Share via


Konfigurieren von Netzwerksicherheitsgruppen mit Tags in Windows Admin Center

Gilt für: Azure Stack HCI, Versionen 23H2 und 22H2

In diesem Artikel wird beschrieben, wie Sie Netzwerksicherheitsgruppen mit Netzwerksicherheitstags in Windows Admin Center konfigurieren.

Mit Netzwerksicherheitstags können Sie benutzerdefinierte Tags erstellen, diese Tags an Ihre VM-Netzwerkschnittstellen anfügen und Netzwerkzugriffsrichtlinien (mit Netzwerksicherheitsgruppen) basierend auf diesen Tags anwenden.

Vereinfachen der Sicherheit mit Netzwerksicherheitstags

Mit Netzwerksicherheitsgruppen können Sie Zugriffsrichtlinien basierend auf Netzwerkkonstrukten wie Netzwerkpräfixen und Subnetzen konfigurieren. Wenn Sie beispielsweise die Kommunikation zwischen Ihren Webserver-VMs und Datenbank-VMs einschränken möchten, müssen Sie die entsprechenden Netzwerksubnetze identifizieren und eine Richtlinie erstellen, um die Kommunikation zwischen diesen Subnetzen zu verweigern. Bei diesem Ansatz gibt es jedoch einige Einschränkungen:

  • Ihre Sicherheitsrichtlinien sind an Netzwerkkonstrukte gebunden, was bedeutet, dass Sie wissen müssen, welche Anwendungen sich in bestimmten Netzwerksegmenten befinden. Das Verständnis Ihrer Netzwerkinfrastruktur und -architektur wird von entscheidender Bedeutung.

  • Beim Erstellen von Richtlinien für Anwendungen können Sie diese in verschiedenen Szenarien wiederverwenden. Wenn Ihre Produktionsweb-App beispielsweise nur über Port 80 über das Internet erreicht werden kann und von anderen Apps in der Produktion oder in anderen Umgebungen nicht erreicht werden kann, hätten Sie eine ähnliche Richtlinie für jede neue App. Mit der Netzwerksegmentierung wird jedoch das erneute Erstellen von Richtlinien aufgrund eindeutiger Netzwerkelemente für jede App erforderlich.

  • Wenn Sie eine alte Anwendung außer Betrieb setzen und eine neue Anwendung innerhalb desselben Netzwerksegments bereitstellen, sind Richtlinienanpassungen erforderlich.

Mit dem Feature "Netzwerksicherheitstags" müssen Sie nicht mehr die Netzwerksegmente nachverfolgen, in denen Ihre Anwendungen gehostet werden. Dies vereinfacht die Richtlinienverwaltung und vermeidet die Komplexität von Netzwerkkonstrukten. Lassen Sie uns das Beispiel mit Webserver und Datenbank-VMs überdenken: Markieren Sie die entsprechenden VMs mit Netzwerksicherheitstags "Web" und "Datenbank", und erstellen Sie dann eine Regel, um die Kommunikation zwischen den Tags "Web" und "Datenbank" einzuschränken.

Erstellen von Netzwerksicherheitstag-basierten Netzwerksicherheitsgruppen

Führen Sie zum Erstellen von Netzwerksicherheitstag-basierten Netzwerksicherheitsgruppen die folgenden Schritte aus:

  1. Erstellen Sie mindestens ein Netzwerksicherheitstag.

  2. Weisen Sie einem virtuellen Computer ein Netzwerksicherheitstag zu.

  3. Erstellen Sie eine Netzwerksicherheitsgruppe.

  4. Erstellen Sie eine Netzwerksicherheitsregel für die Netzwerksicherheitsgruppe.

  5. Wenden Sie die Netzwerksicherheitsgruppe auf einen virtuellen Computer, ein Netzwerksubnetz und ein Netzwerksicherheitstag an.

Erstellen von Netzwerksicherheitstags

  1. Wählen Sie auf dem Windows Admin Center Startbildschirm unter Alle Verbindungen den Cluster aus, für den Sie die Netzwerksicherheitsgruppe erstellen möchten.

  2. Scrollen Sie unter Extras zum Bereich Netzwerk , und wählen Sie Netzwerksicherheitsgruppen aus.

  3. Wählen Sie unter Netzwerksicherheitsgruppen die Registerkarte Netzwerksicherheitstags und dann Neu aus.

  4. Geben Sie im Bereich Netzwerksicherheitstag erstellen im Feld Name einen Namen für das Netzwerksicherheitstag ein.

    Screenshot des Bereichs

  5. (Optional) Geben Sie im Feld Typ einen Typ für das Tag ein. Dieses Feld ist nützlich, wenn Sie Tags zur einfachen Verwaltung kategorisieren möchten. Beispielsweise können Sie verschiedene Tags mit dem gleichen Typ "Application" haben, z. B. SQL, Web, IOT, Sensor usw.

  6. Klicken Sie auf Submit (Senden).

Zuweisen des Netzwerksicherheitstags zu einem virtuellen Computer

Sie können einem virtuellen Computer entweder beim Erstellen eines neuen virtuellen Computers oder später beim Ändern der Eigenschaften einer vorhandenen VM ein Netzwerksicherheitstag zuweisen.

Zuweisen des Netzwerksicherheitstags während der VM-Erstellung

Eine schrittweise Anleitung zum Erstellen eines neuen virtuellen Computers finden Sie unter Erstellen einer neuen VM.

So weisen Sie beim Erstellen eines neuen virtuellen Computers ein Netzwerksicherheitstag zu:

  1. Wählen Sie auf der Startseite von Windows Admin Center unter Alle Verbindungen den Server oder Cluster aus, auf oder in dem Sie die VM erstellen möchten.

  2. Scrollen Sie unter Tools nach unten, und wählen Sie Virtuelle Computer aus.

  3. Wählen Sie unter Virtuelle Computer die Registerkarte Bestand aus, wählen Sie Hinzufügen und dann Neu aus.

  4. Geben Sie in das Feld Neuer virtueller Computer einen Namen für Ihre VM ein.

  5. Geben Sie andere Eigenschaften für den virtuellen Computer ein.

  6. Wählen Sie unter Netzwerk das Zuvor erstellte Netzwerksicherheitstag unter Netzwerksicherheitstag erstellen aus.

    Screenshot: Schritt zum Zuweisen des Netzwerksicherheitstags beim Erstellen eines neuen virtuellen Computers

  7. Klicken Sie auf Erstellen.

Zuweisen des Netzwerksicherheitstags zu einer vorhandenen VM

Sie können einem vorhandenen virtuellen Computer ein Netzwerksicherheitstag zuweisen, indem Sie dessen Einstellungen ändern. Ausführliche Anweisungen zum Ändern von VM-Einstellungen finden Sie unter Ändern von VM-Einstellungen.

  1. Scrollen Sie unter Tools zum Bereich Netzwerk, und wählen Sie die Option Virtuelle Computer aus.

  2. Wählen Sie die Registerkarte Bestand, eine VM und dann die Option Einstellungen aus.

  3. Klicken Sie auf der Seite Einstellungen auf Netzwerke.

  4. Wählen Sie im Abschnitt Netzwerksicherheitstag die Option Netzwerksicherheitstag hinzufügen aus, und wählen Sie unter Netzwerksicherheitstag erstellen das zuvor erstellte Netzwerksicherheitstag aus.

  5. Wählen Sie Netzwerkeinstellungen speichern aus.

Erstellen einer Netzwerksicherheitsgruppe

  1. Wählen Sie auf dem Windows Admin Center Startbildschirm unter Alle Verbindungen den Cluster aus, für den Sie die Netzwerksicherheitsgruppe erstellen möchten.

  2. Scrollen Sie unter Extras zum Bereich Netzwerk , und wählen Sie Netzwerksicherheitsgruppen aus.

  3. Wählen Sie unter Netzwerksicherheitsgruppen die Registerkarte Bestand und dann Neu aus.

  4. Geben Sie im Bereich Netzwerksicherheitsgruppen einen Namen für die Netzwerksicherheitsgruppe ein, und wählen Sie dann Übermitteln aus.

    Screenshot: Bereich

  5. Überprüfen Sie unter Netzwerksicherheitsgruppen, ob der Bereitstellungsstatus der neuen Netzwerksicherheitsgruppe Erfolgreich ist.

Erstellen einer Netzwerksicherheitsgruppen-Regel

Nachdem Sie eine Netzwerksicherheitsgruppe erstellt haben, können Sie Netzwerksicherheitsgruppenregeln erstellen. Wenn Sie Netzwerksicherheitsgruppenregeln sowohl auf eingehenden als auch auf ausgehenden Datenverkehr anwenden möchten, müssen Sie zwei Regeln erstellen.

  1. Wählen Sie auf dem Windows Admin Center Startbildschirm unter Alle Verbindungen den Cluster aus, für den Sie die Netzwerksicherheitsgruppe erstellen möchten.

  2. Scrollen Sie unter Extras zum Bereich Netzwerk , und wählen Sie Netzwerksicherheitsgruppen aus.

  3. Wählen Sie unter Netzwerksicherheitsgruppen die Registerkarte Bestand und dann die Zuvor erstellte Netzwerksicherheitsgruppe unter Erstellen einer Netzwerksicherheitsgruppe aus.

  4. Wählen Sie unter Netzwerksicherheitsregeldie Option Neu aus.

  5. Geben Sie im Bereich Netzwerksicherheitsregel auf der rechten Seite die folgenden Informationen an:

    Feld BESCHREIBUNG
    Name Name der Regel.
    Priority Priorität der Regel. Zulässige Werte sind 101 bis 65000. Ein niedrigerer Wert gibt eine höhere Priorität an.
    Typen Der Typ der Regel. Dies kann ein- oder ausgehend sein.
    Protokoll Protokoll, um entweder ein eingehendes oder ausgehendes Paket zu entsprechen. Zulässige Werte sind Alle, TCP und UDP.
    Quelle Wählen Sie Netzwerksicherheitstag aus.

    Hinweis: Sie können entweder ein Adresspräfix oder ein Netzwerksicherheitstag auswählen, aber nicht beides.
    Quellsicherheitstagtyp (Optional) Wählen Sie einen Typ für das Tag aus.
    Quellsicherheitstag Wählen Sie unter Netzwerksicherheitstag erstellen ein zuvor erstelltes Netzwerksicherheitstag aus.
    Quellportbereich Geben Sie den Quellportbereich an, der entweder mit einem eingehenden oder ausgehenden Paket übereinstimmt. Sie können eingeben * , um alle Quellports anzugeben.
    Ziel Wählen Sie Netzwerksicherheitstag aus.

    Hinweis: Sie können entweder ein Adresspräfix oder ein Netzwerksicherheitstag auswählen, aber nicht beides. Quelle und Ziel können unterschiedlich sein.
    Zielsicherheitstagtyp (Optional) Wählen Sie einen Typ für das Tag aus.
    Zielsicherheitstag Wählen Sie unter Netzwerksicherheitstag erstellen ein zuvor erstelltes Netzwerksicherheitstag aus.
    Zielportbereich Geben Sie den Zielportbereich an, der entweder mit einem eingehenden oder ausgehenden Paket übereinstimmt. Sie können eingeben * , um alle Zielports anzugeben.
    Aktionen Wenn die oben genannten Bedingungen übereinstimmen, geben Sie entweder an, um das Paket zuzulassen oder zu blockieren. Zulässige Werte sind Zulassen und Verweigern.
    Logging Geben Sie entweder an, um die Protokollierung für die Regel zu aktivieren oder zu deaktivieren. Wenn die Protokollierung aktiviert ist, wird sämtlicher Datenverkehr, der dieser Regel entspricht, auf den Hostcomputern protokolliert.
  6. Klicken Sie auf Senden.

Anwenden einer Netzwerksicherheitsgruppe

Sie können eine Netzwerksicherheitsgruppe auf Folgendes anwenden:

Anwenden einer Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag

Wenn Sie eine Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag anwenden, gelten die Netzwerksicherheitsgruppenregeln für alle VM-Netzwerkschnittstellen, die diesem Netzwerksicherheitstag zugeordnet sind.

Führen Sie die folgenden Schritte aus, um eine Netzwerksicherheitsgruppe über Windows Admin Center auf ein Netzwerksicherheitstag anzuwenden:

  1. Wählen Sie auf dem Windows Admin Center Startbildschirm unter Alle Verbindungen den Cluster aus, auf den Sie die Netzwerksicherheitsgruppe anwenden möchten.

  2. Scrollen Sie unter Extras zum Bereich Netzwerk , und wählen Sie Netzwerksicherheitsgruppen aus.

  3. Wählen Sie unter Netzwerksicherheitsgruppen die Registerkarte Netzwerksicherheitstags aus.

  4. Wählen Sie das Netzwerksicherheitstag aus, das Sie bearbeiten möchten, und wählen Sie dann Einstellungen aus.

  5. Wählen Sie im Bereich Netzwerksicherheitstag bearbeiten für das ausgewählte Tag die Netzwerksicherheitsgruppe aus, die Sie auf das Netzwerksicherheitstag anwenden möchten.

    Screenshot: Anwenden einer vorhandenen Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag

  6. Klicken Sie auf Submit (Senden).

Nächste Schritte

Verwandte Informationen finden Sie außerdem unter: