Udostępnij za pośrednictwem

Konfigurowanie sieciowych grup zabezpieczeń przy użyciu tagów w centrum administracyjnym systemu Windows

  • Artykuł

Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2

Dotyczy: Windows Server 2025

W tym artykule opisano sposób konfigurowania sieciowych grup zabezpieczeń przy użyciu tagów zabezpieczeń sieci w Centrum administracyjnym systemu Windows.

Za pomocą tagów zabezpieczeń sieci można tworzyć niestandardowe tagi zdefiniowane przez użytkownika, dołączać te tagi do interfejsów sieciowych maszyny wirtualnej i stosować zasady dostępu sieciowego (z sieciowymi grupami zabezpieczeń) na podstawie tych tagów.

Wymagania wstępne

Wykonaj następujące wymagania wstępne dotyczące używania sieciowych grup zabezpieczeń z tagami:

  • W klastrze zainstalowano rozwiązanie Azure Stack HCI 22H2 lub nowsze. Aby uzyskać więcej informacji, zobacz instalowanie systemu operacyjnego Azure Stack HCI w wersji 23H2.

  • Masz zainstalowany kontroler sieci. Kontroler sieci wymusza domyślne zasady sieciowe. Aby uzyskać więcej informacji, zobacz instalowanie kontrolera sieci.

  • Masz sieć logiczną lub sieć wirtualną do użycia. Aby uzyskać więcej informacji, zobacz jak utworzyć sieć logiczną lub utworzyć sieć wirtualną.

  • Masz maszynę wirtualną, do której ma być zastosowana sieciowa grupa zabezpieczeń. Aby uzyskać więcej informacji, zobacz jak zarządzać maszynami wirtualnymi za pomocą centrum administracyjnego systemu Windows.

  • Masz uprawnienia administratora lub równoważne węzłom klastra i kontrolerowi sieci.

Uproszczenie zabezpieczeń przy użyciu tagów zabezpieczeń sieci

Sieciowe grupy zabezpieczeń umożliwiają konfigurowanie zasad dostępu na podstawie konstrukcji sieciowych, takich jak prefiksy sieci i podsieci. Jeśli na przykład chcesz ograniczyć komunikację między maszynami wirtualnymi serwera sieci Web i maszynami wirtualnymi bazy danych, musisz zidentyfikować odpowiednie podsieci sieciowe i utworzyć zasady odmowy komunikacji między tymi podsieciami. Istnieją jednak pewne ograniczenia dotyczące tego podejścia:

  • Zasady zabezpieczeń są powiązane z konstrukcjami sieci, co oznacza, że musisz wiedzieć, które aplikacje znajdują się w określonych segmentach sieci. Zrozumienie infrastruktury sieci i architektury staje się kluczowe.

  • Podczas tworzenia zasad dla aplikacji warto użyć ich ponownie w różnych scenariuszach. Jeśli na przykład produkcyjna aplikacja internetowa może być dostępna tylko za pośrednictwem portu 80 z Internetu i nie można uzyskać do niego dostępu przez inne aplikacje w środowisku produkcyjnym lub w innych środowiskach, będą istnieć podobne zasady dla każdej nowej aplikacji. Jednak w przypadku segmentacji sieci ponowne tworzenie zasad staje się konieczne ze względu na unikatowe elementy sieciowe dla każdej aplikacji.

  • W przypadku zlikwidowania starej aplikacji i wdrożenia nowej w tym samym segmencie sieci wymagane są korekty zasad.

W przypadku tagów zabezpieczeń sieci nie trzeba już śledzić segmentów sieci, w których są hostowane aplikacje. Tagi zabezpieczeń sieci upraszczają zarządzanie zasadami i unikaj złożoności skojarzonych z konstrukcjami sieci. Rozważmy przykład z użyciem maszyn wirtualnych serwera sieci Web i bazy danych: oznaczaj odpowiednie maszyny wirtualne tagami zabezpieczeń sieci "Web" i "Baza danych", a następnie utwórz regułę, aby ograniczyć komunikację między tagami "Sieć Web" i "Baza danych".

Tworzenie sieciowych grup zabezpieczeń opartych na tagach zabezpieczeń

Aby utworzyć sieciowe grupy zabezpieczeń oparte na tagach zabezpieczeń, wykonaj następujące kroki:

  1. Utwórz co najmniej jeden tag zabezpieczeń sieci.

  2. Przypisz tag zabezpieczeń sieci do maszyny wirtualnej.

  3. Utwórz sieciową grupę zabezpieczeń.

  4. Utwórz regułę zabezpieczeń sieci dla sieciowej grupy zabezpieczeń.

  5. Zastosuj sieciową grupę zabezpieczeń do maszyny wirtualnej, podsieci sieciowej, tagu zabezpieczeń sieci.

Tworzenie tagów zabezpieczeń sieci

  1. Na ekranie głównym Centrum administracyjnego systemu Windows w obszarze Wszystkie połączenia wybierz klaster, w którym chcesz utworzyć sieciowa grupa zabezpieczeń.

  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Sieciowe grupy zabezpieczeń.

  3. W obszarze Sieciowe grupy zabezpieczeń wybierz kartę Sieciowe tagi zabezpieczeń, a następnie wybierz pozycję Nowy.

  4. W okienku Tworzenie tagu zabezpieczeń sieci wprowadź nazwę tagu zabezpieczeń sieci w polu Nazwa.

    Zrzut ekranu przedstawiający okienko Tworzenie sieciowego tagu zabezpieczeń.

  5. (Opcjonalnie) W polu Typ wprowadź typ tagu. To pole jest przydatne, jeśli chcesz kategoryzować tagi w celu łatwego zarządzania. Na przykład można mieć różne tagi o tym samym typie "Aplikacja", na przykład SQL, Web, IOT, Sensor itp.

  6. Wybierz Prześlij.

Przypisywanie tagu zabezpieczeń sieci do maszyny wirtualnej

Tag zabezpieczeń sieci można przypisać do maszyny wirtualnej podczas tworzenia nowej maszyny wirtualnej lub później podczas zmieniania właściwości istniejącej maszyny wirtualnej.

Przypisywanie tagu zabezpieczeń sieci podczas tworzenia maszyny wirtualnej

Aby uzyskać instrukcje krok po kroku dotyczące tworzenia nowej maszyny wirtualnej, zobacz Tworzenie nowej maszyny wirtualnej.

Aby przypisać tag zabezpieczeń sieci podczas tworzenia nowej maszyny wirtualnej:

  1. Na ekranie głównym Centrum administracyjnego systemu Windows w obszarze Wszystkie połączenia wybierz serwer lub klaster, na którym chcesz utworzyć maszynę wirtualną.

  2. W obszarze Narzędzia przewiń w dół i wybierz pozycję Maszyny wirtualne.

  3. W obszarze Maszyny wirtualne wybierz kartę Spis , wybierz pozycję Dodaj, a następnie wybierz pozycję Nowy.

  4. W obszarze Nowa maszyna wirtualna wprowadź nazwę maszyny wirtualnej.

  5. Wprowadź inne właściwości maszyny wirtualnej.

  6. W obszarze Sieć wybierz utworzony wcześniej tag zabezpieczeń sieci w obszarze Tworzenie tagu zabezpieczeń sieci.

    Zrzut ekranu przedstawiający krok przypisywania tagu zabezpieczeń sieci podczas tworzenia nowej maszyny wirtualnej.

  7. Wybierz pozycję Utwórz.

Przypisywanie tagu zabezpieczeń sieci do istniejącej maszyny wirtualnej

Możesz przypisać tag zabezpieczeń sieci do istniejącej maszyny wirtualnej, zmieniając jego ustawienia. Aby uzyskać szczegółowe instrukcje dotyczące zmiany ustawień maszyny wirtualnej, zobacz Zmienianie ustawień maszyny wirtualnej.

  1. W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Maszyny wirtualne.

  2. Wybierz kartę Spis , wybierz maszynę wirtualną, a następnie wybierz pozycję Ustawienia.

  3. Na stronie Ustawienia wybierz pozycję Sieci.

  4. W sekcji Network Security Tag (Tag zabezpieczeń sieci) wybierz pozycję Add Network Security Tag (Dodaj tag zabezpieczeń sieci), a następnie wybierz utworzony wcześniej tag zabezpieczeń sieci w obszarze Tworzenie tagu zabezpieczeń sieci.

  5. Wybierz pozycję Zapisz ustawienia sieciowe.

Tworzenie sieciowej grupy zabezpieczeń

  1. Na ekranie głównym Centrum administracyjnego systemu Windows w obszarze Wszystkie połączenia wybierz klaster, w którym chcesz utworzyć sieciowa grupa zabezpieczeń.

  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Sieciowe grupy zabezpieczeń.

  3. W obszarze Sieciowe grupy zabezpieczeń wybierz kartę Spis , a następnie wybierz pozycję Nowy.

  4. W okienku Sieciowe grupy zabezpieczeń wpisz nazwę sieciowej grupy zabezpieczeń, a następnie wybierz pozycję Prześlij.

    Zrzut ekranu przedstawiający okienko Sieciowa grupa zabezpieczeń.

  5. W obszarze Sieciowe grupy zabezpieczeń sprawdź, czy stan aprowizacji nowej sieciowej grupy zabezpieczeń to Powodzenie.

Tworzenie reguły sieciowej grupy zabezpieczeń

Po utworzeniu sieciowej grupy zabezpieczeń możesz utworzyć reguły sieciowej grupy zabezpieczeń. Jeśli chcesz zastosować reguły sieciowej grupy zabezpieczeń do ruchu przychodzącego i wychodzącego, musisz utworzyć dwie reguły.

  1. Na ekranie głównym Centrum administracyjnego systemu Windows w obszarze Wszystkie połączenia wybierz klaster, w którym chcesz utworzyć sieciowa grupa zabezpieczeń.

  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Sieciowe grupy zabezpieczeń.

  3. W obszarze Sieciowe grupy zabezpieczeń wybierz kartę Spis , a następnie wybierz utworzoną wcześniej sieciową grupę zabezpieczeń w sekcji Tworzenie sieciowej grupy zabezpieczeń.

  4. W obszarze Reguła zabezpieczeń sieci wybierz pozycję Nowy.

  5. W okienku Reguły zabezpieczeń sieci po prawej stronie podaj następujące informacje:

    Pole Opis
    Nazwa/nazwisko Nazwa reguły.
    Priorytet Priorytet reguły. Dopuszczalne wartości to od 101 do 65000. Niższa wartość oznacza wyższy priorytet.
    Typy Typ reguły. Ten typ reguły może być przychodzący lub wychodzący.
    Protokół Protokół zgodny z pakietem przychodzącym lub wychodzącym. Dopuszczalne wartości to Wszystkie, TCP i UDP.
    Source Wybierz pozycję Network Security Tag (Tag zabezpieczeń sieci).

    Uwaga: możesz wybrać prefiks adresu lub tag zabezpieczeń sieci, ale nie oba te elementy.
    Źródłowy typ tagu zabezpieczeń (Opcjonalnie) Wybierz typ tagu.
    Źródłowy tag zabezpieczeń Wybierz utworzony wcześniej tag zabezpieczeń sieci w obszarze Tworzenie tagu zabezpieczeń sieci.
    Zakres portów źródłowych Określ zakres portów źródłowych, aby był zgodny z pakietem przychodzącym lub wychodzącym. Możesz wprowadzić polecenie * , aby określić wszystkie porty źródłowe.
    Lokalizacja docelowa Wybierz pozycję Network Security Tag (Tag zabezpieczeń sieci).

    Uwaga: możesz wybrać prefiks adresu lub tag zabezpieczeń sieci, ale nie oba te elementy. Źródło i lokalizacja docelowa mogą być różne.
    Docelowy typ tagu zabezpieczeń (Opcjonalnie) Wybierz typ tagu.
    Docelowy tag zabezpieczeń Wybierz utworzony wcześniej tag zabezpieczeń sieci w obszarze Tworzenie tagu zabezpieczeń sieci.
    Zakres portów docelowych Określ zakres portów docelowych, aby był zgodny z pakietem przychodzącym lub wychodzącym. Możesz wprowadzić polecenie * , aby określić wszystkie porty docelowe.
    Akcje Jeśli powyższe warunki są zgodne, określ opcję zezwalania lub blokowania pakietu. Dopuszczalne wartości to Zezwalaj i Odmawiaj.
    Rejestrowanie Określ opcję , aby włączyć lub wyłączyć rejestrowanie dla reguły. Jeśli rejestrowanie jest włączone, cały ruch zgodny z tą regułą jest rejestrowany na komputerach hosta.

  6. Wybierz Prześlij.

Stosowanie sieciowej grupy zabezpieczeń

Możesz zastosować sieciową grupę zabezpieczeń do:

Stosowanie sieciowej grupy zabezpieczeń do tagu zabezpieczeń sieci

Po zastosowaniu sieciowej grupy zabezpieczeń do tagu zabezpieczeń sieci reguły sieciowej grupy zabezpieczeń mają zastosowanie do wszystkich interfejsów sieciowych maszyn wirtualnych skojarzonych z tym tagiem zabezpieczeń sieci.

Aby zastosować sieciową grupę zabezpieczeń do tagu zabezpieczeń sieci za pośrednictwem centrum administracyjnego systemu Windows, wykonaj następujące kroki:

  1. Na ekranie głównym Centrum administracyjnego systemu Windows w obszarze Wszystkie połączenia wybierz klaster, na którym ma zostać zastosowana sieciowa grupa zabezpieczeń.

  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Sieciowe grupy zabezpieczeń.

  3. W obszarze Sieciowe grupy zabezpieczeń wybierz kartę Sieciowe tagi zabezpieczeń.

  4. Wybierz tag zabezpieczeń sieci, który chcesz edytować, a następnie wybierz pozycję Ustawienia.

  5. W okienku Edytowanie tagu zabezpieczeń sieci dla wybranego tagu wybierz sieciowa grupa zabezpieczeń, którą chcesz zastosować do tagu zabezpieczeń sieci.

    Zrzut ekranu przedstawiający sposób stosowania istniejącej sieciowej grupy zabezpieczeń do tagu zabezpieczeń sieci.

  6. Wybierz Prześlij.

Następne kroki

Aby uzyskać powiązane informacje, zobacz również: