Merancang solusi untuk pemfilteran lalu lintas dengan kelompok keamanan jaringan
Anda dapat menggunakan kelompok keamanan jaringan Azure untuk memfilter lalu lintas jaringan antara sumber daya Azure di jaringan virtual Azure. Kelompok keamanan jaringan berisi aturan keamanan yang memungkinkan atau menolak lalu lintas jaringan masuk ke, atau, lalu lintas jaringan keluar dari, beberapa jenis sumber daya Azure. Untuk setiap aturan, Anda dapat menentukan sumber dan tujuan, port, dan protokol.
Artikel ini menjelaskan properti aturan grup keamanan jaringan, aturan keamanan default yang diterapkan, dan properti aturan yang dapat Anda ubah untuk membuat aturan keamanan tambahan.
Aturan keamanan
Kelompok keamanan jaringan berisi nol, atau aturan sebanyak yang diinginkan, dalam batas langganan Azure. Setiap aturan menentukan properti berikut:
| Properti | Penjelasan |
|---|---|
| Nama | Nama unik dalam grup keamanan jaringan. Panjang nama bisa hingga 80 karakter. |
| Prioritas | Angka antara 100 dan 4096. Aturan diproses dalam urutan prioritas, dengan angka yang lebih rendah diproses sebelum angka yang lebih tinggi, karena angka yang lebih rendah memiliki prioritas yang lebih tinggi. Setelah lalu lintas cocok dengan aturan, pemrosesan dihentikan. Akibatnya, setiap aturan yang ada dengan prioritas yang lebih rendah (angka yang lebih tinggi) yang memiliki atribut sama seperti aturan dengan prioritas yang lebih tinggi, tidak diproses. |
| Sumber atau tujuan | Setiap, atau alamat IP individual, blok perutean antar domain tanpa kelas (CIDR) (10.0.0.0/24, misalnya), tag layanan, atau kelompok keamanan aplikasi. Jika Anda menentukan alamat untuk sumber daya Azure, tentukan alamat IP privat yang ditetapkan ke sumber daya. Kelompok keamanan jaringan diproses setelah Azure menerjemahkan alamat IP publik ke alamat IP pribadi untuk lalu lintas masuk, dan sebelum Azure menerjemahkan alamat IP pribadi ke alamat IP publik untuk lalu lintas keluar. Aturan keamanan yang diperlukan saat Anda menentukan rentang, tag layanan, atau grup keamanan aplikasi lebih sedikit. Kemampuan untuk menetapkan banyak alamat dan rentang IP individual (Anda tidak dapat menetapkan banyak tag layanan atau grup aplikasi) dalam aturan disebut sebagai aturan keamanan tambahan. Aturan keamanan tambahan hanya dapat dibuat di kelompok keamanan jaringan yang dibuat melalui model penyebaran Azure Resource Manager. Anda tidak dapat menetapkan banyak alamat IP dan rentang alamat IP dalam grup keamanan jaringan yang dibuat melalui model penyebaran klasik. |
| Protokol | TCP, UDP, ICMP, ESP, AH, atau Apapun. Protokol ESP dan AH saat ini tidak tersedia melalui portal Azure tetapi dapat digunakan melalui templat ARM. |
| Arah | Apakah aturan tersebut berlaku untuk lalu lintas masuk atau keluar. |
| Rentang port | Anda dapat menentukan satu atau rentang porta. Misalnya, Anda dapat menentukan 80 atau 10000-10005. Menentukan rentang memungkinkan Anda membuat lebih sedikit aturan keamanan. Aturan keamanan tambahan hanya dapat dibuat di kelompok keamanan jaringan yang dibuat melalui model penyebaran Azure Resource Manager. Anda tidak dapat menetapkan banyak port atau rentang port dalam aturan keamanan yang sama dalam grup keamanan jaringan yang dibuat melalui model penyebaran klasik. |
| Perbuatan | Izinkan atau tolak |
Aturan keamanan dievaluasi dan diterapkan berdasarkan informasi lima tuple (sumber, port sumber, tujuan, port tujuan, dan protokol). Anda tidak boleh membuat dua aturan keamanan dengan prioritas dan arah yang sama. Rekaman aliran dibuat untuk koneksi yang sudah ada. Komunikasi diperbolehkan atau ditolak berdasarkan status koneksi rekaman aliran. Catatan aliran memungkinkan kelompok keamanan jaringan menjadi stateful. Jika Anda menentukan aturan keamanan keluar ke alamat mana pun di atas port 80, misalnya, Anda tidak perlu menentukan aturan keamanan masuk untuk respons terhadap lalu lintas keluar. Anda hanya perlu menentukan aturan keamanan masuk jika komunikasi dimulai secara eksternal. Sebaliknya juga benar. Jika lalu lintas masuk diizinkan melalui port, Anda tidak perlu menentukan aturan keamanan keluar untuk merespons lalu lintas di atas port.
Sambungan yang ada mungkin tidak terganggu ketika Anda menghapus aturan keamanan yang memfungsikan alur. Arus lalu lintas terganggu ketika koneksi dihentikan dan tidak ada lalu lintas yang mengalir di kedua arah, setidaknya selama beberapa menit.
Mengubah aturan grup keamanan jaringan hanya akan memengaruhi koneksi baru yang terbentuk. Saat aturan baru dibuat atau aturan yang ada diperbarui dalam grup keamanan jaringan, aturan tersebut hanya akan berlaku untuk alur baru dan koneksi baru. Koneksi alur kerja yang ada tidak diperbarui dengan aturan baru.
Ada batasan jumlah aturan keamanan yang bisa Anda buat dalam kelompok keamanan jaringan.