Megosztás a következőn keresztül:


Az NSG-hozzáférés és az Azure Bastion használata

Az Azure Bastion használatakor hálózati biztonsági csoportokat (NSG-ket) használhat. További információ: Biztonsági csoportok.

NSG

Ebben a diagramban:

  • A Bastion-gazdagép a virtuális hálózaton van üzembe helyezve.
  • A felhasználó bármilyen HTML5-böngészővel csatlakozik az Azure Portalhoz.
  • A felhasználó az Azure-beli virtuális gépre navigál az RDP/SSH felé.
  • Csatlakozás integráció – Egykattintásos RDP/SSH-munkamenet a böngészőben
  • Az Azure-beli virtuális gépen nincs szükség nyilvános IP-címre.

Hálózati biztonsági csoportok

Ez a szakasz bemutatja a felhasználó és az Azure Bastion közötti hálózati forgalmat, valamint a virtuális hálózatban lévő virtuális gépek célként való megcélzását:

Fontos

Ha úgy dönt, hogy NSG-t használ az Azure Bastion-erőforrással, az alábbi bejövő és kimenő forgalomra vonatkozó összes szabályt létre kell hoznia. Ha kihagyja az alábbi szabályok valamelyikét az NSG-ben, az megakadályozza, hogy az Azure Bastion-erőforrás a jövőben megkapja a szükséges frissítéseket, és ezáltal megnyissa az erőforrást a jövőbeli biztonsági rések előtt.

AzureBastionSubnet

Az Azure Bastion kifejezetten az AzureBastionSubneten van üzembe helyezve.

  • Bejövő forgalom:

    • Bejövő forgalom a nyilvános internetről: Az Azure Bastion létrehoz egy nyilvános IP-címet, amely a bejövő forgalomhoz engedélyezni kell a 443-at a nyilvános IP-címen. A 3389/22-s portot NEM kell megnyitni az AzureBastionSubneten. Vegye figyelembe, hogy a forrás lehet az internet vagy a megadott nyilvános IP-címek készlete.
    • Bejövő forgalom az Azure Bastion vezérlősíkjáról: A vezérlősík kapcsolatához engedélyezze a 443-ás portot a GatewayManager szolgáltatáscímkéről. Ez lehetővé teszi a vezérlősík, vagyis a Gateway Manager számára, hogy beszéljen az Azure Bastion-sal.
    • Bejövő forgalom az Azure Bastion adatsíkjáról: Az Azure Bastion mögöttes összetevői közötti adatsík-kommunikációhoz engedélyezze a 8080-5701-ös portokat a VirtualNetwork szolgáltatás címkéje és a VirtualNetwork szolgáltatáscímke között. Ez lehetővé teszi, hogy az Azure Bastion összetevői beszéljenek egymással.
    • Bejövő forgalom az Azure Load Balancerből: Állapotadat-mintavételekhez engedélyezze a 443-ás portot az AzureLoadBalancer szolgáltatáscímkéről. Ez lehetővé teszi, hogy az Azure Load Balancer észlelje a kapcsolatot

    Képernyőkép az Azure Bastion-kapcsolat bejövő biztonsági szabályairól.

  • Kimenő forgalom:

    • Kimenő forgalom a cél virtuális gépek felé: Az Azure Bastion privát IP-címen éri el a cél virtuális gépeket. Az NSG-knek engedélyeznie kell a kimenő forgalmat más cél virtuálisgép-alhálózatokra a 3389-22-s porton. Ha a Standard termékváltozaton belül használja az egyéni portfunkciókat, győződjön meg arról, hogy az NSG-k engedélyezik a VirtualNetwork szolgáltatáscímke felé irányuló kimenő forgalmat célként.
    • Kimenő forgalom az Azure Bastion adatsíkjára: Az Azure Bastion mögöttes összetevői közötti adatsík-kommunikációhoz engedélyezze a 8080-5701-ös portokat a VirtualNetwork szolgáltatás címkéje és a VirtualNetwork szolgáltatáscímke között. Ez lehetővé teszi, hogy az Azure Bastion összetevői beszéljenek egymással.
    • Kimenő forgalom más nyilvános végpontokra az Azure-ban: Az Azure Bastionnak képesnek kell lennie csatlakozni az Azure különböző nyilvános végpontjaihoz (például diagnosztikai naplók és mérési naplók tárolásához). Ezért az Azure Bastionnak 443-ra kell kimenőnek lennie az AzureCloud szolgáltatáscímkéjére.
    • Kimenő forgalom az internetre: Az Azure Bastionnak képesnek kell lennie kommunikálni az internettel munkamenet, Bastion Shareable Link és tanúsítványérvényesítés céljából. Ezért azt javasoljuk, hogy engedélyezze a 80-ás portot az internetre való kimenő forgalom számára.

    Képernyőkép az Azure Bastion-kapcsolat kimenő biztonsági szabályairól.

Cél virtuálisgép-alhálózat

Ez az alhálózat tartalmazza azt a cél virtuális gépet, amelyhez RDP-t/SSH-t szeretne használni.

  • Bejövő forgalom az Azure Bastionból: Az Azure Bastion privát IP-címen keresztül éri el a cél virtuális gépet. Az RDP-/SSH-portokat (a 3389/22-as portokat vagy az egyéni portértékeket, ha az egyéni portfunkciót a Standard vagy a Prémium termékváltozat részeként használja) a cél virtuális gép oldalán kell megnyitni a privát IP-cím helyett. Ajánlott eljárásként hozzáadhatja az Azure Bastion alhálózati IP-címtartományt ebben a szabályban, hogy csak a Bastion tudja megnyitni ezeket a portokat a cél virtuális gép alhálózatán lévő cél virtuális gépeken.

Következő lépések

Az Azure Bastionról további információt a gyakori kérdések között talál.