Udostępnij za pośrednictwem


Sieciowe grupy zabezpieczeń

Sieciową grupę zabezpieczeń platformy Azure można użyć do filtrowania ruchu sieciowego między zasobami platformy Azure w sieciach wirtualnych platformy Azure. Grupa zabezpieczeń sieci zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure.

W tym artykule wyjaśniono właściwości reguły sieciowej grupy zabezpieczeń i domyślne reguły zabezpieczeń stosowane przez platformę Azure. W tym artykule opisano również sposób modyfikowania właściwości reguły w celu utworzenia rozszerzonej reguły zabezpieczeń.

Reguły zabezpieczeń

Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń sieci zgodnie z potrzebami w ramach limitów subskrypcji platformy Azure. Każda reguła określa następujące właściwości:

Własność Wyjaśnienie
Nazwisko Unikalna nazwa w sieciowej grupie zabezpieczeń. Nazwa może mieć długość maksymalnie 80 znaków. Musi zaczynać się od znaku słowa i musi kończyć się znakiem słowa lub znakiem _. Nazwa może zawierać znaki wyrazów, ., -lub \_.
Priorytet Liczba z zakresu od 100 do 4096. Reguły są przetwarzane w kolejności priorytetu, z niższymi liczbami przetworzonymi przed wyższymi liczbami, ponieważ niższe liczby mają wyższy priorytet. Kiedy ruch jest zgodny z regułą, przetwarzanie zostaje zatrzymane. W związku z tym wszelkie reguły, które istnieją z niższymi priorytetami (wyższe liczby), które mają takie same atrybuty jak reguły o wyższych priorytetach, nie są przetwarzane.
Domyślne reguły zabezpieczeń platformy Azure mają najniższy priorytet (najwyższy numer), aby upewnić się, że reguły niestandardowe są zawsze przetwarzane jako pierwsze.
Obiekt źródłowy lub docelowy Można określić dowolny, indywidualny adres IP, blok CIDR (na przykład 10.0.0.0/24), tag usługi lub grupę zabezpieczeń aplikacji. Aby określić konkretny zasób platformy Azure, użyj prywatnego adresu IP przypisanego do zasobu. W przypadku ruchu przychodzącego sieciowe grupy zabezpieczeń przetwarzają ruch po tym, jak platforma Azure tłumaczy publiczne adresy IP na prywatne adresy IP. W przypadku ruchu wychodzącego sieciowe grupy zabezpieczeń przetwarzają ruch przed tłumaczeniem prywatnych adresów IP na publiczne adresy IP.
Wprowadź zakres, tag usługi lub grupę zabezpieczeń aplikacji, aby zmniejszyć liczbę wymaganych reguł zabezpieczeń. Rozszerzone reguły zabezpieczeń umożliwiają określanie wielu pojedynczych adresów IP i zakresów w jednej regule. Nie można jednak określić wielu tagów usługi ani grup aplikacji w jednej regule. Rozszerzone reguły zabezpieczeń są dostępne tylko w sieciowych grupach zabezpieczeń utworzonych za pomocą modelu wdrażania usługi Resource Manager. W klasycznym modelu wdrażania nie można określić wielu adresów IP i zakresów w jednej regule.
Jeśli na przykład źródłem jest podsieć 10.0.1.0/24 (gdzie znajduje się maszyna wirtualna VM1), a lokalizacja docelowa to podsieć 10.0.2.0/24 (gdzie znajduje się maszyna wirtualna VM2), sieciowa grupa zabezpieczeń filtruje ruch dla maszyny wirtualnej VM2. To zachowanie występuje, ponieważ sieciowa grupa zabezpieczeń jest skojarzona z interfejsem sieciowym maszyny wirtualnej VM2.
Protokół TCP, UDP, ICMP, ESP, AH lub Dowolny. Protokoły ESP i AH nie są obecnie dostępne za pośrednictwem witryny Azure Portal, ale mogą być używane za pośrednictwem szablonów usługi ARM.
Kierunek Określa, czy reguła ma zastosowanie do ruchu przychodzącego, czy wychodzącego.
Zakres portów Można określić pojedynczy port lub zakresy portów. Można na przykład określić 80 lub 10000-10005; lub dla kombinacji poszczególnych portów i zakresów, można je oddzielić przecinkami, takimi jak 80, 10000-10005. Określanie zakresów i separacji przecinków umożliwia tworzenie mniejszej liczby reguł zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu portów ani zakresów portów w tej samej regule zabezpieczeń w sieciowych grupach zabezpieczeń utworzonych za pomocą klasycznego modelu wdrażania.
Akcja Zezwalaj na określony ruch lub odmawiaj go.

Reguły zabezpieczeń są oceniane i stosowane na podstawie pięciokrotki zawierającej informacje o źródle, porcie źródłowym, miejscu docelowym, porcie docelowym i protokole. Nie można utworzyć dwóch reguł zabezpieczeń z tym samym priorytetem i kierunkiem, co może powodować konflikt w sposobie przetwarzania ruchu przez system. Rekord przepływu tworzony jest dla istniejących połączeń. Komunikacja jest dozwolona lub zablokowana na podstawie stanu połączenia z rekordu przepływu. Dzięki rekordowi przepływu grupa zabezpieczeń sieci może być stanowa. Jeśli zostanie określona reguła zabezpieczeń dla ruchu wychodzącego do dowolnego adresu za pośrednictwem (na przykład) portu 80, nie trzeba określać żadnej reguły zabezpieczeń ruchu przychodzącego dla odpowiedzi na ruch wychodzący. Należy tylko określić regułę zabezpieczeń dla ruchu przychodzącego w przypadku, jeśli komunikacja jest inicjowana zewnętrznie. Odwrotnie jest również prawdą, jeśli ruch przychodzący jest dozwolony za pośrednictwem portu, nie jest konieczne określenie reguły zabezpieczeń ruchu wychodzącego w celu reagowania na ruch przez port.

Po usunięciu reguły zabezpieczeń, która zezwalała na połączenie, istniejące połączenia pozostają nieprzerwane. Reguły sieciowej grupy zabezpieczeń mają wpływ tylko na nowe połączenia. Nowe lub zaktualizowane reguły w sieciowej grupie zabezpieczeń mają zastosowanie wyłącznie do nowych połączeń, pozostawiając istniejące połączenia bez wpływu na zmiany. Jeśli na przykład masz aktywną sesję SSH na maszynie wirtualnej, a następnie usuń regułę zabezpieczeń zezwalającą na ruch SSH, bieżąca sesja SSH pozostanie połączona i funkcjonalna. Jeśli jednak spróbujesz ustanowić nowe połączenie SSH po usunięciu reguły zabezpieczeń, nowa próba połączenia zostanie zablokowana.

Istnieją ograniczenia dotyczące liczby reguł zabezpieczeń, które można utworzyć w sieciowej grupie zabezpieczeń i innych właściwości sieciowej grupy zabezpieczeń. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).

Domyślne reguły zabezpieczeń

Platforma Azure tworzy następujące reguły domyślne w każdej tworzonej grupie zabezpieczeń sieci:

Przychodzący

AllowVNetInBound (Zezwól na przychodzące połączenia VNet)
Priorytet Źródło Porty źródłowe Miejsce docelowe Porty docelowe Protokół Dostęp
65000 Sieć wirtualna 0-65535 Sieć wirtualna 0-65535 Dowolne Zezwolić
AllowAzureLoadBalancerInBound
Priorytet Źródło Porty źródłowe Miejsce docelowe Porty docelowe Protokół Dostęp
65001 AzureLoadBalancer (równoważnik obciążenia) 0-65535 0.0.0.0/0 0-65535 Dowolne Zezwolić
DenyAllInbound
Priorytet Źródło Porty źródłowe Miejsce docelowe Porty docelowe Protokół Dostęp
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Dowolne Odmów

Wychodzący

AllowVnetOutBound
Priorytet Źródło Porty źródłowe Miejsce docelowe Porty docelowe Protokół Dostęp
65000 Sieć wirtualna 0-65535 Sieć wirtualna 0-65535 Dowolne Zezwolić
Zezwól na wychodzący ruch internetowy
Priorytet Źródło Porty źródłowe Miejsce docelowe Porty docelowe Protokół Dostęp
65001 0.0.0.0/0 0-65535 Internet 0-65535 Dowolne Zezwolić
DenyAllOutBound
Priorytet Źródło Porty źródłowe Miejsce docelowe Porty docelowe Protokół Dostęp
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Dowolne Odmów

W kolumnach Źródło i Miejsce docelowe, VirtualNetwork, AzureLoadBalancer i Internettagami usług, a nie adresami IP. W kolumnie Protocol (Protokół)dowolny obejmuje protokoły TCP, UDP i ICMP. Podczas tworzenia reguły można określić tcp, UDP, ICMP lub dowolną. 0.0.0.0/0 w kolumnach Źródło i Miejsce docelowe reprezentuje wszystkie adresy IP. Klienci, tacy jak Azure portal, Azure CLI lub program PowerShell, mogą używać wartości * lub Any dla tego wyrażenia.

Nie można usunąć reguł domyślnych, ale można je zastąpić, tworząc reguły o wyższych priorytetach.

Rozszerzone reguły zabezpieczeń

Rozszerzone reguły zabezpieczeń upraszczają definicję zabezpieczeń sieci wirtualnych, umożliwiając definiowanie większych i złożonych zasad zabezpieczeń sieci przy mniejszej liczbie reguł. Można połączyć wiele portów, wiele jawnych adresów IP i zakresów w jedną, łatwo zrozumiałą regułę zabezpieczeń. Stosuj rozszerzone reguły w polach źródła, celu i portu reguły. Aby uprościć zarządzanie definicją reguły zabezpieczeń, połącz rozszerzone reguły zabezpieczeń z tagami usług lub grupami zabezpieczeń aplikacji. Istnieją ograniczenia dotyczące liczby adresów, zakresów i portów, które można określić w regule zabezpieczeń. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).

Tagi usługi

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Pomaga zminimalizować złożoność częstych aktualizacji reguł zabezpieczeń sieci.

Aby uzyskać więcej informacji, zobacz Tagi usługi platformy Azure. Aby zapoznać się z przykładem użycia tagu usługi Storage w celu ograniczenia dostępu do sieci, zobacz Ograniczanie dostępu sieciowego do zasobów PaaS.

Grupy zabezpieczeń aplikacji

Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Aby dowiedzieć się więcej, zobacz Grupy zabezpieczeń aplikacji.

Reguły administratora zabezpieczeń

Reguły administratora zabezpieczeń to globalne reguły zabezpieczeń sieci, które wymuszają zasady zabezpieczeń w sieciach wirtualnych. Reguły administratora zabezpieczeń pochodzą z usługi Azure Virtual Network Manager, usługi zarządzania, która umożliwia administratorom sieci grupowanie, konfigurowanie, wdrażanie i zarządzanie sieciami wirtualnymi globalnie w ramach subskrypcji.

Reguły administratora zabezpieczeń zawsze mają wyższy priorytet niż reguły sieciowej grupy zabezpieczeń, a tym samym są oceniane jako pierwsze. Reguły administratora zabezpieczeń "Zezwalaj" będą nadal oceniane przez dopasowanie do reguł sieciowej grupy zabezpieczeń. Reguły administratora zabezpieczeń "Zawsze zezwalaj" i "Odmów" zakończą jednak ocenę ruchu po ich przetworzeniu. Reguły administratora zabezpieczeń "Zawsze zezwalaj" wysyłają ruch bezpośrednio do zasobu, pomijając reguły grupy zabezpieczeń sieciowych, które mogą powodować konflikty. Reguły administratora zabezpieczeń "Odmów" blokują ruch, nie dostarczając go do miejsca docelowego, wymuszając bazowe zasady zabezpieczeń bez ryzyka konfliktu z grupą zabezpieczeń sieci, błędnej konfiguracji lub powstawania luk w zabezpieczeniach. Te typy akcji reguł administratora zabezpieczeń mogą być przydatne do egzekwowania przekazywania ruchu i zapobiegania konfliktom lub niezamierzonemu zachowaniu przez reguły podrzędne grupy zabezpieczeń sieciowych.

To zachowanie jest ważne, ponieważ ruch zgodny z regułami administratora zabezpieczeń o typie akcji "Zawsze zezwalaj" lub "Odmów" nie będzie podlegać regułom sieciowej grupy zabezpieczeń do dalszej oceny. Aby dowiedzieć się więcej, zobacz Reguły administratora zabezpieczeń.

Limit czasu przepływu

Ważne

30 września 2027 r. dzienniki przepływów Network Security Group (NSG) przestaną być wykorzystywane. W ramach tego zaprzestania nie będzie można już tworzyć nowych dzienników przepływów NSG po 30 czerwca 2025 r. Zalecamy migrację do dzienników przepływów sieci wirtualnej, które pozwalają wyeliminować ograniczenia dzienników przepływów NSG. Po dacie wycofania analiza ruchu wykorzystująca dzienniki przepływów NSG nie będzie już obsługiwana, a istniejące zasoby dzienników przepływów NSG w Twoich subskrypcjach zostaną usunięte. Jednak zapisy dzienników przepływu NSG nie zostaną usunięte i będą nadal kontynuować przestrzeganie ich odpowiednich zasad przechowywania. Więcej informacji znajdziesz w oficjalnym ogłoszeniu.

Ustawienia limitu czasu przepływu określają, jak długo rekord przepływu pozostaje aktywny przed wygaśnięciem. To ustawienie można skonfigurować przy użyciu witryny Azure Portal lub wiersza polecenia. Aby uzyskać więcej informacji, zobacz Omówienie dzienników przepływu sieciowej grupy zabezpieczeń.

Zagadnienia dotyczące platformy Azure

  • Wirtualny adres IP węzła hosta: podstawowe usługi infrastruktury, takie jak DHCP, DNS, IMDS i monitorowanie kondycji są udostępniane za pośrednictwem zwirtualizowanych adresów IP hosta 168.63.129.16 i 169.254.169.254. Te adresy IP należą do firmy Microsoft i są jedynymi zwirtualizowanymi adresami IP używanymi do tego celu we wszystkich regionach. Domyślnie te usługi nie podlegają skonfigurowanym grupom zabezpieczeń sieci, chyba że są objęte tagami usług specyficznymi dla każdej usługi. Aby zastąpić tę podstawową komunikację z infrastrukturą, możesz utworzyć regułę zabezpieczeń w celu odmowy ruchu przy użyciu następujących tagów usługi w regułach sieciowej grupy zabezpieczeń: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Dowiedz się, jak diagnozować filtrowanie ruchu sieciowego i diagnozować routing sieciowy.

  • Licencjonowanie (usługa zarządzania kluczami): obrazy systemu Windows uruchomione na maszynach wirtualnych muszą być licencjonowane. Aby zapewnić licencjonowanie, system wysyła żądanie do serwerów hosta usługi zarządzania kluczami, które obsługują takie zapytania. Żądanie jest wysyłane za pomocą portu 1688. W przypadku wdrożeń korzystających z domyślnej konfiguracji trasy 0.0.0.0/0 ta reguła platformy jest wyłączona.

  • Maszyny wirtualne w pulach ze zrównoważonym obciążeniem: port źródłowy i zakres adresów stosowane pochodzą z komputera źródłowego, nie z modułu równoważenia obciążenia. Port docelowy i zakres adresów dotyczą komputera docelowego, a nie modułu równoważenia obciążenia.

  • Wystąpienia usług platformy Azure: Instancje kilku usług platformy Azure, takich jak HDInsight, Środowiska usług aplikacji i zestawy skalowania maszyn wirtualnych, są wdrażane w podsieciach sieci wirtualnych. Zobacz pełną listę usług, które można wdrożyć w sieciach wirtualnych. Przed zastosowaniem sieciowej grupy zabezpieczeń do podsieci zapoznaj się z wymaganiami dotyczącymi portów dla każdej usługi. Jeśli odmawiasz portów wymaganych przez usługę, usługa nie działa prawidłowo.

  • Wysyłanie wychodzących wiadomości e-mail: firma Microsoft zaleca używanie usług uwierzytelnionego przekazywania SMTP (zwykle połączonych za pośrednictwem portu 587 protokołu TCP, ale często również innych portów) do wysyłania wiadomości e-mail z usługi Azure Virtual Machines. Usługi przekazywania SMTP specjalizują się w reputacji nadawcy, aby zminimalizować możliwość odrzucenia wiadomości przez dostawców poczty e-mail partnera. Takie usługi przekazywania SMTP obejmują, ale nie są ograniczone do usługi Exchange Online Protection i SendGrid. Korzystanie z usług przekazywania SMTP nie jest w żaden sposób ograniczone na platformie Azure, niezależnie od typu subskrypcji.

    Jeśli subskrypcja platformy Azure została utworzona przed 15 listopada 2017 r., oprócz możliwości korzystania z usług przekazywania SMTP, możesz wysyłać pocztę e-mail bezpośrednio za pośrednictwem portu TCP 25. Jeśli subskrypcja została utworzona po 15 listopada 2017 r., wysyłanie wiadomości e-mail bezpośrednio za pośrednictwem portu 25 może nie być możliwe. Zachowanie komunikacji wychodzącej za pośrednictwem portu 25 zależy od typu Twojej subskrypcji w następujący sposób:

    • Enterprise Agreement: w przypadku maszyn wirtualnych wdrożonych w standardowych subskrypcjach umowy Enterprise Agreement połączenia wychodzące SMTP na porcie TCP 25 nie są blokowane. Nie ma jednak gwarancji, że domeny zewnętrzne akceptują przychodzące wiadomości e-mail z maszyn wirtualnych. Jeśli domeny zewnętrzne odrzucają lub filtrują wiadomości e-mail, skontaktuj się z dostawcami usług poczty e-mail domen zewnętrznych, aby rozwiązać problemy. Te problemy nie są objęte pomocą techniczną platformy Azure.

      W przypadku subskrypcji Enterprise Dev/Test port 25 jest domyślnie blokowany. Tę blokadę można usunąć. Aby zażądać usunięcia bloku, przejdź do sekcji Nie można wysłać wiadomości e-mail (SMTP-Port 25) na stronie Diagnozowanie i rozwiązywanie problemów dla zasobu usługi Azure Virtual Network w witrynie Azure Portal i uruchom diagnostykę. Ta procedura automatycznie zwalnia kwalifikowane subskrypcje przedsiębiorstwa na potrzeby deweloperskie i testowe.

      Po wyłączeniu blokady dla subskrypcji oraz zatrzymaniu i ponownym uruchomieniu maszyn wirtualnych wszystkie maszyny wirtualne w tej subskrypcji będą w przyszłości wyłączone z blokady. Wykluczenie dotyczy tylko żądanej subskrypcji i tylko do ruchu maszyny wirtualnej, który kieruje bezpośrednio do Internetu.

    • Płatność w miarę użycia: komunikacja wychodząca przez port 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.

    • MSDN, Azure — dostęp próbny, Azure w wersji Open, Education i Bezpłatna wersja próbna: komunikacja wychodząca na porcie 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.

    • Dostawca usług w chmurze: komunikacja wychodząca na porcie 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.

Następne kroki