Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Za pomocą sieciowej grupy zabezpieczeń platformy Azure można filtrować ruch sieciowy między zasobami platformy Azure w sieci wirtualnej platformy Azure. Grupa zabezpieczeń sieci zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół.
W tym artykule wyjaśniono właściwości reguły sieciowej grupy zabezpieczeń i domyślne reguły zabezpieczeń stosowane przez platformę Azure. W tym artykule opisano również sposób modyfikowania właściwości reguły w celu utworzenia rozszerzonej reguły zabezpieczeń.
Reguły zabezpieczeń
Sieciowa grupa zabezpieczeń zawiera dowolną liczbę reguł w ramach limitów subskrypcji platformy Azure. Każda reguła określa następujące właściwości:
| Własność | Wyjaśnienie |
|---|---|
| Nazwisko | Unikalna nazwa w sieciowej grupie zabezpieczeń. Nazwa może mieć długość maksymalnie 80 znaków. Musi zaczynać się od znaku słowa i musi kończyć się znakiem słowa lub znakiem _. Nazwa może zawierać znaki wyrazu lub ., -, \_. |
| Priorytet | Liczba z zakresu od 100 do 4096. Reguły są przetwarzane w kolejności priorytetów. Im niższy numer, tym wyższy priorytet, więc te o niższych numerach są przetwarzane przed tymi o wyższych numerach. Kiedy ruch jest zgodny z regułą, przetwarzanie zostaje zatrzymane. W związku z tym wszelkie reguły, które istnieją z niższymi priorytetami (wyższe liczby), które mają takie same atrybuty jak reguły o wyższych priorytetach, nie są przetwarzane. Domyślne reguły zabezpieczeń platformy Azure mają najwyższą liczbę z najniższym priorytetem, aby upewnić się, że reguły niestandardowe są zawsze przetwarzane jako pierwsze. |
| Obiekt źródłowy lub docelowy | Można określić dowolny, indywidualny adres IP, blok CIDR (na przykład 10.0.0.0/24), tag usługi lub grupę zabezpieczeń aplikacji. W przypadku zasobów platformy Azure użyj prywatnego adresu IP przypisanego do zasobu. Sieciowe grupy zabezpieczeń przetwarzają ruch po tym, jak platforma Azure tłumaczy publiczne adresy IP na prywatne adresy IP dla ruchu przychodzącego. Przetwarzają ruch przed tłumaczeniem prywatnych adresów IP na publiczne adresy IP dla ruchu wychodzącego. Wprowadź zakres, tag usługi lub grupę zabezpieczeń aplikacji, aby zmniejszyć liczbę wymaganych reguł zabezpieczeń. Rozszerzone reguły zabezpieczeń umożliwiają określanie wielu pojedynczych adresów IP i zakresów w jednej regule. Nie można jednak określić wielu tagów usługi ani grup aplikacji w jednej regule. Rozszerzone reguły zabezpieczeń są dostępne tylko w sieciowych grupach zabezpieczeń utworzonych za pomocą modelu wdrażania usługi Resource Manager. W klasycznym modelu wdrażania nie można określić wielu adresów IP i zakresów w jednej regule.
Jeśli źródłem jest podsieć 10.0.1.0/24 (gdzie znajduje się maszyna wirtualna VM1), a lokalizacja docelowa to podsieć 10.0.2.0/24 (gdzie znajduje się maszyna wirtualna VM2), sieciowa grupa zabezpieczeń filtruje ruch dla maszyny wirtualnej VM2. To zachowanie występuje, ponieważ sieciowa grupa zabezpieczeń jest skojarzona z interfejsem sieciowym maszyny wirtualnej VM2. |
| Protokół | TCP, UDP, ICMP, ESP, AH lub Dowolny. Protokoły ESP i AH nie są obecnie dostępne za pośrednictwem witryny Azure Portal, ale mogą być używane za pośrednictwem szablonów usługi ARM. |
| Kierunek | Określa, czy reguła ma zastosowanie do ruchu przychodzącego, czy wychodzącego. |
| Zakres portów | Można określić pojedynczy port lub zakres portów. Na przykład można określić 80 lub 10000–10005. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu portów ani zakresów portów w tej samej regule zabezpieczeń w sieciowych grupach zabezpieczeń utworzonych za pomocą klasycznego modelu wdrażania. |
| Akcja | Zezwolić czy zabronić? |
Reguły zabezpieczeń są oceniane i stosowane na podstawie pięciu elementów (źródło, port źródłowy, miejsce docelowe, port docelowy i protokół). Nie można utworzyć dwóch reguł zabezpieczeń z tym samym priorytetem i kierunkiem. Rekord przepływu tworzony jest dla istniejących połączeń. Komunikacja jest dozwolona lub zablokowana na podstawie stanu połączenia z rekordu przepływu. Dzięki rekordowi przepływu grupa zabezpieczeń sieci może być stanowa. Jeśli zostanie określona reguła zabezpieczeń dla ruchu wychodzącego do dowolnego adresu za pośrednictwem (na przykład) portu 80, nie trzeba określać żadnej reguły zabezpieczeń ruchu przychodzącego dla odpowiedzi na ruch wychodzący. Należy tylko określić regułę zabezpieczeń dla ruchu przychodzącego w przypadku, jeśli komunikacja jest inicjowana zewnętrznie. Jest to również prawdziwe w odwrotnym przypadku. Jeśli ruch przychodzący jest dozwolony przez port, nie trzeba określać reguły zabezpieczeń dla ruchu wychodzącego, aby odpowiadać na ruch przychodzący przez port.
Po usunięciu reguły zabezpieczeń, która zezwalała na połączenie, istniejące połączenia pozostają nieprzerwane. Reguły sieciowej grupy zabezpieczeń mają wpływ tylko na nowe połączenia. Nowe lub zaktualizowane reguły w sieciowej grupie zabezpieczeń mają zastosowanie wyłącznie do nowych połączeń, pozostawiając istniejące połączenia bez wpływu na zmiany.
Istnieją ograniczenia dotyczące liczby reguł zabezpieczeń, które można utworzyć w grupie zabezpieczeń sieci. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).
Domyślne reguły zabezpieczeń
Platforma Azure tworzy następujące reguły domyślne w każdej tworzonej grupie zabezpieczeń sieci:
Przychodzący
AllowVNetInBound (Zezwól na przychodzące połączenia VNet)
| Priorytet | Źródło | Porty źródłowe | Miejsce docelowe | Porty docelowe | Protokół | Dostęp |
|---|---|---|---|---|---|---|
| 65000 | Sieć wirtualna | 0-65535 | Sieć wirtualna | 0-65535 | Dowolne | Zezwolić |
AllowAzureLoadBalancerInBound
| Priorytet | Źródło | Porty źródłowe | Miejsce docelowe | Porty docelowe | Protokół | Dostęp |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer (równoważnik obciążenia) | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zezwolić |
DenyAllInbound
| Priorytet | Źródło | Porty źródłowe | Miejsce docelowe | Porty docelowe | Protokół | Dostęp |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Odmów |
Wychodzący
AllowVnetOutBound
| Priorytet | Źródło | Porty źródłowe | Miejsce docelowe | Porty docelowe | Protokół | Dostęp |
|---|---|---|---|---|---|---|
| 65000 | Sieć wirtualna | 0-65535 | Sieć wirtualna | 0-65535 | Dowolne | Zezwolić |
Zezwól na wychodzący ruch internetowy
| Priorytet | Źródło | Porty źródłowe | Miejsce docelowe | Porty docelowe | Protokół | Dostęp |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Dowolne | Zezwolić |
DenyAllOutBound
| Priorytet | Źródło | Porty źródłowe | Miejsce docelowe | Porty docelowe | Protokół | Dostęp |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Odmów |
W kolumnach Źródło i Obiekt docelowy elementy VirtualNetwork, AzureLoadBalancer i Internet są tagami usługi, a nie adresami IP. W kolumnie protokołu Każdy obejmuje protokoły TCP, UDP i ICMP. Podczas tworzenia reguły można określić protokół TCP, UDP, ICMP lub dowolny. Wartość 0.0.0.0/0 w kolumnach Źródło i Obiekt docelowy reprezentuje wszystkie adresy. Klienci, tacy jak portal Azure, Azure CLI lub PowerShell, mogą używać * lub dowolnego dla tego wyrażenia.
Nie można usunąć reguł domyślnych, ale można je zastąpić, tworząc reguły o wyższych priorytetach.
Rozszerzone reguły zabezpieczeń
Rozszerzone reguły zabezpieczeń upraszczają definicję zabezpieczeń dla sieci wirtualnych, umożliwiając definiowanie zasad zabezpieczeń większych i złożonych sieci przy użyciu mniejszej liczby reguł. Można połączyć wiele portów, wiele jawnych adresów IP i zakresów w jedną, łatwo zrozumiałą regułę zabezpieczeń. Stosuj rozszerzone reguły w polach źródła, celu i portu reguły. Aby uprościć zarządzanie definicją reguły zabezpieczeń, połącz rozszerzone reguły zabezpieczeń z tagami usług lub grupami zabezpieczeń aplikacji. Istnieją ograniczenia dotyczące liczby adresów, zakresów i portów, które można określić w regule. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).
Tagi usługi
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Pomaga zminimalizować złożoność częstych aktualizacji reguł zabezpieczeń sieci.
Aby uzyskać więcej informacji, zobacz Tagi usługi platformy Azure. Aby zapoznać się z przykładem użycia tagu usługi Storage w celu ograniczenia dostępu do sieci, zobacz Ograniczanie dostępu sieciowego do zasobów PaaS.
Grupy zabezpieczeń aplikacji
Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Aby dowiedzieć się więcej, zobacz Grupy zabezpieczeń aplikacji.
Limit czasu przepływu
Ustawienia limitu czasu przepływu określają, jak długo rekord przepływu pozostaje aktywny przed wygaśnięciem. To ustawienie można skonfigurować przy użyciu witryny Azure Portal lub wiersza polecenia. Aby uzyskać więcej informacji, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń.
Zagadnienia dotyczące platformy Azure
Wirtualny adres IP węzła hosta: podstawowe usługi infrastruktury, takie jak DHCP, DNS, IMDS i monitorowanie kondycji są udostępniane za pośrednictwem zwirtualizowanych adresów IP hosta 168.63.129.16 i 169.254.169.254. Te adresy IP należą do firmy Microsoft i są jedynymi zwirtualizowanymi adresami IP używanymi do tego celu we wszystkich regionach. Domyślnie te usługi nie podlegają skonfigurowanym grupom zabezpieczeń sieci, chyba że są objęte tagami usług specyficznymi dla każdej usługi. Aby zastąpić tę podstawową komunikację z infrastrukturą, możesz utworzyć regułę zabezpieczeń w celu odmowy ruchu przy użyciu następujących tagów usługi w regułach sieciowej grupy zabezpieczeń: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Dowiedz się, jak diagnozować filtrowanie ruchu sieciowego i diagnozować routing sieciowy.
Licencjonowanie (usługa zarządzania kluczami): obrazy systemu Windows uruchomione na maszynach wirtualnych muszą być licencjonowane. W celu zapewnienia licencjonowania, wysyłane jest zapytanie do serwerów usługi zarządzania kluczami, które obsługują takie żądania. Żądanie jest wysyłane za pomocą portu 1688. W przypadku wdrożeń korzystających z domyślnej konfiguracji trasy 0.0.0.0/0 ta reguła platformy jest wyłączona.
Maszyny wirtualne w pulach ze zrównoważonym obciążeniem: port źródłowy i zakres adresów stosowane pochodzą z komputera źródłowego, nie z modułu równoważenia obciążenia. Port docelowy i zakres adresów dotyczą komputera docelowego, a nie modułu równoważenia obciążenia.
Wystąpienia usług platformy Azure: wystąpienia kilku usług platformy Azure, takich jak usługa HDInsight, środowiska usług aplikacji i zestawy skalowania maszyn wirtualnych, są wdrażane w podsieciach sieci wirtualnej. Aby uzyskać pełną listę usług, które można wdrażać w sieciach wirtualnych, zobacz Virtual network for Azure services (Sieć wirtualna dla usług platformy Azure). Przed zastosowaniem sieciowej grupy zabezpieczeń do podsieci zapoznaj się z wymaganiami dotyczącymi portów dla każdej usługi. Jeśli odmawiasz portów wymaganych przez usługę, usługa nie działa prawidłowo.
Wysyłanie wychodzących wiadomości e-mail: firma Microsoft zaleca używanie usług uwierzytelnionego przekazywania SMTP (zwykle połączonych za pośrednictwem portu 587 protokołu TCP, ale często również innych portów) do wysyłania wiadomości e-mail z usługi Azure Virtual Machines. Usługi przekazywania SMTP specjalizują się w reputacji nadawcy, aby zminimalizować możliwość odrzucenia wiadomości przez dostawców poczty e-mail partnera. Takie usługi przekazywania SMTP obejmują, ale nie są ograniczone do usługi Exchange Online Protection i SendGrid. Korzystanie z usług przekazywania SMTP nie jest w żaden sposób ograniczone na platformie Azure, niezależnie od typu subskrypcji.
Jeśli subskrypcja platformy Azure została utworzona przed 15 listopada 2017 r., oprócz możliwości korzystania z usług przekazywania SMTP, możesz wysyłać pocztę e-mail bezpośrednio za pośrednictwem portu TCP 25. Jeśli subskrypcja została utworzona po 15 listopada 2017 r., wysyłanie wiadomości e-mail bezpośrednio za pośrednictwem portu 25 może nie być możliwe. Zachowanie komunikacji wychodzącej za pośrednictwem portu 25 zależy od typu Twojej subskrypcji w następujący sposób:
Enterprise Agreement: w przypadku maszyn wirtualnych wdrożonych w standardowych subskrypcjach umowy Enterprise Agreement połączenia wychodzące SMTP na porcie TCP 25 nie są blokowane. Nie ma jednak gwarancji, że domeny zewnętrzne akceptują przychodzące wiadomości e-mail z maszyn wirtualnych. Jeśli domeny zewnętrzne odrzucają lub filtrują wiadomości e-mail, skontaktuj się z dostawcami usług poczty e-mail domen zewnętrznych, aby rozwiązać problemy. Te problemy nie są objęte pomocą techniczną platformy Azure.
W przypadku subskrypcji Enterprise Dev/Test port 25 jest domyślnie blokowany. Tę blokadę można usunąć. Aby zażądać usunięcia bloku, przejdź do sekcji Nie można wysłać wiadomości e-mail (SMTP-Port 25) na stronie Diagnozowanie i rozwiązywanie problemów dla zasobu usługi Azure Virtual Network w witrynie Azure Portal i uruchom diagnostykę. Ta procedura automatycznie zwalnia kwalifikowane subskrypcje przedsiębiorstwa na potrzeby deweloperskie i testowe.
Po wyłączeniu blokady dla subskrypcji oraz zatrzymaniu i ponownym uruchomieniu maszyn wirtualnych wszystkie maszyny wirtualne w tej subskrypcji będą w przyszłości wyłączone z blokady. Wyłączenie dotyczy tylko żądanej subskrypcji i tylko ruchu maszyny wirtualnej kierowanego bezpośrednio do Internetu.
Płatność w miarę użycia: komunikacja wychodząca przez port 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.
MSDN, Azure — dostęp próbny, Azure w wersji Open, Education i Bezpłatna wersja próbna: komunikacja wychodząca na porcie 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.
Dostawca usług w chmurze: komunikacja wychodząca na porcie 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.
Następne kroki
Dowiedz się, które zasoby platformy Azure można wdrożyć w sieci wirtualnej. Zobacz Integracja sieci wirtualnej dla usług platformy Azure , aby dowiedzieć się, jak można z nimi skojarzyć sieciowe grupy zabezpieczeń.
Aby dowiedzieć się, jak ruch jest oceniany za pomocą sieciowych grup zabezpieczeń, zobacz Jak działają sieciowe grupy zabezpieczeń.
Utwórz sieciową grupę zabezpieczeń, postępując zgodnie z tym szybkim samouczkiem.
Jeśli znasz grupy zabezpieczeń sieci i chcesz nimi zarządzać, zobacz Manage a network security group (Zarządzanie sieciową grupą zabezpieczeń).
Jeśli występują problemy z komunikacją i musisz rozwiązać problemy z grupami zabezpieczeń sieci, zobacz Diagnozowanie problemu z filtrowaniem ruchu sieciowego maszyny wirtualnej.
Dowiedz się, jak włączyć dzienniki przepływu ruchu sieciowego grupy zabezpieczeń w celu analizowania ruchu sieciowego do i z zasobów, które mają skojarzoną sieciową grupę zabezpieczeń.