Настройка групп безопасности сети с тегами в Windows Admin Center

Область применения: Azure Local 2311.2 и более поздних версий

Область применения: Windows Server 2025

В этой статье описывается настройка групп безопасности сети с тегами безопасности сети в Windows Admin Center.

С помощью тегов безопасности сети можно создавать пользовательские пользовательские теги, присоединять эти теги к сетевым интерфейсам виртуальной машины и применять политики доступа к сети (с группами безопасности сети) на основе этих тегов.

Основные требования

Выполните следующие предварительные требования для использования групп безопасности сети с тегами:

• В вашей системе установлена операционная система Azure Stack HCI версии 22H2 или более поздней. Дополнительные сведения см. в статье об установке операционной системы Azure Stack HCI версии 23H2.

• У вас установлен сетевой контроллер. Сетевой контроллер применяет политики сети по умолчанию. Дополнительные сведения см. в разделе "Установка сетевого контроллера".

• У вас есть логическая сеть или виртуальная сеть. Дополнительные сведения см. в статье о создании логической сети или создании виртуальной сети.

• Вам необходимо применить группу безопасности сети к виртуальной машине. Дополнительные сведения см. в статье "Управление виртуальными машинами с помощью Центра администрирования Windows".

• У вас есть разрешения администратора или эквивалентные для узлов кластера и сетевого контроллера.

• У вас есть Windows Server 2025 или более поздней версии. Дополнительные сведения см. в статье "Начало работы с Windows Server".

• У вас установлен сетевой контроллер. Дополнительные сведения см. в статье о развертывании инфраструктуры SDN с помощью SDN Express.

• У вас есть логическая сеть или виртуальная сеть. Дополнительные сведения см. в статье о создании логической сети или создании виртуальной сети.

• Вам необходимо применить группу безопасности сети к виртуальной машине. Дополнительные сведения см. в статье "Управление виртуальными машинами с помощью Центра администрирования Windows".

• У вас есть разрешения администратора или эквивалентные для узлов кластера и сетевого контроллера.

Упрощение безопасности с помощью тегов безопасности сети

Группы безопасности сети позволяют настраивать политики доступа на основе сетевых конструкций, таких как префиксы сети и подсети. Например, если вы хотите ограничить связь между виртуальными машинами веб-сервера и виртуальными машинами базы данных, необходимо определить соответствующие сетевые подсети и создать политику, чтобы запретить обмен данными между этими подсетями. Однако при таком подходе существуют некоторые ограничения:

• Политики безопасности привязаны к сетевым конструкциям, что означает, что необходимо знать, какие приложения находятся в определенных сегментах сети. Понимание сетевой инфраструктуры и архитектуры становится важным.

• При создании политик для приложений может потребоваться повторно использовать их в разных сценариях. Например, если рабочее веб-приложение может быть достигнуто только через порт 80 из Интернета и не может быть достигнуто другими приложениями в рабочей или других средах, у вас будет аналогичная политика для любого нового приложения. Однако при сегментации сети повторное восстановление политик становится необходимым из-за уникальных сетевых элементов для каждого приложения.

• Если вы удаляете старое приложение и развертываете новую в одном сетевом сегменте, необходимы корректировки политики.

С тегами безопасности сети больше не нужно отслеживать сегменты сети, в которых размещаются приложения. Теги безопасности сети упрощают управление политиками и избегают сложностей, связанных с сетевыми конструкциями. Рассмотрим пример с виртуальными машинами веб-сервера и базы данных: помечайте соответствующие виртуальные машины с тегами безопасности сети Web и Database, а затем создадим правило для ограничения обмена данными между тегами "Веб" и "База данных".

Создание групп безопасности сети на основе тегов сети

Чтобы создать группы безопасности сети на основе тегов сети, выполните следующие действия.

1. Создайте один или несколько тегов безопасности сети.

2. Назначьте тег безопасности сети виртуальной машине.

3. Создайте группу безопасности сети.

4. Создайте правило безопасности сети для группы безопасности сети.

5. Примените группу безопасности сети к виртуальной машине, подсети сети, тегу безопасности сети.

Создание тегов безопасности сети

1. На домашнем экране Центра администрирования Windows в разделе "Все подключения" выберите кластер, в который нужно создать группу безопасности сети.

2. В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите группы безопасности сети.

3. В разделе "Группы безопасности сети" выберите вкладку "Теги безопасности сети" и нажмите кнопку "Создать".

4. В области "Создание тега безопасности сети" введите имя тега безопасности сети в поле "Имя".

   

5. (Необязательно) В поле "Тип" введите тип тега. Это поле полезно, если вы хотите классифицировать теги для простого управления. Например, вы можете иметь разные теги с одинаковым типом Application, например SQL, Web, IOT, Sensor и т. д.

6. Выберите Отправить.

Назначение тега безопасности сети виртуальной машине

Вы можете назначить тег безопасности сети виртуальной машине при создании новой или последующей виртуальной машины при изменении свойств существующей виртуальной машины.

Назначение тега безопасности сети во время создания виртуальной машины

Пошаговые инструкции по созданию виртуальной машины см. в статье "Создание виртуальной машины".

Чтобы назначить тег безопасности сети при создании новой виртуальной машины:

1. На домашнем экране Центра администрирования Windows в разделе "Все подключения" выберите сервер или кластер, на который вы хотите создать виртуальную машину.

2. В разделе "Инструменты" прокрутите вниз и выберите "Виртуальные машины".

3. В разделе "Виртуальные машины" выберите вкладку "Инвентаризация" , выберите "Добавить" и нажмите кнопку "Создать".

4. В разделе "Новая виртуальная машина" введите имя виртуальной машины.

5. Введите другие свойства виртуальной машины.

6. В разделе "Сеть" выберите созданный ранее тег безопасности сети в разделе "Создание тега безопасности сети".

   

7. Нажмите кнопку создания.

Назначение тега безопасности сети существующей виртуальной машине

Тег безопасности сети можно назначить существующей виртуальной машине, изменив его параметры. Подробные инструкции по изменению параметров виртуальной машины см. в разделе "Изменение параметров виртуальной машины".

1. В разделе "Инструменты" прокрутите вниз до области "Сеть " и выберите "Виртуальные машины".

2. Перейдите на вкладку "Инвентаризация" , выберите виртуальную машину и выберите "Параметры".

3. На странице "Параметры" выберите "Сети".

4. В разделе "Тег безопасности сети" выберите "Добавить тег сетевой безопасности", выберите созданный ранее тег безопасности сети в теге "Создать сетевую безопасность".

5. Выберите "Сохранить параметры сети".

Создание группы безопасности сети

1. На домашнем экране Центра администрирования Windows в разделе "Все подключения" выберите кластер, в который нужно создать группу безопасности сети.

2. В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите группы безопасности сети.

3. В разделе "Группы безопасности сети" выберите вкладку "Инвентаризация " и нажмите кнопку "Создать".

4. В области "Группы безопасности сети" введите имя группы безопасности сети и нажмите кнопку "Отправить".

   

5. В разделе "Группы безопасности сети" убедитесь, что состояние развертывания новой группы безопасности сети показывает Завершено.

Создание правила группы безопасности сети

После создания группы безопасности сети вы можете создать правила группы безопасности сети. Если вы хотите применить правила группы безопасности сети к входящего и исходящему трафику, необходимо создать два правила.

1. На домашнем экране Центра администрирования Windows в разделе "Все подключения" выберите кластер, в который нужно создать группу безопасности сети.

2. В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите группы безопасности сети.

3. В разделе "Группы безопасности сети" выберите вкладку "Инвентаризация" , а затем выберите созданную ранее группу безопасности сети в разделе "Создание группы безопасности сети".

4. В разделе "Правило безопасности сети" нажмите кнопку "Создать".

5. В панели правила безопасности сети справа укажите следующие сведения:

   Поле	Описание:
   Имя	Имя правила.
   Приоритет	Приоритет правила. Допустимые значения — 101 – 65000. Меньшее значение обозначает более высокий приоритет.
   Типы	Тип правила. Этот тип правила может быть входящий или исходящий.
   Протокол	Протокол, соответствующий входящему или исходящему пакету. Допустимыми значениями являются All, TCP и UDP.
   Источник	Выберите тег безопасности сети. Примечание. Можно выбрать префикс адреса или тег безопасности сети, но не оба.
   Тип тега безопасности источника	(Необязательно) Выберите тип тега.
   Тег безопасности источника	Выберите тег безопасности сети, созданный ранее, в разделе "Создание тега безопасности сети".
   Диапазон исходных портов	Укажите диапазон исходного порта для сопоставления входящих или исходящих пакетов. Можно ввести *, чтобы указать все исходные порты.
   Назначение	Выберите тег безопасности сети. Примечание. Можно выбрать префикс адреса или тег безопасности сети, но не оба. Источник и назначение могут отличаться.
   Тип безопасности целевого тега	(Необязательно) Выберите тип тега.
   Тег безопасности места назначения	Выберите тег безопасности сети, созданный ранее, в разделе "Создание тега безопасности сети".
   Диапазон портов назначения	Укажите диапазон портов назначения для сопоставления входящих или исходящих пакетов. Можно ввести *, чтобы указать все порты назначения.
   Действия	Если указанные выше условия соответствуют, укажите разрешение или блокировку пакета. Допустимыми значениями являются Allow и Deny.
   Ведение журнала	Укажите, нужно ли включить или отключить ведение журнала для правила. Если ведение журнала включено, все трафик, соответствующий этому правилу, регистрируется на хост-компьютерах.

6. Выберите Отправить.

Применить группу безопасности сети

Сетевую группу безопасности можно применить к:

• Подсеть виртуальной сети
• Подсеть логической сети
• Конкретный сетевой интерфейс
• Тег безопасности сети

• Подсеть виртуальной сети
• Подсеть логической сети
• Конкретный сетевой интерфейс
• Тег безопасности сети

Примените группу сетевой безопасности к сетевому тегу безопасности

При применении группы безопасности сети к тегу безопасности сети правила группы безопасности сети применяются ко всем сетевым интерфейсам виртуальной машины, связанным с этим тегом безопасности сети.

Чтобы применить группу безопасности сети к тегу безопасности сети через Центр администрирования Windows, выполните следующие действия.

1. На домашнем экране Центра администрирования Windows в разделе "Все подключения" выберите кластер, к которому нужно применить группу безопасности сети.

2. В разделе "Сервис" прокрутите вниз до области "Сеть " и выберите группы безопасности сети.

3. В разделе Группы безопасности сети выберите вкладку Теги безопасности сети.

4. Выберите тег безопасности сети, который требуется изменить, а затем выберите "Параметры".

5. На панели "Изменение тега сетевой безопасности" для выбранного тега выберите группу безопасности сети, которую вы хотите применить к тегу безопасности сети.

   

6. Выберите Отправить.

Следующие шаги

Дополнительные сведения см. также:

• Что такое брандмауэр центра обработки данных?
• Настройка групп безопасности сети с помощью Windows Admin Center
• Настройка групп безопасности сети с помощью PowerShell

• Что такое брандмауэр центра обработки данных?
• Настройка групп безопасности сети с помощью Windows Admin Center
• Настройка групп безопасности сети с помощью PowerShell