Megoldások tervezése hálózati biztonsági csoportokkal történő forgalomszűréshez
Az Azure-beli virtuális hálózatban az Azure-erőforrások bejövő és kimenő hálózati forgalmát Azure hálózati biztonsági csoporttal szűrheti. A hálózati biztonsági csoportok olyan biztonsági szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják a különböző típusú Azure-erőforrások bejövő vagy kimenő hálózati forgalmát. Az egyes szabályokhoz meghatározhatja a forrást és a célt, valamint a használni kívánt portot és protokollt.
Ez a cikk egy hálózati biztonsági csoportszabály tulajdonságait, az alkalmazott alapértelmezett biztonsági szabályokat és a kiterjesztett biztonsági szabály létrehozásához módosítható szabálytulajdonságokat ismerteti.
Biztonsági szabályok
A hálózati biztonsági csoportok nulla vagy tetszőleges számú szabályt tartalmazhatnak, az Azure-előfizetések korlátain belül. Az egyes szabályok az alábbi tulajdonságokat határozzák meg:
| Tulajdonság | Magyarázat |
|---|---|
| Name | Egy egyedi név a hálózati biztonsági csoporton belül. A név legfeljebb 80 karakter hosszú lehet. |
| Prioritás | Egy 100 és 4096 közötti szám. A szabályok feldolgozása prioritási sorrendben történik. Az alacsonyabb sorszámúak feldolgozása a magasabb sorszámúak előtt történik, mivel az alacsonyabb sorszámok magasabb prioritást jelölnek. Ha az adatforgalom megfelel valamelyik szabálynak, a feldolgozás leáll. Ennek eredményeképpen a magasabb prioritású szabályokkal azonos attribútumokkal rendelkező alacsonyabb prioritású (magasabb számú) szabályok feldolgozása nem történik meg. |
| Forrás vagy cél | Bármelyik, vagy egy egyéni IP-cím, Classless Inter-Domain Routing- (CIDR-) blokk (például 10.0.0.0/24), szolgáltatáscímke vagy alkalmazásbiztonsági csoport. Ha egy Azure-erőforrás címét adja meg, az erőforráshoz rendelt magánhálózati IP-címet adja meg. A hálózati biztonsági csoportok feldolgozása azután történik, hogy az Azure a bejövő forgalomhoz a nyilvános IP-címeket magánhálózati IP-címekre fordítja le, de még mielőtt, hogy a magánhálózati IP-címeket nyilvános IP-címekre fordítaná le a kimenő forgalomhoz. Ha tartományt, szolgáltatáscímkét vagy alkalmazásbiztonsági csoportot ad meg, kevesebb biztonsági szabályra van szükség. A szabályban több egyéni IP-cím és -tartomány megadásának lehetőségét (több szolgáltatáscímkét vagy alkalmazáscsoportot nem adhat meg) kiterjesztett biztonsági szabályoknak nevezzük. Kibővített biztonsági szabályok kizárólag a Resource Manager-alapú üzemi modellben létrehozott hálózati biztonsági csoportokban hozhatóak létre. A klasszikus üzemi modellel létrehozott hálózati biztonsági csoportokban nem adhat meg több IP-címet és IP-címtartományt. |
| Protokoll | TCP, UDP, ICMP, ESP, AH vagy Bármely. Az ESP- és AH-protokollok jelenleg nem érhetők el az Azure Portalon, de ARM-sablonokon keresztül használhatók. |
| Direction | Megadja, hogy a szabály a bejövő vagy a kimenő adatforgalomra vonatkozik. |
| Porttartomány | Megadhat egy egyéni portot vagy egy porttartományt is. Megadhatja például a 80-as portot vagy a 10000–10005 tartományt. Tartományok megadásával kevesebb biztonsági szabályt kell majd létrehoznia. Kibővített biztonsági szabályok kizárólag a Resource Manager-alapú üzemi modellben létrehozott hálózati biztonsági csoportokban hozhatóak létre. A klasszikus üzemi modellel létrehozott hálózati biztonsági csoportokban nem adhat meg több portot vagy porttartományt ugyanabban a biztonsági szabályban. |
| Művelet | Engedélyezés vagy letiltás |
A biztonsági szabályok kiértékelése és alkalmazása az ötrekordos (forrás, forrásport, célport, célport és protokoll) információk alapján történik. Nem hozhat létre két azonos prioritású és irányú biztonsági szabályt. Egy folyamatrekord jön létre a meglévő kapcsolatokhoz. A kommunikáció a folyamatrekordok kapcsolati állapota alapján lesz engedélyezve vagy tiltva. A folyamatrekord teszi lehetővé a hálózati biztonsági csoport állapotalapú működését. Ha bármely címre meghatároz egy kimenő biztonsági szabályt a 80-as porton keresztül, nem szükséges biztonsági szabályt megadnia a bejövő forgalomra a válaszhoz. Ha a kommunikáció kívülről indul, csak egy bejövő biztonsági szabályt kell meghatároznia. Ennek az ellenkezője is igaz. Ha egy porton engedélyezett a bejövő forgalom, nem szükséges egy kimenő biztonsági szabályt is megadni ugyanazon a porton történő válaszadáshoz.
Előfordulhat, hogy a meglévő kapcsolatok nem szakadnak meg az adatfolyamot engedélyező biztonsági szabály eltávolításakor. Az adatfolyam megszakad, ha a kapcsolatokat leállítják, és legalább néhány percig nincs forgalom egyik irányban sem.
A hálózati biztonsági csoport szabályainak módosítása csak a létrehozott új kapcsolatokat érinti. Ha új szabályt hoz létre, vagy egy meglévő szabályt frissít egy hálózati biztonsági csoportban, az csak az új folyamatokra és az új kapcsolatokra lesz érvényes. A meglévő munkafolyamat-kapcsolatok nem frissülnek az új szabályokkal.
Az egy hálózati biztonsági csoporton belül létrehozható biztonsági szabályok száma korlátozott.