) a cílem je podsíť 10.0.2.0/24 (kde se nachází virtuální počítač 2), skupina zabezpečení sítě filtruje provoz pro virtuální počítač 2. K tomuto chování dochází, protože skupina zabezpečení sítě je přidružena k síťovému rozhraní VM2. |
| Protokol | TCP, UDP, ICMP, ESP, AH nebo any. Protokoly ESP a AH nejsou v současné době dostupné prostřednictvím webu Azure Portal, ale je možné je použít prostřednictvím šablon ARM. |
| Směr | Určuje, jestli se pravidlo vztahuje na příchozí nebo odchozí provoz. |
| Rozsah portů | Můžete zadat určitý port nebo rozsah portů. Můžete zadat například 80 nebo 10000-10005. Zadání rozsahů umožňuje vytvářet méně pravidel zabezpečení. Rozšířená pravidla zabezpečení je možné vytvářet pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager. Ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Classic nemůžete zadat více portů ani rozsahů portů ve stejných pravidlech zabezpečení. |
| Činnost | Povolit nebo odepřít |
Pravidla zabezpečení se vyhodnocují a používají na základě informací o pěti-tici (zdroj, zdrojový port, cíl, cílový port a protokol). Nemůžete vytvořit dvě pravidla zabezpečení se stejnou prioritou a směrem. Pro stávající připojení se vytvoří záznam toku. Komunikace se povoluje nebo odepírá na základě stavu připojení v záznamu toku. Záznam toku umožňuje, aby skupina zabezpečení sítě byla stavová. Pokud zadáte odchozí pravidlo zabezpečení pro všechny adresy například přes port 80, není potřeba zadávat příchozí pravidlo zabezpečení pro reakci na odchozí provoz. Příchozí pravidlo zabezpečení je potřeba zadat pouze v případě, že se komunikace zahajuje externě. Opačně to platí také. Pokud je přes port povolený příchozí provoz, není potřeba zadávat odchozí pravidlo zabezpečení pro reakci na provoz přes tento port.
Když odeberete pravidlo zabezpečení, které povolilo připojení, stávající připojení zůstanou nepřerušovaná. Pravidla skupin zabezpečení sítě ovlivňují pouze nová připojení. Nová nebo aktualizovaná pravidla ve skupině zabezpečení sítě se vztahují výhradně na nová připojení, takže stávající připojení nebudou ovlivněná změnami.
Počet pravidel zabezpečení, která můžete ve skupině zabezpečení sítě vytvořit, je omezený. Podrobnosti najdete v tématu věnovaném omezením Azure.
Výchozí pravidla zabezpečení
Azure v každé skupině zabezpečení sítě, kterou vytvoříte, vytvoří následující výchozí pravidla:
Příchozí
AllowVNetInBound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65000 | Virtuální síť | 0-65535 | Virtuální síť | 0-65535 | Jakýkoli | Povolit |
AllowAzureLoadBalancerInBound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65001 | Vyvažovač zatížení Azure | 0-65535 | 0.0.0.0/0 | 0-65535 | Jakýkoli | Povolit |
DenyAllInbound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Jakýkoli | Zamítnout |
Odchozí
AllowVnetOutBound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65000 | Virtuální síť | 0-65535 | Virtuální síť | 0-65535 | Jakýkoli | Povolit |
Povolit odchozí internetové připojení
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Jakýkoli | Povolit |
DenyAllOutBound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Jakýkoli | Zamítnout |
Ve sloupcích Zdroj a Cíl jsou hodnoty VirtualNetwork, AzureLoadBalancer a Internetznačky služeb, a nikoli IP adresy. Ve sloupci protokolu libovolný zahrnuje TCP, UDP a ICMP. Při vytváření pravidla můžete zadat PROTOKOL TCP, UDP, ICMP nebo Jakýkoli. Hodnota 0.0.0.0/0 ve sloupcích Zdroj a Cíl představuje všechny adresy. Klienti, jako je Azure Portal, Azure CLI nebo PowerShell, můžou pro tento výraz použít * nebo jakýkoli.
Výchozí pravidla nemůžete odebrat, ale můžete je přepsat vytvořením pravidel s vyššími prioritami.
Rozšířená pravidla zabezpečení
Rozšířená pravidla zabezpečení zjednodušují definici zabezpečení pro virtuální sítě tím, že umožňují definovat větší a složitější zásady zabezpečení sítě při použití menšího počtu pravidel. Můžete zkombinovat více portů a explicitních IP adres a rozsahů do jediného, snadno pochopitelného pravidla zabezpečení. V polích pro zdroj, cíl a port pravidla používejte rozšířená pravidla. Pokud chcete zjednodušit údržbu definice pravidla zabezpečení, zkombinujte rozšířená pravidla zabezpečení se značkami služeb nebo skupinami zabezpečení aplikací. Počet adres, rozsahů a portů, které můžete zadat v pravidle, jsou omezené. Podrobnosti najdete v tématu věnovaném omezením Azure.
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Pomáhá minimalizovat složitost častých aktualizací pravidel zabezpečení sítě.
Další informace najdete v tématu Značky služeb Azure. Příklad použití značky služby Storage k omezení síťového přístupu najdete v tématu Omezení síťového přístupu k prostředkům PaaS.
Skupiny zabezpečení aplikace
Skupiny zabezpečení aplikací umožňují konfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace. Můžete seskupovat virtuální počítače a na základě těchto skupin definovat zásady zabezpečení sítě. Zásady zabezpečení můžete opakovaně používat ve velkém měřítku bez potřeby ruční údržby explicitních IP adres. Další informace najdete v tématu Skupiny zabezpečení aplikací.
Časový limit toku
Nastavení časového limitu toku určuje, jak dlouho záznam toku zůstane aktivní před vypršením platnosti. Toto nastavení můžete nakonfigurovat pomocí webu Azure Portal nebo prostřednictvím příkazového řádku. Další podrobnosti najdete v přehledu protokolů toku NSG.
Důležité informace o platformě Azure
Virtuální IP adresa hostitelského uzlu: Základní služby infrastruktury, jako je DHCP, DNS, IMDS a monitorování stavu, jsou poskytovány prostřednictvím virtualizovaných IP adres hostitele 168.63.129.16 a 169.254.169.254. Tyto IP adresy patří do Microsoftu a jsou to jediné virtualizované IP adresy používané ve všech oblastech pro tento účel. Ve výchozím nastavení se na tyto služby nevztahují nakonfigurované skupiny zabezpečení sítě, pokud nejsou cílem značek služeb specifických pro každou službu. Pokud chcete přepsat tuto základní komunikaci infrastruktury, můžete vytvořit pravidlo zabezpečení pro odepření provozu pomocí následujících značek služeb v pravidlech skupiny zabezpečení sítě: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Zjistěte, jak diagnostikovat filtrování síťového provozu a diagnostikovat směrování sítě.
Licencování (Služba správy klíčů): Image Windows spuštěné na virtuálních počítačích musí být licencované. Aby se zajistilo licencování, odesílají se žádosti o licenci na hostitelské servery Služby správy klíčů, které takové dotazy zpracovávají. Požadavek je vysílán přes port 1688. Pro nasazení používající konfiguraci výchozí trasy 0.0.0.0/0 je toto pravidlo platformy zakázané.
Virtuální počítače ve fondech s vyrovnáváním zatížení: Použitý zdrojový port a rozsah adres odpovídá zdrojovému počítači, a nikoli nástroji pro vyrovnávání zatížení. Cílový port a rozsah adres odpovídá cílovému počítači, a nikoli nástroji pro vyrovnávání zatížení.
Instance služeb Azure: V podsítích virtuální sítě jsou nasazené instance několika služeb Azure, například HDInsight, prostředí aplikačních služeb a škálovací sady virtuálních počítačů. Úplný seznam služeb, které můžete nasadit do virtuální sítě, najdete v tématu Virtuální síť pro služby Azure. Před použitím skupiny zabezpečení sítě pro podsíť se seznamte s požadavky na porty pro každou službu. Pokud odepřete porty vyžadované službou, služba nefunguje správně.
Odesílání odchozích e-mailů: Microsoft doporučuje k odesílání e-mailů ze služby Azure Virtual Machines využívat služby pro přenos přes ověřený protokol SMTP (obvykle připojené přes port TCP 587, ale často i jiný). Předávací služby SMTP se specializují na reputaci odesílatele, aby se minimalizovala možnost, že poskytovatelé e-mailu partnera odmítnou zprávy. Mezi takové služby přenosu SMTP patří mimo jiné Exchange Online Protection a SendGrid. Používání služeb pro přenos přes protokol SMTP v Azure není nijak omezeno, a to bez ohledu na typ předplatného.
Pokud jste předplatné Azure vytvořili před 15. listopadem 2017, můžete kromě toho, že budete moct používat předávací služby SMTP, odesílat e-maily přímo přes port TCP 25. Pokud jste předplatné vytvořili po 15. listopadu 2017, možná nebudete moct odesílat e-maily přímo přes port 25. Chování odchozí komunikace přes port 25 závisí na typu vašeho předplatného, a to následujícím způsobem:
Smlouva Enterprise: U virtuálních počítačů nasazených v předplatných se standardní smlouvou Enterprise nejsou odchozí připojení SMTP na portu TCP 25 blokovaná. Není však zaručeno, že externí domény přijímají příchozí e-maily z virtuálních počítačů. Pokud externí domény odmítne nebo filtruje e-maily, požádejte poskytovatele e-mailových služeb externích domén o vyřešení problémů. Na tyto problémy se podpora Azure nevztahuje.
Pro předplatná Enterprise pro vývoj/testování je port 25 ve výchozím nastavení blokovaný. Je možné, aby byl tento blok odstraněn. Pokud chcete požádat o odebrání bloku, přejděte do části Nejde odeslat e-mail (SMTP-Port 25) na stránce Nastavení diagnostiky a řešení pro prostředek služby Azure Virtual Network na webu Azure Portal a spusťte diagnostiku. Tento postup automaticky vyjímá kvalifikovaná podniková předplatná pro vývoj/testování.
Po vyjmutí odběru z tohoto bloku a zastavení a restartování virtuálních počítačů budou všechny virtuální počítače v tomto předplatném i nadále osvobozeny. Vyloučení se týká jenom požadovaného předplatného a jen provozu virtuálních počítačů, který je směrovaný přímo do internetu.
Průběžné platby: Odchozí komunikace přes port 25 ze všech prostředků je blokovaná. Nelze provést žádné žádosti o odebrání omezení, protože žádosti nejsou uděleny. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.
MSDN, Azure Pass, Azure in Open, Education a Free trial: Odchozí komunikace přes port 25 je blokovaná ze všech prostředků. Nelze provést žádné žádosti o odebrání omezení, protože žádosti nejsou uděleny. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.
Poskytovatel cloudových služeb: Odchozí komunikace přes port 25 je blokovaná ze všech prostředků. Nelze provést žádné žádosti o odebrání omezení, protože žádosti nejsou uděleny. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.
Další kroky
Zjistěte, které prostředky Azure je možné nasadit do virtuální sítě. Informace o přidružení skupin zabezpečení sítě k nim najdete v tématu Integrace virtuální sítě pro služby Azure .
Informace o tom, jak se provoz vyhodnocuje pomocí skupin zabezpečení sítě, najdete v tématu Jak fungují skupiny zabezpečení sítě.
Podle tohoto rychlého kurzu vytvořte skupinu zabezpečení sítě.
Pokud už skupiny zabezpečení sítě znáte a potřebujete je spravovat, přečtěte si téma Správa skupiny zabezpečení sítě.
Pokud máte problémy s komunikací a potřebujete řešit potíže se skupinami zabezpečení sítě, přečtěte si téma Diagnostika potíží s filtrováním síťového provozu virtuálních počítačů.
Zjistěte, jak povolit tokové protokoly skupin zabezpečení sítě k analýze síťového provozu do a z prostředků, u kterých je přidružená skupina zabezpečení sítě.