Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Azure-beli hálózati biztonsági csoport (NSG) használatával szűrheti az Azure-beli virtuális hálózatok Azure-erőforrásaiba érkező és onnan érkező hálózati forgalmat. A hálózati biztonsági csoportok alapvető forgalomszűrési képességeket biztosítanak, amelyek segítenek a felhőinfrastruktúra biztonságossá tételében az erőforrások közötti forgalom szabályozásával. A hálózati biztonsági csoportok olyan biztonsági szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják a különböző típusú Azure-erőforrások bejövő vagy kimenő hálózati forgalmát. Minden szabályhoz megadhatja a forrás- és céladatokat, a portot és a protokollt.
Az Azure-beli virtuális hálózatokban több Azure-szolgáltatásból is helyezhet üzembe erőforrásokat. A teljes listáért tekintse meg a virtuális hálózatokban üzembe helyezhető szolgáltatásokat ismertető témakört. Szükség esetén hálózati biztonsági csoportot társíthat egy virtuális gép minden egyes virtuális hálózati alhálózatához és hálózati adapteréhez. Ugyanazt a hálózati biztonsági csoportot tetszőleges számú alhálózattal és hálózati adapterrel társíthatja.
Az alábbi ábra a hálózati biztonsági csoportok üzembe helyezésének különböző forgatókönyveit mutatja be, amelyek lehetővé teszik a hálózati forgalmat az internetről a 80-as TCP-porton keresztül:
Az előző ábrán megismerheti, hogyan dolgozza fel az Azure a bejövő és kimenő szabályokat. Az ábra bemutatja, hogyan kezelik a hálózati biztonsági csoportok a forgalomszűrést.
Inbound traffic
Bejövő forgalom esetén az Azure először egy alhálózathoz társított hálózati biztonsági csoportban dolgozza fel a szabályokat, ha létezik ilyen. Az Azure ezután feldolgozza a hálózati adapterhez társított hálózati biztonsági csoport szabályait, ha van ilyen. Ugyanez a kiértékelési sorrend vonatkozik az alhálózaton belüli forgalomra is.
VM1: Az NSG1 biztonsági szabályainak feldolgozása azért történik, mert az NSG1az 1. alhálózathoz van társítva, a VM1 pedig az 1. alhálózatban található. A DenyAllInbound alapértelmezett biztonsági szabály blokkolja a forgalmat, hacsak nem hoz létre olyan egyéni szabályt, amely explicit módon engedélyezi a 80-os port bejövő forgalmát. A hálózati adapter NIC1-hez társított NSG2 nem értékeli ki a blokkolt forgalmat. Ha azonban az NSG1 engedélyezi a 80-at a biztonsági szabályában, az NSG2 kiértékeli a forgalmat. A 80-s port virtuális géphez való engedélyezéséhez az NSG1-nek és az NSG2-nek is tartalmaznia kell egy olyan szabályt, amely engedélyezi a 80-at az internetről.
VM2: Az NSG1 biztonsági szabályainak feldolgozása azért történik, mert a VM2 is az 1. alhálózatban található. Mivel a VM2 nem rendelkezik hálózati biztonsági csoporttal a hálózati adapteréhez, megkapja az NSG1-n keresztül engedélyezett összes forgalmat, és megtagadja az NSG1 által blokkolt összes forgalmat. Ha egy alhálózathoz egy hálózati biztonsági csoport van rendelve, az adott alhálózaton az összes erőforrás számára le lesz tiltva vagy engedélyezve lesz a forgalom.
VM3: Mivel a 2. alhálózathoz nincs hálózati biztonsági csoport társítva, a forgalom engedélyezve van az alhálózatba, és az NSG2 dolgozza fel, mivel az NSG2 a VM3-hoz csatlakoztatott hálózati adapter NIC1-hez van társítva.
VM4: A forgalom le van tiltva a VM4 felé, mert egy hálózati biztonsági csoport nincs társítva a 3. alhálózattal és a virtuális gép hálózati adapterével. Minden hálózati forgalom le van tiltva egy alhálózaton és hálózati adapteren keresztül, ha nincs hozzájuk hálózati biztonsági csoport társítva. A szabványos nyilvános IP-címmel rendelkező virtuális gép alapértelmezés szerint biztonságos. Ahhoz, hogy a forgalom az internetről áramoljon, hálózati biztonsági csoportot kell társítani a virtuális gép alhálózatához vagy hálózati adapteréhez. További információ: IP-cím verziója.
Outbound traffic
Kimenő forgalom esetén az Azure egy adott sorrendben dolgozza fel a hálózati biztonsági csoport szabályait. Az Azure kiértékeli a hálózati adapterhez társított hálózati biztonsági csoportok szabályait. Ezután az Azure feldolgozza az alhálózathoz társított hálózati biztonsági csoportok szabályait. Ugyanez a feldolgozási sorrend vonatkozik az alhálózaton belüli forgalomra is.
VM1: Az NSG2 biztonsági szabályai fel lesznek dolgozva. Az AllowInternetOutbound alapértelmezett biztonsági szabály az NSG1-ben és az NSG2-ben egyaránt engedélyezi a forgalmat, kivéve, ha olyan biztonsági szabályt hoz létre, amely explicit módon letiltja a 80-ás portot az internet felé. Ha az NSG2 nem engedélyezi a 80-s portot a biztonsági szabályában, akkor tagadja a forgalmat, és az NSG1 soha nem kapja meg a forgalmat, és nem tudja kiértékelni. A 80-ás port virtuális gépről való megtagadásához a hálózati biztonsági csoportok egyikének vagy mindkét biztonsági csoportjának rendelkeznie kell egy olyan szabállyal, amely megtagadja a 80-s portot az internetre.
VM2: A rendszer minden forgalmat a hálózati adapteren keresztül küld az alhálózatra, mivel a VM2-hez csatlakoztatott hálózati adapterhez nincs hálózati biztonsági csoport társítva. Az NSG1 szabályai fel lesznek dolgozva.
VM3: Ha az NSG2 letiltja a 80-at a biztonsági szabályában, blokkolja a forgalmat. Ha az NSG2 nem tagadja meg a 80-as portot, az NSG2 AllowInternetOutbound alapértelmezett biztonsági szabálya engedélyezi a forgalmat, mert nincs hálózati biztonsági csoport társítva a 2. alhálózathoz.
VM4: A forgalom szabadon áramlik a VM4-ből , mert nincs hálózati biztonsági csoport társítva a virtuális gép hálózati adapteréhez vagy alhálózatához3.
Intra-subnet traffic
Fontos megjegyezni, hogy az alhálózathoz társított hálózati biztonsági csoportok biztonsági szabályai hatással lehetnek a benne lévő virtuális gépek közötti kapcsolatra. Alapértelmezés szerint az ugyanazon alhálózatban lévő virtuális gépek egy alapértelmezett hálózati biztonsági csoportszabály alapján kommunikálhatnak, amely lehetővé teszi az alhálózaton belüli forgalmat. Ha olyan szabályt ad hozzá az NSG1-hez , amely minden bejövő és kimenő forgalmat tagad, a VM1 és a VM2 nem tud kommunikálni egymással.
A hálózati adapterekhez rendelt összesített szabályokat könnyen megismerheti a hálózati adapter érvényes biztonsági szabályainak megtekintésével. Az Azure Network Watcher IP-folyamat-ellenőrzési képessége segít annak meghatározásában, hogy a kommunikáció engedélyezett-e egy hálózati adapteren keresztül vagy onnan. Az IP forgalom ellenőrzése meghatározza, hogy egy kommunikáció engedélyezett vagy megtagadott. Azt is azonosítja, hogy melyik hálózati biztonsági szabály felelős a forgalom engedélyezéséért vagy megtagadásáért.
Az Azure Virtual Network Manager hálózati ellenőrzője segíthet a virtuális gépek és az internet vagy más Azure-erőforrások közötti elérhetőséggel kapcsolatos hibák elhárításában is. A hálózati hitelesítő betekintést nyújt a hálózati biztonsági csoport szabályaiba és más, a kapcsolatot esetleg befolyásoló Azure-szabályokba és szabályzatokba.
Tip
Az optimális biztonsági konfiguráció érdekében ne társítsa egyszerre a hálózati biztonsági csoportokat egy alhálózattal és annak hálózati adaptereivel. Válassza ki, hogy a hálózati biztonsági csoportot az alhálózathoz vagy a hálózati adapterhez szeretné társítani, de mindkettőt nem. Ha több szinten alkalmazza a hálózati biztonsági csoportokat, a szabályok ütközhetnek egymással. A biztonsági szabályok átfedése gyakran olyan váratlan forgalomszűrési problémákhoz vezet, amelyeket nehéz elhárítani.
Next steps
Megtudhatja, hogy mely Azure-erőforrásokat helyezheti üzembe egy virtuális hálózaton. A hálózati biztonsági csoportokat támogató erőforrások kereséséhez tekintse meg az Azure-szolgáltatások virtuális hálózati integrációját ismertető cikket.
Végezzen el egy gyors oktatóanyagot egy hálózati biztonsági csoport létrehozásának élményéhez.
Ha már ismeri a hálózati biztonsági csoportok működését, és kezelni szeretné őket, tekintse meg a hálózati biztonsági csoportok kezelését bemutató témakört.
Ha kommunikációs problémákat tapasztal, és hibaelhárítást végezne a hálózati biztonsági csoportokon, tekintse meg a virtuális gépek hálózatiforgalom-szűrési problémáinak diagnosztizálását ismertető rövid útmutatót.
Megtudhatja, hogyan engedélyezheti a virtuális hálózati forgalom naplóit a virtuális hálózat felé és onnan érkező forgalom elemzéséhez, amelyek a társított hálózati biztonsági csoportokon áthaladhatnak.