Настройка групп безопасности сети с помощью Windows Admin Center

Область применения: Azure Stack HCI версий 23H2 и 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

В этом разделе содержатся пошаговые инструкции по использованию Windows Admin Center для создания и настройки групп безопасности сети (NSG) для управления потоком трафика данных с помощью брандмауэра центра обработки данных. Он также содержит инструкции по управлению группами безопасности сети в виртуальных и логических сетях программно-определяемой сети (SDN). Брандмауэр центра обработки данных можно включить и настроить, создав группы безопасности сети и применив их к подсети или сетевому интерфейсу. Дополнительные сведения см. в статье Что такое брандмауэр центра обработки данных? Сведения об использовании сценариев PowerShell для этого см. в статье Настройка групп безопасности сети с помощью PowerShell.

Перед настройкой групп безопасности сети необходимо развернуть сетевой контроллер. Дополнительные сведения о сетевом контроллере см. в статье Что такое сетевой контроллер? Сведения о развертывании сетевого контроллера с помощью скриптов PowerShell см. в статье Развертывание инфраструктуры SDN.

Кроме того, если вы хотите применить группы безопасности сети к логической сети SDN, необходимо сначала создать логическую сеть. Аналогичным образом, если вы хотите применить группы безопасности сети к виртуальной сети SDN, необходимо сначала создать виртуальную сеть. Дополнительные сведения см. на следующих ресурсах:

• Управление виртуальными сетями клиентов
• Управление логическими сетями клиента

Создайте группу безопасности сети

Группу безопасности сети можно создать в Windows Admin Center.

1. На начальном экране Windows Admin Center в разделе Все подключения выберите кластер, в который нужно создать группу безопасности сети.

2. В разделе Сервис прокрутите вниз до области Сеть и выберите Группы безопасности сети.

3. В разделе Группы безопасности сети выберите вкладку Инвентаризация , а затем нажмите кнопку Создать.

4. В области Группа безопасности сети введите имя группы безопасности сети и нажмите кнопку Отправить.

   

5. В разделе Группы безопасности сети убедитесь, что для состояния подготовки новой группы безопасности сети отображается значение Выполнено.

Создание правил группы безопасности сети

После создания группы безопасности сети можно приступать к созданию правил групп безопасности сети. Если вы хотите применить правила группы безопасности сети к входящего и исходящему трафику, необходимо создать два правила.

1. На начальном экране Windows Admin Center в разделе Все подключения выберите кластер, в который нужно создать группу безопасности сети.

2. В разделе Сервис прокрутите вниз до области Сеть и выберите Группы безопасности сети.

3. В разделе Группы безопасности сети выберите вкладку Инвентаризация , а затем выберите только что созданную группу безопасности сети.

4. В разделе Правило безопасности сети выберите Создать.

   

5. В области Правила безопасности сети укажите следующие сведения:

   1. Имя правила.
   2. Приоритет правила — допустимые значения: от 101 до 65 000. Более низкое значение обозначает более высокий приоритет.
   3. Типы — это могут быть входящие или исходящие.
   4. Протокол — укажите протокол, соответствующий входящему или исходящему пакету. Допустимые значения: All, TCP и UDP.
   5. Префикс исходного адреса — укажите префикс исходного адреса, соответствующий входящему или исходящему пакету. Если указать *, это означает все исходные адреса.
   6. Исходный диапазон портов — укажите диапазон исходных портов, соответствующий входящему или исходящему пакету. Если указать *, это означает все исходные порты.
   7. Префикс адреса назначения — укажите префикс адреса назначения, соответствующий входящему или исходящему пакету. Если вы указываете *, это означает, что все адреса назначения.
   8. Диапазон портов назначения — укажите диапазон портов назначения, соответствующий входящему или исходящему пакету. Если указать *, это означает все порты назначения.
   9. Действия — если указанные выше условия соответствуют, укажите разрешение или блокировку пакета. Допустимые значения: Allow и Deny.
   10. Ведение журнала — укажите, чтобы включить или отключить ведение журнала для правила. Если ведение журнала включено, весь трафик, соответствующий этому правилу, регистрируется на ведущих компьютерах.

6. Нажмите кнопку Submit (Отправить).

Применение группы безопасности сети к виртуальной сети

После создания группы безопасности сети и правил для нее необходимо применить группу безопасности сети либо к подсети виртуальной сети, либо к логической подсети сети, либо к сетевому интерфейсу.

1. В разделе Сервис прокрутите вниз до области Сеть и выберите Виртуальные сети.

2. Перейдите на вкладку Инвентаризация , а затем выберите виртуальную сеть. На следующей странице выберите подсеть виртуальной сети, а затем выберите Параметры.

   

3. Выберите группу безопасности сети в раскрывающемся списке и нажмите кнопку Отправить.

   При выполнении последнего шага группа безопасности сети связывается с подсетью виртуальной сети и применяется ко всем компьютерам, подключенным к подсети виртуальной сети.

Применение группы безопасности сети к логической сети

Группу безопасности сети можно применить к логической подсети сети.

1. В разделе Сервис прокрутите вниз до области Сеть и выберите Логические сети.

2. Перейдите на вкладку Инвентаризация , а затем выберите логическую сеть. На следующей странице выберите логическую подсеть, а затем выберите Параметры.

3. Выберите группу безопасности сети в раскрывающемся списке и нажмите кнопку Добавить.

   При выполнении последнего шага группа безопасности сети связывается с подсетью логической сети и применяется ко всем компьютерам, подключенным к подсети логической сети.

Применение группы безопасности сети к сетевому интерфейсу

Группу безопасности сети можно применить к сетевому интерфейсу при создании виртуальной машины или более поздней версии.

1. В разделе Сервис прокрутите вниз до области Сеть и выберите Виртуальные машины.

2. Перейдите на вкладку Инвентаризация , выберите виртуальную машину, а затем выберите Параметры.

3. На странице Параметры выберите Сети.

4. Прокрутите вниз до пункта Группа безопасности сети, разверните раскрывающийся список, выберите группу безопасности сети и выберите Сохранить параметры сети.

   

   При выполнении последнего шага группа безопасности сети связывается с сетевым интерфейсом и применяется ко всему входящего и исходящего трафика для сетевого интерфейса.

Получение списка групп безопасности сети

Вы можете легко просмотреть все группы безопасности сети в кластере в списке.

1. На начальном экране Windows Admin Center в разделе Все подключения выберите кластер, в который вы хотите просмотреть список групп безопасности сети.
2. В разделе Сервис прокрутите вниз до области Сеть и выберите Группы безопасности сети.
3. На вкладке Инвентаризация отображается список групп безопасности сети, доступных в кластере, и предоставляются команды, которые можно использовать для управления отдельными группами безопасности сети в списке. Вы можете:

   • Просмотрите список групп безопасности сети.

   • Просмотрите количество правил для каждой группы безопасности сети, а также количество примененных подсетей и сетевых карт, примененных к каждой группе безопасности сети.

   • Просмотрите состояние подготовки каждой группы безопасности сети (Успешно, Сбой).

   • Удаление группы безопасности сети.

   • Если выбрать группу безопасности сети в списке, можно просмотреть ее правила. Затем можно добавить, удалить или изменить параметры правил группы безопасности сети.

     

Удаление группы безопасности сети

Вы можете удалить группу безопасности сети, если она больше не нужна.

Примечание

После удаления группы безопасности сети из списка групп безопасности сети убедитесь, что она не связана ни с подсетью, ни с сетевым интерфейсом.

1. В разделе Сервис прокрутите вниз до области Сеть и выберите Группы безопасности сети.

2. Перейдите на вкладку Инвентаризация , выберите группу безопасности сети в списке и нажмите кнопку Удалить.

3. В окне Подтверждения удаления выберите Да.

   

4. Рядом с полем поиска выберите Обновить , чтобы убедиться, что группа безопасности сети удалена.

Дальнейшие действия

Дополнительные сведения см. также в следующих разделах:

• Программно-определяемая есть (SDN) в Azure Stack HCI и Windows Server