Grupy zabezpieczeń sieci
Sieciowa grupa zabezpieczeń platformy Azure umożliwia filtrowanie ruchu sieciowego między zasobami platformy Azure w sieci wirtualnej platformy Azure. Grupa zabezpieczeń sieci zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół.
W tym artykule opisano właściwości reguły sieciowej grupy zabezpieczeń, domyślne reguły zabezpieczeń , które są stosowane, oraz właściwości reguły, które można zmodyfikować w celu utworzenia rozszerzonej reguły zabezpieczeń.
Reguły zabezpieczeń
Grupa zabezpieczeń sieci nie zawiera żadnych reguł lub dowolną liczbę reguł zgodnie z potrzebami, w ramach limitów subskrypcji platformy Azure. Każda reguła określa następujące właściwości:
| Właściwość | Wyjaśnienie |
|---|---|
| Nazwa | Unikatowa nazwa w obrębie sieciowej grupy zabezpieczeń. |
| Priorytet | Liczba z zakresu od 100 do 4096. Reguły są przetwarzane w kolejności priorytetów. Im niższy numer, tym wyższy priorytet, więc te o niższych numerach są przetwarzane przed tymi o wyższych numerach. Kiedy ruch jest zgodny z regułą, przetwarzanie zostaje zatrzymane. W związku z tym wszystkie reguły, które istnieją z niższymi priorytetami (wyższymi liczbami), które mają te same atrybuty co reguły o wyższych priorytetach, nie są przetwarzane. |
| Obiekt źródłowy lub docelowy | Dowolny lub indywidualny adres IP, blok CIDR (na przykład 10.0.0.0/24), tag usługi lub grupa zabezpieczeń aplikacji. W przypadku określenia adresu dla zasobu platformy Azure należy określić prywatny adres IP przypisany do zasobu. W przypadku ruchu przychodzącego grupy zabezpieczeń sieci są przetwarzane po tym, jak platforma Azure przetłumaczy publiczny adres IP na prywatny adres IP, a w przypadku ruchu wychodzącego — zanim platforma Azure przetłumaczy prywatny adres IP na publiczny adres IP. Podczas określania zakresu, tagu usługi lub grupy zabezpieczeń aplikacji jest wymagana mniejsza liczba reguł zabezpieczeń. Możliwość określenia wielu pojedynczych adresów IP i zakresów (nie można określić wielu tagów usług lub grup aplikacji) w regule jest nazywana rozszerzonymi regułami zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu adresów IP i zakresów adresów IP w sieciowych grupach zabezpieczeń utworzonych za pośrednictwem klasycznego modelu wdrażania. |
| Protokół | TCP, UDP, ICMP, ESP, AH lub Any. Protokoły ESP i AH nie są obecnie dostępne za pośrednictwem witryny Azure Portal, ale mogą być używane za pośrednictwem szablonów usługi ARM. |
| Kierunek | Określa, czy reguła ma zastosowanie do ruchu przychodzącego, czy wychodzącego. |
| Zakres portów | Można określić pojedynczy port lub zakres portów. Na przykład można określić port 80 lub 10000–10005. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu portów ani zakresów portów w tej samej regule zabezpieczeń w sieciowych grupach zabezpieczeń utworzonych za pośrednictwem klasycznego modelu wdrażania. |
| Akcja | Zezwolenie lub zablokowanie |
Reguły zabezpieczeń są oceniane i stosowane na podstawie pięciu krotki (źródła, portu źródłowego, miejsca docelowego, portu docelowego i protokołu). Nie można utworzyć dwóch reguł zabezpieczeń z tym samym priorytetem i kierunkiem. Rekord przepływu tworzony jest dla istniejących połączeń. Komunikacja jest dozwolona lub zablokowana na podstawie stanu połączenia z rekordu przepływu. Dzięki rekordowi przepływu grupa zabezpieczeń sieci jest stanowa. Jeśli zostanie określona reguła zabezpieczeń dla ruchu wychodzącego do dowolnego adresu za pośrednictwem (na przykład) portu 80, nie trzeba określać żadnej reguły zabezpieczeń ruchu przychodzącego dla odpowiedzi na ruch wychodzący. Należy tylko określić regułę zabezpieczeń dla ruchu przychodzącego w przypadku, jeśli komunikacja jest inicjowana zewnętrznie. Jest to również prawdziwe w odwrotnym przypadku. Jeśli ruch przychodzący jest dozwolony przez port, nie trzeba określać reguły zabezpieczeń dla ruchu wychodzącego, aby odpowiadać na ruch przychodzący przez port.
Istniejące połączenia mogą nie zostać przerwane po usunięciu reguły zabezpieczeń, która zezwoliła na przepływ. Przepływy ruchu są przerywane po zakończeniu połączenia, gdy przez co najmniej kilka minut nie ma ruchu z żadnej strony.
Istnieją ograniczenia dotyczące liczby reguł zabezpieczeń, które można utworzyć w grupie zabezpieczeń sieci. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).
Domyślne reguły zabezpieczeń
Platforma Azure tworzy następujące reguły domyślne w każdej tworzonej grupie zabezpieczeń sieci:
Przychodzący
AllowVNetInBound
| Priorytet | Element źródłowy | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Dowolne | Zezwalaj |
AllowAzureLoadBalancerInBound
| Priorytet | Element źródłowy | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zezwalaj |
DenyAllInbound
| Priorytet | Element źródłowy | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zablokuj |
Wychodzący
AllowVnetOutBound
| Priorytet | Element źródłowy | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Dowolne | Zezwalaj |
AllowInternetOutBound
| Priorytet | Element źródłowy | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Dowolne | Zezwalaj |
DenyAllOutBound
| Priorytet | Element źródłowy | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zablokuj |
W kolumnach Źródło i Obiekt docelowy elementy VirtualNetwork, AzureLoadBalancer i Internet są tagami usługi, a nie adresami IP. W kolumnie protokołu dowolne obejmuje protokół TCP, UDP i ICMP. Podczas tworzenia reguły można określić tcp, UDP, ICMP lub Dowolną. Wartość 0.0.0.0/0 w kolumnach Źródło i Obiekt docelowy reprezentuje wszystkie adresy. Klienci, tacy jak Azure Portal, interfejs wiersza polecenia platformy Azure lub program PowerShell, mogą używać wartości * lub dowolnych dla tego wyrażenia.
Nie można usunąć reguł domyślnych, ale można je zastąpić, tworząc reguły o wyższych priorytetach.
Rozszerzone reguły zabezpieczeń
Rozszerzone reguły zabezpieczeń upraszczają definicję zabezpieczeń dla sieci wirtualnych, umożliwiając definiowanie zasad zabezpieczeń większych i złożonych sieci przy użyciu mniejszej liczby reguł. Można połączyć wiele portów, wiele jawnych adresów IP i zakresów w jedną, łatwo zrozumiałą regułę zabezpieczeń. Rozszerzone reguły stosuje się w polach źródła, obiektu docelowego i portów reguły. Aby uprościć zarządzanie definicją reguły zabezpieczeń, połącz rozszerzone reguły zabezpieczeń z tagami usług lub grupami zabezpieczeń aplikacji. Istnieją ograniczenia liczby adresów, zakresów i portów, które można określić w regule. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).
Tagi usługi
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Pomaga zminimalizować złożoność częstych aktualizacji reguł zabezpieczeń sieci.
Aby uzyskać więcej informacji, zobacz Tagi usługi platformy Azure. Aby zapoznać się z przykładem użycia tagu usługi Storage w celu ograniczenia dostępu do sieci, zobacz Ograniczanie dostępu sieciowego do zasobów PaaS.
Grupy zabezpieczeń aplikacji
Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Aby dowiedzieć się więcej, zobacz Grupy zabezpieczeń aplikacji.
Zagadnienia dotyczące platformy Azure
Wirtualny adres IP węzła hosta: podstawowe usługi infrastruktury, takie jak DHCP, DNS, IMDS i monitorowanie kondycji, są udostępniane za pośrednictwem zwirtualizowanych adresów IP hosta 168.63.129.16 i 169.254.169.254. Te adresy IP należą do firmy Microsoft i są jedynymi zwirtualizowanymi adresami IP używanymi do tego celu we wszystkich regionach. Domyślnie te usługi nie podlegają skonfigurowanym sieciowym grupom zabezpieczeń, chyba że są objęte tagami usług specyficznymi dla każdej usługi. Aby zastąpić tę podstawową komunikację z infrastrukturą, możesz utworzyć regułę zabezpieczeń, która będzie blokować ruch przy użyciu następujących tagów usługi w regułach sieciowej grupy zabezpieczeń: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Dowiedz się, jak diagnozować filtrowanie ruchu sieciowego i diagnozować routing sieciowy.
Licencjonowanie (usługa zarządzania kluczami): obrazy systemu Windows uruchomione na maszynach wirtualnych muszą być licencjonowane. W celu zapewnienia licencjonowania do serwerów hosta usługi zarządzania kluczami zostaje wysłane żądanie licencjonowania, które takie żądania obsługują. Żądanie jest wysyłane za pomocą portu 1688. W przypadku wdrożeń korzystających z konfiguracji default route 0.0.0.0/0 ta reguła platformy zostanie wyłączona.
Maszyny wirtualne w pulach ze zrównoważonym obciążeniem: port źródłowy i zakres adresów stosowane są z komputera źródłowego, nie modułu równoważenia obciążenia. Port docelowy i zakres adresów dotyczą komputera docelowego, a nie modułu równoważenia obciążenia.
Wystąpienia usług platformy Azure: wystąpienia kilku usług platformy Azure, takich jak usługa HDInsight, środowiska usług aplikacji i zestawy skalowania maszyn wirtualnych, są wdrażane w podsieciach sieci wirtualnej. Aby uzyskać pełną listę usług, które można wdrażać w sieciach wirtualnych, zobacz Virtual network for Azure services (Sieć wirtualna dla usług platformy Azure). Przed zastosowaniem sieciowej grupy zabezpieczeń do podsieci zapoznaj się z wymaganiami dotyczącymi portów dla każdej usługi. Jeśli odmówisz portów wymaganych przez usługę, usługa nie będzie działać prawidłowo.
Wysyłanie wychodzącej wiadomości e-mail: firma Microsoft zaleca korzystanie z uwierzytelnionych usług przekazywania SMTP (zwykle połączonych za pośrednictwem portu TCP 587, ale często innych) do wysyłania wiadomości e-mail z usługi Azure Virtual Machines. Usługi przekazywania SMTP specjalizują się w obsłudze reputacji nadawcy, aby ograniczyć możliwość odrzucenia wiadomości e-mail przez zewnętrznych dostawców poczty e-mail. Takie usługi przekazywania SMTP obejmują, ale nie są ograniczone do Exchange Online Protection i SendGrid. Korzystanie z usług przekazywania SMTP nie jest w żaden sposób ograniczone na platformie Azure, niezależnie od typu subskrypcji.
Jeśli subskrypcja platformy Azure została utworzona przed 15 listopada 2017 r., oprócz używania usług przekazywania SMTP można wysłać wiadomości e-mail bezpośrednio za pośrednictwem portu 25 protokołu TCP. Jeśli subskrypcja została utworzona po 15 listopada 2017 r., wysyłanie wiadomości e-mail bezpośrednio przez port 25 może okazać się niemożliwe. Zachowanie komunikacji wychodzącej za pośrednictwem portu 25 zależy od typu Twojej subskrypcji w następujący sposób:
Enterprise Agreement: W przypadku maszyn wirtualnych wdrożonych w standardowych subskrypcjach Enterprise Agreement wychodzące połączenia SMTP na porcie TCP 25 nie będą blokowane. Nie ma jednak gwarancji, że domeny zewnętrzne będą akceptowały przychodzące wiadomości e-mail z maszyn wirtualnych. Jeśli wiadomości e-mail są odrzucane lub filtrowane przez domeny zewnętrzne, skontaktuj się z dostawcami usług poczty e-mail w domenach zewnętrznych, aby rozwiązać problemy. Te problemy nie są objęte pomoc techniczna platformy Azure.
W przypadku subskrypcji enterprise — tworzenie i testowanie port 25 jest domyślnie blokowany. Istnieje możliwość usunięcia tego bloku. Aby zażądać usunięcia bloku, przejdź do sekcji Nie można wysłać wiadomości e-mail (SMTP-Port 25) bloku Diagnozowanie i rozwiązywanie w zasobie usługi Azure Virtual Network w Azure Portal i uruchom diagnostykę. Spowoduje to automatyczne wykluczenie kwalifikowanych subskrypcji tworzenia i testowania dla przedsiębiorstw.
Po wyłączeniu subskrypcji z tego bloku i zatrzymaniu i ponownym uruchomieniu maszyn wirtualnych wszystkie maszyny wirtualne w tej subskrypcji zostaną wykluczone w przyszłości. Wykluczenie dotyczy tylko żądanej subskrypcji i tylko do ruchu maszyny wirtualnej kierowanego bezpośrednio do Internetu.
Płatność zgodnie z rzeczywistym użyciem: komunikacja wychodząca przez port 25 jest zablokowana dla wszystkich zasobów. Nie można wysyłać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.
MSDN, Azure — dostęp próbny, Azure w ramach programu licencjonowania Open, Education, BizSpark i bezpłatna wersja próbna: komunikacja wychodząca przez port 25 jest zablokowana dla wszystkich zasobów. Nie można wysyłać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.
Dostawca usług w chmurze: komunikacja wychodząca na porcie 25 jest zablokowana dla wszystkich zasobów. Nie można wysyłać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.
Następne kroki
- Aby dowiedzieć się, które zasoby platformy Azure można wdrożyć w sieci wirtualnej i skojarzyć z nimi sieciowe grupy zabezpieczeń, zobacz Integracja sieci wirtualnej dla usług platformy Azure
- Aby dowiedzieć się, jak ruch jest oceniany za pomocą sieciowych grup zabezpieczeń, zobacz Jak działają sieciowe grupy zabezpieczeń.
- Jeśli nie masz doświadczenia w tworzeniu grup zabezpieczeń sieci, możesz ukończyć szybki samouczek, aby zyskać pewne doświadczenie w tym zakresie.
- Jeśli znasz grupy zabezpieczeń sieci i chcesz nimi zarządzać, zobacz Manage a network security group (Zarządzanie sieciową grupą zabezpieczeń).
- Jeśli występują problemy z komunikacją i musisz rozwiązać problemy z grupami zabezpieczeń sieci, zobacz Diagnozowanie problemu z filtrowaniem ruchu sieciowego maszyny wirtualnej.
- Dowiedz się, jak włączyć dzienniki przepływu sieciowej grupy zabezpieczeń w celu analizowania ruchu sieciowego do i z zasobów, które mają skojarzona sieciową grupę zabezpieczeń.