Sieciowe grupy zabezpieczeń
Za pomocą sieciowej grupy zabezpieczeń platformy Azure można filtrować ruch sieciowy między zasobami platformy Azure w sieci wirtualnej platformy Azure. Grupa zabezpieczeń sieci zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół.
W tym artykule opisano właściwości reguły sieciowej grupy zabezpieczeń, domyślne reguły zabezpieczeń, które są stosowane, oraz właściwości reguły, które można zmodyfikować w celu utworzenia rozszerzonej reguły zabezpieczeń.
Reguły zabezpieczeń
Sieciowa grupa zabezpieczeń zawiera dowolną liczbę reguł w ramach limitów subskrypcji platformy Azure. Każda reguła określa następujące właściwości:
Właściwości | Wyjaśnienie |
---|---|
Nazwisko | Unikatowa nazwa w obrębie sieciowej grupy zabezpieczeń. Nazwa może mieć długość maksymalnie 80 znaków. Musi zaczynać się od znaku słowa i musi kończyć się znakiem słowa lub znakiem "_". Nazwa może zawierać znaki wyrazu lub '.', '-', '_'. |
Priorytet | Liczba z zakresu od 100 do 4096. Reguły są przetwarzane w kolejności priorytetów. Im niższy numer, tym wyższy priorytet, więc te o niższych numerach są przetwarzane przed tymi o wyższych numerach. Kiedy ruch jest zgodny z regułą, przetwarzanie zostaje zatrzymane. W związku z tym wszelkie reguły, które istnieją z niższymi priorytetami (wyższe liczby), które mają takie same atrybuty jak reguły o wyższych priorytetach, nie są przetwarzane. Domyślne reguły zabezpieczeń platformy Azure mają najwyższą liczbę z najniższym priorytetem, aby upewnić się, że reguły niestandardowe są zawsze przetwarzane jako pierwsze. |
Obiekt źródłowy lub docelowy | Dowolny lub indywidualny adres IP, blok CIDR (na przykład 10.0.0.0/24), tag usługi lub grupa zabezpieczeń aplikacji. W przypadku określenia adresu dla zasobu platformy Azure należy określić prywatny adres IP przypisany do zasobu. W przypadku ruchu przychodzącego grupy zabezpieczeń sieci są przetwarzane po tym, jak platforma Azure przetłumaczy publiczny adres IP na prywatny adres IP, a w przypadku ruchu wychodzącego — zanim platforma Azure przetłumaczy prywatny adres IP na publiczny adres IP. W przypadku określenia zakresu, tagu usługi lub grupy zabezpieczeń aplikacji wymagana jest mniejsza liczba reguł zabezpieczeń. Możliwość określenia wielu pojedynczych adresów IP i zakresów (nie można określić wielu tagów usługi lub grup aplikacji) w regule jest określana jako rozszerzone reguły zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu adresów IP i zakresów adresów IP w sieciowych grupach zabezpieczeń utworzonych za pomocą klasycznego modelu wdrażania. Jeśli źródło wskazuje podsieć 10.0.1.0/24 (gdzie znajduje się maszyna wirtualna VM1), a miejsce docelowe wskazuje podsieć 10.0.2.0/24 (gdzie znajduje się maszyna wirtualna VM2), oznacza to, że celem sieciowej grupy zabezpieczeń jest filtrowanie ruchu sieciowego dla maszyny wirtualnej VM2, a sieciowa grupa zabezpieczeń jest skojarzona z interfejsem sieciowym vm2. |
Protokół | TCP, UDP, ICMP, ESP, AH lub Dowolny. Protokoły ESP i AH nie są obecnie dostępne za pośrednictwem witryny Azure Portal, ale mogą być używane za pośrednictwem szablonów usługi ARM. |
Kierunek | Określa, czy reguła ma zastosowanie do ruchu przychodzącego, czy wychodzącego. |
Zakres portów | Można określić pojedynczy port lub zakres portów. Na przykład można określić port 80 lub 10000–10005. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager. Nie można określić wielu portów ani zakresów portów w tej samej regule zabezpieczeń w sieciowych grupach zabezpieczeń utworzonych za pomocą klasycznego modelu wdrażania. |
Akcja | Zezwolić czy zabronić? |
Reguły zabezpieczeń są oceniane i stosowane na podstawie pięciu krotki (źródło, port źródłowy, miejsce docelowe, port docelowy i protokół). Nie można utworzyć dwóch reguł zabezpieczeń z tym samym priorytetem i kierunkiem. Rekord przepływu tworzony jest dla istniejących połączeń. Komunikacja jest dozwolona lub zablokowana na podstawie stanu połączenia z rekordu przepływu. Dzięki rekordowi przepływu grupa zabezpieczeń sieci jest stanowa. Jeśli zostanie określona reguła zabezpieczeń dla ruchu wychodzącego do dowolnego adresu za pośrednictwem (na przykład) portu 80, nie trzeba określać żadnej reguły zabezpieczeń ruchu przychodzącego dla odpowiedzi na ruch wychodzący. Należy tylko określić regułę zabezpieczeń dla ruchu przychodzącego w przypadku, jeśli komunikacja jest inicjowana zewnętrznie. Jest to również prawdziwe w odwrotnym przypadku. Jeśli ruch przychodzący jest dozwolony przez port, nie trzeba określać reguły zabezpieczeń dla ruchu wychodzącego, aby odpowiadać na ruch przychodzący przez port.
Istniejące połączenia mogą nie zostać przerwane po usunięciu reguły zabezpieczeń, która zezwoliła na połączenie. Modyfikowanie reguł sieciowej grupy zabezpieczeń będzie miało wpływ tylko na nowe połączenia. Po utworzeniu nowej reguły lub zaktualizowaniu istniejącej reguły w sieciowej grupie zabezpieczeń będzie ona stosowana tylko do nowych połączeń. Istniejące połączenia nie są ponownie oceniane przy użyciu nowych reguł.
Istnieją ograniczenia dotyczące liczby reguł zabezpieczeń, które można utworzyć w grupie zabezpieczeń sieci. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).
Domyślne reguły zabezpieczeń
Platforma Azure tworzy następujące reguły domyślne w każdej tworzonej grupie zabezpieczeń sieci:
Przychodzący
AllowVNetInBound
Priorytet | Źródło | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
---|---|---|---|---|---|---|
65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Dowolne | Zezwalaj |
AllowAzureLoadBalancerInBound
Priorytet | Źródło | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
---|---|---|---|---|---|---|
65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zezwalaj |
DenyAllInbound
Priorytet | Źródło | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
---|---|---|---|---|---|---|
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zablokuj |
Wychodzący
AllowVnetOutBound
Priorytet | Źródło | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
---|---|---|---|---|---|---|
65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Dowolne | Zezwalaj |
AllowInternetOutBound
Priorytet | Źródło | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
---|---|---|---|---|---|---|
65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Dowolne | Zezwalaj |
DenyAllOutBound
Priorytet | Źródło | Porty źródłowe | Element docelowy | Porty docelowe | Protokół | Access |
---|---|---|---|---|---|---|
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Dowolne | Zablokuj |
W kolumnach Źródło i Obiekt docelowy elementy VirtualNetwork, AzureLoadBalancer i Internet są tagami usługi, a nie adresami IP. W kolumnie protokołu wszystkie obejmują protokoły TCP, UDP i ICMP. Podczas tworzenia reguły można określić protokół TCP, UDP, ICMP lub dowolny. Wartość 0.0.0.0/0 w kolumnach Źródło i Obiekt docelowy reprezentuje wszystkie adresy. Klienci, tacy jak witryna Azure Portal, interfejs wiersza polecenia platformy Azure lub program PowerShell, mogą używać wartości * lub dowolnych dla tego wyrażenia.
Nie można usunąć reguł domyślnych, ale można je zastąpić, tworząc reguły o wyższych priorytetach.
Rozszerzone reguły zabezpieczeń
Rozszerzone reguły zabezpieczeń upraszczają definicję zabezpieczeń dla sieci wirtualnych, umożliwiając definiowanie zasad zabezpieczeń większych i złożonych sieci przy użyciu mniejszej liczby reguł. Można połączyć wiele portów, wiele jawnych adresów IP i zakresów w jedną, łatwo zrozumiałą regułę zabezpieczeń. Rozszerzone reguły stosuje się w polach źródła, obiektu docelowego i portów reguły. Aby uprościć zarządzanie definicją reguły zabezpieczeń, połącz rozszerzone reguły zabezpieczeń z tagami usług lub grupami zabezpieczeń aplikacji. Istnieją ograniczenia dotyczące liczby adresów, zakresów i portów, które można określić w regule. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).
Tagi usługi
Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure. Pomaga zminimalizować złożoność częstych aktualizacji reguł zabezpieczeń sieci.
Aby uzyskać więcej informacji, zobacz Tagi usługi platformy Azure. Aby zapoznać się z przykładem użycia tagu usługi Storage w celu ograniczenia dostępu do sieci, zobacz Ograniczanie dostępu sieciowego do zasobów PaaS.
Grupy zabezpieczeń aplikacji
Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Aby dowiedzieć się więcej, zobacz Grupy zabezpieczeń aplikacji.
Zagadnienia dotyczące platformy Azure
Wirtualny adres IP węzła hosta: podstawowe usługi infrastruktury, takie jak DHCP, DNS, IMDS i monitorowanie kondycji są udostępniane za pośrednictwem zwirtualizowanych adresów IP hosta 168.63.129.16 i 169.254.169.254. Te adresy IP należą do firmy Microsoft i są jedynymi zwirtualizowanymi adresami IP używanymi do tego celu we wszystkich regionach. Domyślnie te usługi nie podlegają skonfigurowanym grupom zabezpieczeń sieci, chyba że są objęte tagami usług specyficznymi dla każdej usługi. Aby zastąpić tę podstawową komunikację z infrastrukturą, możesz utworzyć regułę zabezpieczeń w celu odmowy ruchu przy użyciu następujących tagów usługi w regułach sieciowej grupy zabezpieczeń: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Dowiedz się, jak diagnozować filtrowanie ruchu sieciowego i diagnozować routing sieciowy.
Licencjonowanie (usługa zarządzania kluczami): obrazy systemu Windows uruchomione na maszynach wirtualnych muszą być licencjonowane. W celu zapewnienia licencjonowania do serwerów hosta usługi zarządzania kluczami zostaje wysłane żądanie licencjonowania, które takie żądania obsługują. Żądanie jest wysyłane za pomocą portu 1688. W przypadku wdrożeń korzystających z konfiguracji default route 0.0.0.0/0 ta reguła platformy zostanie wyłączona.
Maszyny wirtualne w pulach ze zrównoważonym obciążeniem: port źródłowy i zakres adresów stosowane są z komputera źródłowego, nie modułu równoważenia obciążenia. Port docelowy i zakres adresów dotyczą komputera docelowego, a nie modułu równoważenia obciążenia.
Wystąpienia usług platformy Azure: wystąpienia kilku usług platformy Azure, takich jak usługa HDInsight, środowiska usług aplikacji i zestawy skalowania maszyn wirtualnych, są wdrażane w podsieciach sieci wirtualnej. Aby uzyskać pełną listę usług, które można wdrażać w sieciach wirtualnych, zobacz Virtual network for Azure services (Sieć wirtualna dla usług platformy Azure). Przed zastosowaniem sieciowej grupy zabezpieczeń do podsieci zapoznaj się z wymaganiami dotyczącymi portów dla każdej usługi. Jeśli odmówisz portów wymaganych przez usługę, usługa nie będzie działać prawidłowo.
Wysyłanie wychodzących wiadomości e-mail: firma Microsoft zaleca używanie usług uwierzytelnionego przekazywania SMTP (zwykle połączonych za pośrednictwem portu 587 protokołu TCP, ale często również innych portów) do wysyłania wiadomości e-mail z usługi Azure Virtual Machines. Usługi przekazywania SMTP specjalizują się w obsłudze reputacji nadawcy, aby ograniczyć możliwość odrzucenia wiadomości e-mail przez zewnętrznych dostawców poczty e-mail. Takie usługi przekazywania SMTP obejmują, ale nie są ograniczone do usługi Exchange Online Protection i SendGrid. Korzystanie z usług przekazywania SMTP nie jest w żaden sposób ograniczone na platformie Azure, niezależnie od typu subskrypcji.
Jeśli subskrypcja platformy Azure została utworzona przed 15 listopada 2017 r., oprócz używania usług przekazywania SMTP można wysłać wiadomości e-mail bezpośrednio za pośrednictwem portu 25 protokołu TCP. Jeśli subskrypcja została utworzona po 15 listopada 2017 r., wysyłanie wiadomości e-mail bezpośrednio przez port 25 może okazać się niemożliwe. Zachowanie komunikacji wychodzącej za pośrednictwem portu 25 zależy od typu Twojej subskrypcji w następujący sposób:
Umowa Enterprise: W przypadku maszyn wirtualnych wdrożonych w standardowych subskrypcjach Umowa Enterprise wychodzące połączenia SMTP na porcie TCP 25 nie będą blokowane. Nie ma jednak gwarancji, że domeny zewnętrzne będą akceptować przychodzące wiadomości e-mail z maszyn wirtualnych. Jeśli twoje wiadomości e-mail są odrzucane lub filtrowane przez domeny zewnętrzne, skontaktuj się z dostawcami usług poczty e-mail domen zewnętrznych, aby rozwiązać problemy. Te problemy nie są objęte pomoc techniczna platformy Azure.
W przypadku subskrypcji Enterprise — tworzenie i testowanie port 25 jest domyślnie blokowany. Ten blok można usunąć. Aby zażądać usunięcia bloku, przejdź do sekcji Nie można wysłać wiadomości e-mail (SMTP-Port 25) na stronie Diagnozowanie i rozwiązywanie problemów dla zasobu usługi Azure Virtual Network w witrynie Azure Portal i uruchom diagnostykę. Spowoduje to automatyczne wykluczenie kwalifikowanych subskrypcji tworzenia i testowania przedsiębiorstwa.
Po wyłączeniu subskrypcji z tego bloku i zatrzymaniu i ponownym uruchomieniu maszyn wirtualnych wszystkie maszyny wirtualne w tej subskrypcji będą wykluczone w przyszłości. Wykluczenie dotyczy tylko żądanej subskrypcji i tylko do ruchu maszyny wirtualnej kierowanego bezpośrednio do Internetu.
Płatność zgodnie z rzeczywistym użyciem: komunikacja wychodząca przez port 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.
MSDN, Azure — dostęp próbny, Azure w wersji Open, Education i Bezpłatna wersja próbna: komunikacja wychodząca na porcie 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.
Dostawca usług w chmurze: komunikacja wychodząca na porcie 25 jest zablokowana dla wszystkich zasobów. Nie można składać żadnych żądań usunięcia ograniczenia, ponieważ żądania nie są przyznawane. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.
Następne kroki
- Aby dowiedzieć się, które zasoby platformy Azure można wdrożyć w sieci wirtualnej i skojarzyć z nimi sieciowe grupy zabezpieczeń, zobacz Integracja sieci wirtualnej dla usług platformy Azure
- Aby dowiedzieć się, jak ruch jest oceniany za pomocą sieciowych grup zabezpieczeń, zobacz Jak działają sieciowe grupy zabezpieczeń.
- Jeśli nie masz doświadczenia w tworzeniu grup zabezpieczeń sieci, możesz ukończyć szybki samouczek, aby zyskać pewne doświadczenie w tym zakresie.
- Jeśli znasz grupy zabezpieczeń sieci i chcesz nimi zarządzać, zobacz Manage a network security group (Zarządzanie sieciową grupą zabezpieczeń).
- Jeśli występują problemy z komunikacją i musisz rozwiązać problemy z grupami zabezpieczeń sieci, zobacz Diagnozowanie problemu z filtrowaniem ruchu sieciowego maszyny wirtualnej.
- Dowiedz się, jak włączyć dzienniki przepływu sieciowej grupy zabezpieczeń w celu analizowania ruchu sieciowego do i z zasobów, które mają skojarzona sieciowa grupa zabezpieczeń.