Wdrażanie sieciowych grup zabezpieczeń przy użyciu witryny Azure Portal
- 7 min
Sieciowa grupa zabezpieczeń na platformie Azure umożliwia filtrowanie ruchu sieciowego do i z zasobów platformy Azure w sieci wirtualnej platformy Azure.
Charakterystyka sieciowych grup zabezpieczeń
Przyjrzyjmy się cechom sieciowych grup zabezpieczeń.
Sieciowa grupa zabezpieczeń zawiera listę reguł zabezpieczeń, które zezwalają na ruch sieciowy przychodzący lub wychodzący.
Sieciową grupę zabezpieczeń można skojarzyć z podsiecią lub interfejsem sieciowym.
Sieciowa grupa zabezpieczeń może być skojarzona wiele razy.
Utworzysz sieciową grupę zabezpieczeń i zdefiniuj reguły zabezpieczeń w witrynie Azure Portal.
Reguły zabezpieczeń sieciowej grupy zabezpieczeń
Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na ruch przychodzący lub wychodzący lub wychodzący do zasobów platformy Azure. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół. Grupa zabezpieczeń sieci nie zawiera żadnych reguł lub dowolną liczbę reguł zgodnie z potrzebami, w ramach limitów subskrypcji platformy Azure. Każda reguła ma te właściwości.
Platforma Azure definiuje domyślne reguły zabezpieczeń dla ruchu przychodzącego dla sieciowej grupy zabezpieczeń. Te reguły uniemożliwiają cały ruch przychodzący z wyjątkiem ruchu z sieci wirtualnej i modułów równoważenia obciążenia platformy Azure.
Platforma Azure definiuje domyślne reguły zabezpieczeń ruchu wychodzącego dla sieciowej grupy zabezpieczeń. Te reguły zezwalają tylko na ruch wychodzący do Internetu i sieci wirtualnej.
Każda sieciowa grupa zabezpieczeń i jego zdefiniowane reguły zabezpieczeń są oceniane niezależnie. Platforma Azure przetwarza warunki w każdej regule zdefiniowanej dla każdej maszyny wirtualnej w konfiguracji. — Efektywny widok reguł zabezpieczeń to funkcja w usłudze Azure Network Watcher, której można użyć do wyświetlania zagregowanych reguł ruchu przychodzącego i wychodzącego zastosowanych do interfejsu sieciowego. Zapewnia wgląd w reguły zabezpieczeń i administratorów stosowane do interfejsu sieciowego.
W przypadku ruchu przychodzącego platforma Azure najpierw przetwarza reguły zabezpieczeń sieciowej grupy zabezpieczeń dla wszystkich skojarzonych podsieci, a następnie wszystkich skojarzonych interfejsów sieciowych.
W przypadku ruchu wychodzącego proces jest odwracany. Platforma Azure najpierw ocenia reguły zabezpieczeń sieciowej grupy zabezpieczeń dla wszystkich skojarzonych interfejsów sieciowych, a następnie wszystkich skojarzonych podsieci.
Wskazówka
Dowiedz się więcej o sieciowych grupach zabezpieczeń w module Konfigurowanie sieciowych grup zabezpieczeń .