Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Anda dapat menggunakan kelompok keamanan jaringan Azure untuk memfilter lalu lintas jaringan antara sumber daya Azure di jaringan virtual Azure. Kelompok keamanan jaringan berisi aturan keamanan yang memungkinkan atau menolak lalu lintas jaringan masuk ke, atau, lalu lintas jaringan keluar dari, beberapa jenis sumber daya Azure. Untuk setiap aturan, Anda dapat menentukan sumber dan tujuan, port, dan protokol.
Artikel ini menjelaskan properti aturan grup keamanan jaringan dan aturan keamanan default yang diterapkan oleh Azure. Ini juga menjelaskan cara mengubah properti aturan untuk membuat aturan keamanan tambahan.
Aturan keamanan
Grup keamanan jaringan berisi aturan sebanyak yang diinginkan, dalam batas langganan Azure. Setiap aturan menentukan properti berikut:
Properti | Penjelasan |
---|---|
Nama | Nama unik dalam grup keamanan jaringan. Panjang nama bisa hingga 80 karakter. Ini harus dimulai dengan karakter kata, dan harus diakhir dengan karakter kata atau dengan _ . Nama dapat berisi karakter kata atau . , - , \_ . |
Prioritas | Angka antara 100 dan 4096. Aturan diproses dalam urutan prioritas, dengan angka yang lebih rendah diproses sebelum angka yang lebih tinggi, karena angka yang lebih rendah memiliki prioritas yang lebih tinggi. Setelah lalu lintas cocok dengan aturan, pemrosesan dihentikan. Akibatnya, aturan apa pun yang ada dengan prioritas lebih rendah (angka lebih tinggi) yang memiliki atribut yang sama dengan aturan dengan prioritas yang lebih tinggi tidak diproses. Aturan keamanan default Azure diberi angka tertinggi dengan prioritas terendah untuk memastikan bahwa aturan kustom selalu diproses terlebih dahulu. |
Sumber atau tujuan | Anda dapat menentukan Apa pun, alamat IP individual, blok CIDR (misalnya, 10.0.0.0/24), tag layanan, atau grup keamanan aplikasi. Untuk sumber daya Azure, gunakan alamat IP privat yang ditetapkan ke sumber daya. Grup keamanan jaringan memproses lalu lintas setelah Azure menerjemahkan alamat IP publik ke alamat IP privat untuk lalu lintas masuk. Mereka memproses lalu lintas sebelum menerjemahkan alamat IP privat ke alamat IP publik untuk lalu lintas keluar. Masukkan rentang, tag layanan, atau grup keamanan aplikasi untuk mengurangi jumlah aturan keamanan yang diperlukan. Aturan keamanan tambahan memungkinkan menentukan beberapa alamat dan rentang IP individual dalam satu aturan. Namun, Anda tidak dapat menentukan beberapa tag layanan atau grup aplikasi dalam satu aturan. Aturan keamanan tambahan hanya tersedia di grup keamanan jaringan yang dibuat melalui model penyebaran Resource Manager. Dalam model penyebaran klasik, beberapa alamat dan rentang IP tidak dapat ditentukan dalam satu aturan.
Jika sumbernya adalah subnet 10.0.1.0/24 (tempat VM1 berada) dan tujuannya adalah subnet 10.0.2.0/24 (tempat VM2 berada), grup keamanan jaringan memfilter lalu lintas untuk VM2. Perilaku ini terjadi karena NSG dikaitkan dengan antarmuka jaringan VM2. |
Protokol | TCP, UDP, ICMP, ESP, AH, atau Apapun. Protokol ESP dan AH saat ini tidak tersedia melalui portal Azure tetapi dapat digunakan melalui templat ARM. |
Arah | Apakah aturan tersebut berlaku untuk lalu lintas masuk atau keluar. |
Rentang porta | Anda dapat menentukan satu atau rentang port. Misalnya, Anda dapat menentukan 80 atau 10000-10005. Menentukan rentang memungkinkan Anda membuat lebih sedikit aturan keamanan. Aturan keamanan tambahan hanya dapat dibuat di kelompok keamanan jaringan yang dibuat melalui model penyebaran Azure Resource Manager. Anda tidak dapat menetapkan banyak port atau rentang port dalam aturan keamanan yang sama dalam grup keamanan jaringan yang dibuat melalui model penyebaran klasik. |
Perbuatan | Izinkan atau tolak |
Aturan keamanan dievaluasi dan diterapkan berdasarkan informasi lima tuple (sumber, port sumber, tujuan, port tujuan, dan protokol). Anda tidak boleh membuat dua aturan keamanan dengan prioritas dan arah yang sama. Rekaman aliran dibuat untuk koneksi yang sudah ada. Komunikasi diperbolehkan atau ditolak berdasarkan status koneksi rekaman aliran. Catatan aliran memungkinkan kelompok keamanan jaringan menjadi berstatus. Jika Anda menentukan aturan keamanan keluar ke alamat mana pun di atas port 80, misalnya, Anda tidak perlu menentukan aturan keamanan masuk untuk respons terhadap lalu lintas keluar. Anda hanya perlu menentukan aturan keamanan masuk jika komunikasi dimulai secara eksternal. Sebaliknya juga benar. Jika lalu lintas masuk melalui port diizinkan, Anda tidak perlu menentukan aturan keamanan lalu lintas keluar untuk merespons lalu lintas melalui port.
Saat Anda menghapus aturan keamanan yang mengizinkan koneksi, koneksi yang ada tetap tidak terganggu. Aturan grup keamanan jaringan hanya memengaruhi koneksi baru. Aturan baru atau yang diperbarui dalam grup keamanan jaringan berlaku secara eksklusif untuk koneksi baru, membuat koneksi yang ada tidak terpengaruh oleh perubahan.
Ada batasan jumlah aturan keamanan yang bisa Anda buat dalam kelompok keamanan jaringan. Untuk detailnya, lihat Batas Azure.
Aturan keamanan default
Azure membuat aturan default berikut ini di setiap kelompok keamanan jaringan yang Anda buat:
Kedatangan
AllowVNetInBound
Prioritas | Sumber | Port sumber | Tujuan | Port tujuan | Protokol | Akses |
---|---|---|---|---|---|---|
65000 | Jaringan Virtual | 0-65535 | Jaringan Virtual | 0-65535 | Apa saja | Izinkan |
Izinkan Azure Load Balancer Masuk
Prioritas | Sumber | Port sumber | Tujuan | Port tujuan | Protokol | Akses |
---|---|---|---|---|---|---|
65001 | Penyeimbang Beban Azure | 0-65535 | 0.0.0.0/0 | 0-65535 | Apa saja | Izinkan |
DenyAllInbound
Prioritas | Sumber | Port sumber | Tujuan | Port tujuan | Protokol | Akses |
---|---|---|---|---|---|---|
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Apa saja | Tolak |
Keluar
AllowVnetOutBound
Prioritas | Sumber | Port sumber | Tujuan | Port tujuan | Protokol | Akses |
---|---|---|---|---|---|---|
65000 | Jaringan Virtual | 0-65535 | Jaringan Virtual | 0-65535 | Apa saja | Izinkan |
IzinkanInternetKeluar
Prioritas | Sumber | Port sumber | Tujuan | Port tujuan | Protokol | Akses |
---|---|---|---|---|---|---|
65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Apa saja | Izinkan |
DenyAllOutBound
Prioritas | Sumber | Port sumber | Tujuan | Port tujuan | Protokol | Akses |
---|---|---|---|---|---|---|
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Apa saja | Tolak |
Di kolom Sumber dan Tujuan, VirtualNetwork, AzureLoadBalancer, dan Internet adalah taglayanan, bukan alamat IP. Di kolom protokol, Semua mencakup TCP, UDP, dan ICMP. Saat membuat aturan, Anda dapat menentukan TCP, UDP, ICMP, atau Semuanya. 0.0.0.0/0 di kolom Sumber dan Tujuan mewakili semua alamat. Klien seperti portal Azure, Azure CLI, atau PowerShell dapat menggunakan * atau apa pun untuk ekspresi ini.
Anda tidak dapat menghapus aturan default, tetapi Anda dapat menggantinya dengan membuat aturan yang prioritasnya lebih tinggi.
Aturan keamanan tambahan
Aturan keamanan tambahan menyederhanakan definisi keamanan untuk jaringan virtual, memungkinkan Anda menentukan kebijakan keamanan jaringan yang lebih besar dan kompleks, dengan aturan yang lebih sedikit. Anda dapat menggabungkan beberapa port dan beberapa alamat IP eksplisit dan rentang menjadi satu aturan keamanan yang mudah dipahami. Gunakan aturan tambahan di bidang sumber, tujuan, dan port dari suatu aturan. Untuk menyederhanakan pemeliharaan definisi aturan keamanan Anda, gabungkan aturan keamanan tambahan dengan tag layanan atau kelompok keamanan aplikasi. Terdapat batasan jumlah alamat, rentang, dan port yang bisa Anda tentukan dalam aturan. Untuk detailnya, lihat Batas Azure.
Tag layanan
Tag layanan mewakili sekelompok awalan alamat IP dari layanan Azure tertentu. Ini membantu meminimalkan kompleksitas pembaruan yang sering pada aturan keamanan jaringan.
Untuk informasi selengkapnya, lihat Tag Azure Service. Misalnya tentang cara menggunakan tag Layanan Penyimpanan untuk membatasi akses jaringan, lihat Membatasi akses jaringan ke sumber daya PaaS.
Kelompok keamanan aplikasi
Grup keamanan aplikasi memungkinkan Anda mengonfigurasi keamanan jaringan sebagai perpanjangan alami dari struktur aplikasi, sehingga Anda dapat mengelompokkan komputer virtual dan menentukan kebijakan keamanan jaringan berdasarkan kelompok tersebut. Anda dapat menggunakan kembali kebijakan keamanan Anda dengan skala tanpa pemeliharaan manual alamat IP eksplisit. Untuk mempelajari lebih lanjut, lihatkelompok keamanan aplikasi.
Batas waktu alur
Pengaturan batas waktu alur menentukan berapa lama rekaman alur tetap aktif sebelum kedaluwarsa. Anda dapat mengonfigurasi pengaturan ini menggunakan portal Microsoft Azure atau melalui baris perintah. Untuk detail selengkapnya, lihat Gambaran umum log alur NSG.
Pertimbangan platform Azure
IP Virtual dari Node Host: Layanan infrastruktur dasar seperti DHCP, DNS, IMDS, dan pemantauan kesehatan disediakan melalui alamat IP host virtual 168.63.129.16 dan 169.254.169.254. Alamat IP ini milik Microsoft dan merupakan satu-satunya alamat IP virtual yang digunakan di semua wilayah untuk tujuan ini. Secara default, layanan ini tidak bergantung pada grup keamanan jaringan yang dikonfigurasi kecuali ditargetkan dengan tag layanan khusus untuk setiap layanan. Untuk mengambil alih komunikasi infrastruktur dasar ini, Anda dapat membuat aturan keamanan untuk menolak lalu lintas dengan menggunakan tag layananberikut pada aturan Kelompok Keamanan Jaringan Anda: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Pelajari cara mendiagnosis pemfilteran lalu lintas jaringan dan mendiagnosis perutean jaringan.
Lisensi (Key Management Service): Gambar Windows yang berjalan di komputer virtual harus dilisensikan. Untuk memastikan lisensi, permintaan dikirim ke server host Key Management Service yang menangani kueri tersebut. Permintaan dikirim keluar melalui port 1688. Untuk penyebaran yang menggunakan konfigurasi rute default 0.0.0.0/0 , aturan platform ini dinonaktifkan.
Komputer virtual dalam kumpulan penyeimbang muatan:Port sumber dan rentang alamat yang diterapkan berasal dari komputer asal, bukan penyeimbang muatan. Port tujuan dan rentang alamat adalah untuk komputer tujuan, bukan penyeimbang muatan.
Instans layanan Azure: Instans beberapa layanan Azure, seperti HDInsight, Lingkungan Layanan Aplikasi, dan Virtual Machine Scale Sets disebarkan di subnet jaringan virtual. Untuk daftar lengkap layanan yang dapat Anda sebarkan ke jaringan virtual, lihat Jaringan virtual untuk layanan Azure. Sebelum menerapkan grup keamanan jaringan ke subnet, biasakan diri Anda dengan persyaratan port untuk setiap layanan. Jika Anda menolak port yang diperlukan oleh layanan, layanan tidak berfungsi dengan baik.
Mengirim email keluar: Microsoft merekomendasikan agar Anda menggunakan layanan relai SMTP terautentikasi (biasanya terhubung melalui port TCP 587, tetapi seringkali orang lain juga) untuk mengirim email dari Azure Virtual Machines. Layanan relai SMTP khusus dalam reputasi pengirim, untuk meminimalkan kemungkinan penyedia email mitra menolak pesan. Layanan relai SMTP tersebut termasuk, tetapi tidak terbatas pada, Exchange Online Protection dan SendGrid. Penggunaan layanan relai SMTP sama sekali tidak dibatasi di Azure, apapun jenis langganan Anda.
Jika Anda membuat langganan Azure sebelum 15 November 2017, selain dapat menggunakan layanan relai SMTP, Anda dapat mengirim email langsung melalui port TCP 25. Jika Anda membuat langganan setelah 15 November 2017, Anda mungkin tidak dapat mengirim email langsung melalui port 25. Perilaku komunikasi keluar melalui port 25 tergantung pada jenis langganan yang Anda miliki, sebagai berikut:
Perjanjian Enterprise: Untuk VM yang disebarkan dalam langganan Perjanjian Enterprise standar, koneksi SMTP keluar pada port TCP 25 tidak diblokir. Namun, tidak ada jaminan bahwa domain eksternal menerima email masuk dari VM. Jika domain eksternal menolak atau memfilter email, hubungi penyedia layanan email domain eksternal untuk mengatasi masalah tersebut. Masalah ini tidak tercakup oleh dukungan Azure.
Untuk langganan Enterprise Dev/Test, port 25 akan diblokir secara default. Ada kemungkinan pemblokiran ini dihapus. Untuk meminta pemblokiran dihapus, buka bagian Tidak dapat mengirim email (SMTP-Port 25) dari halaman Pengaturan Diagnosis dan Selesaikan untuk sumber daya Azure Virtual Network di portal Azure dan jalankan diagnostik. Prosedur ini mengecualikan langganan dev/test perusahaan yang memenuhi syarat secara otomatis.
Setelah langganan dikecualikan dari blok ini dan VM dihentikan serta dihidupkan ulang, semua VM dalam langganan tersebut akan dikecualikan ke depannya. Pengecualian tersebut hanya berlaku untuk langganan yang diminta dan hanya untuk lalu lintas VM yang dirutekan langsung ke internet.
Bayar sesuai penggunaan: Komunikasi keluar melalui port 25 diblokir dari semua sumber daya. Permintaan untuk menghapus pembatasan tidak dapat dibuat karena permintaan tidak dikabulkan. Jika Anda perlu mengirim email dari komputer virtual Anda, Anda harus menggunakan layanan relai SMTP.
MSDN, Azure Pass, Azure in Open, Education, dan Gratis Uji Coba: Komunikasi port keluar 25 diblokir dari semua sumber daya. Permintaan untuk menghapus pembatasan tidak dapat dibuat karena permintaan tidak dikabulkan. Jika Anda perlu mengirim email dari komputer virtual Anda, Anda harus menggunakan layanan relai SMTP.
Penyedia layanan cloud: Komunikasi port keluar 25 diblokir dari semua sumber daya. Permintaan untuk menghapus pembatasan tidak dapat dibuat karena permintaan tidak dikabulkan. Jika Anda perlu mengirim email dari komputer virtual Anda, Anda harus menggunakan layanan relai SMTP.
Langkah berikutnya
Pelajari sumber daya Azure mana yang dapat disebarkan ke jaringan virtual. Lihat Integrasi jaringan virtual untuk layanan Azure untuk memahami bagaimana kelompok keamanan jaringan dapat dikaitkan dengan mereka.
Untuk mempelajari cara lalu lintas dievaluasi dengan grup keamanan jaringan, lihat Cara kerja grup keamanan jaringan.
Buat grup keamanan jaringan dengan mengikuti tutorial cepat ini.
Jika Anda terbiasa dengan kelompok keamanan jaringan dan merasa perlu mengelolanya, lihat Mengelola kelompok keamanan jaringan.
Jika Anda mengalami masalah komunikasi dan perlu memecahkan masalah kelompok keamanan jaringan, lihat Mendiagnosis masalah filter lalu lintas jaringan komputer virtual.
Pelajari cara mengaktifkan log alur kelompok keamanan jaringan untuk menganalisis lalu lintas jaringan ke dan dari sumber daya yang memiliki kelompok keamanan jaringan terkait.