Delen via

Netwerkbeveiligingsgroepen met tags configureren in Windows Admin Center

  • Artikel

Van toepassing op: Azure Stack HCI, versies 23H2 en 22H2

In dit artikel wordt beschreven hoe u netwerkbeveiligingsgroepen configureert met netwerkbeveiligingstags in Windows Admin Center.

Met netwerkbeveiligingstags kunt u aangepaste door de gebruiker gedefinieerde tags maken, deze tags koppelen aan de netwerkinterfaces van uw virtuele machine (VM) en netwerktoegangsbeleid toepassen (met netwerkbeveiligingsgroepen) op basis van deze tags.

Beveiliging vereenvoudigen met netwerkbeveiligingstags

Met netwerkbeveiligingsgroepen kunt u toegangsbeleid configureren op basis van netwerkconstructies zoals netwerkvoorvoegsels en subnetten. Als u bijvoorbeeld de communicatie tussen uw webserver-VM's en database-VM's wilt beperken, moet u overeenkomende netwerksubnetten identificeren en een beleid maken om communicatie tussen deze subnetten te weigeren. Er zijn echter enkele beperkingen met deze benadering:

  • Uw beveiligingsbeleid is gekoppeld aan netwerkconstructies, wat betekent dat u moet weten welke toepassingen zich in specifieke netwerksegmenten bevinden. Inzicht in uw netwerkinfrastructuur en -architectuur wordt cruciaal.

  • Wanneer u beleidsregels voor toepassingen bouwt, wilt u deze mogelijk opnieuw gebruiken in verschillende scenario's. Als uw productieweb-app bijvoorbeeld alleen kan worden bereikt via poort 80 via internet en niet kan worden bereikt door andere apps in productie- of andere omgevingen, hebt u een vergelijkbaar beleid voor elke nieuwe app. Met netwerksegmentatie is het opnieuw maken van beleidsregels echter nodig vanwege unieke netwerkelementen voor elke app.

  • Als u een oude toepassing buiten gebruik stellen en een nieuwe inricht binnen hetzelfde netwerksegment, zijn beleidsaanpassingen vereist.

Met de functie netwerkbeveiligingstags hoeft u niet langer de netwerksegmenten bij te houden waarin uw toepassingen worden gehost. Dit vereenvoudigt het beleidsbeheer en voorkomt de complexiteit van netwerkconstructies. Laten we het voorbeeld met webserver- en database-VM's eens bekijken: tag de bijbehorende VM's met netwerkbeveiligingstags 'Web' en 'Database' en maak vervolgens een regel om de communicatie tussen tags 'Web' en 'Database' te beperken.

Netwerkbeveiligingsgroepen op basis van netwerkbeveiligingstags maken

Volg deze stappen om netwerkbeveiligingstags op basis van netwerkbeveiligingstags te maken:

  1. Maak een of meer netwerkbeveiligingstags.

  2. Wijs een netwerkbeveiligingstag toe aan een VM.

  3. Maak een netwerkbeveiligingsgroep.

  4. Maak een netwerkbeveiligingsregel voor de netwerkbeveiligingsgroep.

  5. Pas de netwerkbeveiligingsgroep toe op een VM, netwerksubnet of netwerkbeveiligingstag.

Netwerkbeveiligingstags maken

  1. Selecteer op het Windows Admin Center startscherm onder Alle verbindingen het cluster waarop u de netwerkbeveiligingsgroep wilt maken.

  2. Schuif onder Extra omlaag naar het gebied Netwerken en selecteer Netwerkbeveiligingsgroepen.

  3. Selecteer onder Netwerkbeveiligingsgroepen het tabblad Netwerkbeveiligingstags en selecteer vervolgens Nieuw.

  4. Voer in het deelvenster Netwerkbeveiligingstag maken een naam in voor de netwerkbeveiligingstag in het veld Naam .

    Schermopname van het deelvenster Netwerkbeveiligingstag maken.

  5. (Optioneel) Voer in het veld Type een type in voor de tag. Dit veld is handig als u tags wilt categoriseren voor eenvoudig beheer. U kunt bijvoorbeeld verschillende tags hebben met hetzelfde type 'Toepassing', zoals SQL, Web, IOT, Sensor, enzovoort.

  6. Selecteer Indienen.

Netwerkbeveiligingstag toewijzen aan een VM

U kunt een netwerkbeveiligingstag toewijzen aan een VM bij het maken van een nieuwe VM of daarna bij het wijzigen van de eigenschappen van een bestaande VM.

Netwerkbeveiligingstag toewijzen tijdens het maken van de VM

Zie Een nieuwe VM maken voor stapsgewijze instructies voor het maken van een nieuwe VM.

Een netwerkbeveiligingstag toewijzen tijdens het maken van een nieuwe VM:

  1. Selecteer op het Windows Admin Center startscherm onder Alle verbindingen de server of het cluster waarop u de virtuele machine wilt maken.

  2. Schuif onder Extra omlaag en selecteer Virtuele machines.

  3. Selecteer onder Virtuele machines het tabblad Inventaris , selecteer Toevoegen en selecteer vervolgens Nieuw.

  4. Voer onder Nieuwe virtuele machine een naam in voor uw VM.

  5. Voer andere eigenschappen voor de VM in.

  6. Selecteer onder Netwerk de netwerkbeveiligingstag die u eerder hebt gemaakt in Netwerkbeveiligingstag maken.

    Schermopname van de stap voor het toewijzen van een netwerkbeveiligingstag tijdens het maken van een nieuwe VM.

  7. Selecteer Maken.

Netwerkbeveiligingstag toewijzen aan een bestaande VM

U kunt een netwerkbeveiligingstag toewijzen aan een bestaande VM door de instellingen ervan te wijzigen. Zie VM-instellingen wijzigen voor gedetailleerde instructies over het wijzigen van VM-instellingen.

  1. Schuif onder Extra omlaag naar het gebied Netwerken en selecteer Virtuele machines.

  2. Selecteer het tabblad Inventaris , selecteer een VM en selecteer vervolgens Instellingen.

  3. Selecteer Netwerken op de pagina Instellingen.

  4. Selecteer in de sectie Netwerkbeveiligingstagde optie Netwerkbeveiligingstag toevoegen, selecteer de netwerkbeveiligingstag die u eerder hebt gemaakt in Netwerkbeveiligingstag maken.

  5. Selecteer Netwerkinstellingen opslaan.

Een netwerkbeveiligingsgroep maken

  1. Selecteer op het Windows Admin Center startscherm onder Alle verbindingen het cluster waarop u de netwerkbeveiligingsgroep wilt maken.

  2. Schuif onder Extra omlaag naar het gebied Netwerken en selecteer Netwerkbeveiligingsgroepen.

  3. Selecteer onder Netwerkbeveiligingsgroepen het tabblad Inventaris en selecteer vervolgens Nieuw.

  4. Typ in het deelvenster Netwerkbeveiligingsgroepen een naam voor de netwerkbeveiligingsgroep en selecteer verzenden.

    Schermopname van het deelvenster Netwerkbeveiligingsgroep.

  5. Controleer onder Netwerkbeveiligingsgroepen of de inrichtingsstatus van de nieuwe netwerkbeveiligingsgroep Geslaagd is.

Regel voor netwerkbeveiligingsgroep maken

Nadat u een netwerkbeveiligingsgroep hebt gemaakt, kunt u regels voor netwerkbeveiligingsgroepen maken. Als u regels voor netwerkbeveiligingsgroepen wilt toepassen op zowel binnenkomend als uitgaand verkeer, moet u twee regels maken.

  1. Selecteer op het Windows Admin Center startscherm onder Alle verbindingen het cluster waarop u de netwerkbeveiligingsgroep wilt maken.

  2. Schuif onder Extra omlaag naar het gebied Netwerken en selecteer Netwerkbeveiligingsgroepen.

  3. Selecteer onder Netwerkbeveiligingsgroepen het tabblad Inventaris en selecteer vervolgens de netwerkbeveiligingsgroep die u eerder hebt gemaakt in Een netwerkbeveiligingsgroep maken.

  4. Selecteer onder Netwerkbeveiligingsregelde optie Nieuw.

  5. Geef in het deelvenster Netwerkbeveiligingsregel aan de rechterkant de volgende informatie op:

    Veld Beschrijving
    Naam De naam van de regel.
    Priority Prioriteit van de regel. Acceptabele waarden zijn 101 tot 65000. Een lagere waarde geeft een hogere prioriteit aan.
    Typen Type van de regel. Dit kan binnenkomend of uitgaand zijn.
    Protocol Protocol dat overeenkomt met een binnenkomend of uitgaand pakket. Acceptabele waarden zijn Alle, TCP en UDP.
    Bron Selecteer Netwerkbeveiligingstag.

    Opmerking: U kunt een adresvoorvoegsel of een netwerkbeveiligingstag selecteren, maar niet beide.
    Type bronbeveiligingstag (Optioneel) Selecteer een type voor de tag.
    Bronbeveiligingstag Selecteer een netwerkbeveiligingstag die u eerder hebt gemaakt in Netwerkbeveiligingstag maken.
    Bronpoortbereik Geef het bronpoortbereik op dat overeenkomt met een binnenkomend of uitgaand pakket. U kunt invoeren * om alle bronpoorten op te geven.
    Doel Selecteer Netwerkbeveiligingstag.

    Opmerking: U kunt een adresvoorvoegsel of een netwerkbeveiligingstag selecteren, maar niet beide. Bron en doel kunnen verschillend zijn.
    Type doelbeveiligingstag (Optioneel) Selecteer een type voor de tag.
    Doelbeveiligingstag Selecteer een netwerkbeveiligingstag die u eerder hebt gemaakt in Netwerkbeveiligingstag maken.
    Doelpoortbereik Geef het doelpoortbereik op dat overeenkomt met een binnenkomend of uitgaand pakket. U kunt invoeren * om alle doelpoorten op te geven.
    Acties Als aan de bovenstaande voorwaarden wordt voldaan, geeft u op om het pakket toe te staan of te blokkeren. Acceptabele waarden zijn Toestaan en Weigeren.
    Logboekregistratie Geef op om logboekregistratie voor de regel in of uit te schakelen. Als logboekregistratie is ingeschakeld, wordt al het verkeer dat overeenkomt met deze regel geregistreerd op de hostcomputers.

  6. Selecteer Indienen.

Netwerkbeveiligingsgroep toepassen

U kunt een netwerkbeveiligingsgroep toepassen op:

Netwerkbeveiligingsgroep toepassen op een netwerkbeveiligingstag

Wanneer u een netwerkbeveiligingsgroep toepast op een netwerkbeveiligingstag, zijn de netwerkbeveiligingsgroepregels van toepassing op alle VM-netwerkinterfaces die zijn gekoppeld aan die netwerkbeveiligingstag.

Voer de volgende stappen uit om een netwerkbeveiligingsgroep via Windows Admin Center toe te passen op een netwerkbeveiligingstag:

  1. Selecteer op het Windows Admin Center startscherm onder Alle verbindingen het cluster waarop u de netwerkbeveiligingsgroep wilt toepassen.

  2. Schuif onder Extra omlaag naar het gebied Netwerken en selecteer Netwerkbeveiligingsgroepen.

  3. Selecteer onder Netwerkbeveiligingsgroepen het tabblad Netwerkbeveiligingstags .

  4. Selecteer de netwerkbeveiligingstag die u wilt bewerken en selecteer vervolgens Instellingen.

  5. Selecteer in het deelvenster Netwerkbeveiligingstag bewerken voor de geselecteerde tag de netwerkbeveiligingsgroep die u wilt toepassen op de netwerkbeveiligingstag.

    Schermopname van het toepassen van een bestaande netwerkbeveiligingsgroep op een netwerkbeveiligingstag.

  6. Selecteer Indienen.

Volgende stappen

Zie ook voor gerelateerde informatie: