Поделиться через


Создание, изменение и удаление группы безопасности сети

При использовании правил безопасности в группах безопасности сети (NSG) можно фильтровать тип сетевого трафика, который передается в подсети виртуальной сети и сетевые интерфейсы. Дополнительные сведения о группах безопасности сети см. в обзоре группы безопасности сети. Затем выполните руководство по сетевому трафику фильтра, чтобы получить некоторый опыт работы с группами безопасности сети.

Необходимые компоненты

Если у вас нет учетной записи Azure с активной подпиской, создайте учетную запись бесплатно. Выполните одну из следующих задач, прежде чем начать оставшуюся часть этой статьи:

  • Пользователи портала. Войдите на портал Azure с помощью своей учетной записи Azure.

  • Пользователи PowerShell: выполните команды в Azure Cloud Shell или запустите PowerShell локально с компьютера. Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. В ней есть стандартные средства Azure, которые предварительно установлены и настроены для использования с вашей учетной записью. На вкладке браузера Cloud Shell найдите раскрывающийся список "Выбрать среду ". Затем выберите PowerShell , если он еще не выбран.

    Если вы работаете с PowerShell в локальной среде, используйте модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните командлет Get-Module -ListAvailable Az.Network, чтобы узнать установленную версию. Если вам необходимо выполнить установку или обновление, см. статью об установке модуля Azure PowerShell. Запустите Connect-AzAccount, чтобы выполнить вход в Azure.

  • Пользователи Azure CLI: выполните команды в Cloud Shell или запустите Azure CLI локально с компьютера. Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. В ней есть стандартные средства Azure, которые предварительно установлены и настроены для использования с вашей учетной записью. На вкладке браузера Cloud Shell найдите раскрывающийся список "Выбрать среду ". Затем выберите Bash , если он еще не выбран.

    Если вы используете Azure CLI локально, используйте Azure CLI версии 2.0.28 или более поздней. Выполните командлет az --version, чтобы узнать установленную версию. Если вам необходимо выполнить установку или обновление, обратитесь к статье Установка Azure CLI. Запустите az login, чтобы выполнить вход в Azure.

Назначьте роль участника сети или пользовательскую роль с соответствующими разрешениями.

Работа с группами безопасности сети

Вы можете создавать, просматривать все данные, изменять и удалять группу безопасности сети. Вы также можете связать или отключить группу безопасности сети из сетевого интерфейса или подсети.

Создание группы безопасности сети

Количество групп безопасности сети, которые можно создать для каждого региона Azure и подписки, ограничено. Узнайте о лимитах, квотах и ограничениях подписок и служб Azure.

  1. В поле поиска в верхней части портала введите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

  2. Выберите + Создать.

  3. На странице "Создание группы безопасности сети" на вкладке "Основные сведения" введите или выберите следующие значения:

    Параметр Действие
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите существующую группу ресурсов или создайте новую, нажав кнопку "Создать". В этом примере используется myResourceGroup группа ресурсов.
    Сведения об экземпляре
    Имя группы безопасности сети Введите имя создаваемой группы безопасности сети.
    Область/регион Выберите нужный регион.

    Снимок экрана: создание группы безопасности сети в портал Azure.

  4. Выберите Review + create (Просмотреть и создать).

  5. При появлении сообщения Проверка пройдена выберите Создать.

Просмотр всех групп безопасности сети

В поле поиска в верхней части портала введите группу безопасности сети. Выберите группы безопасности сети в результатах поиска, чтобы просмотреть список групп безопасности сети в подписке.

Снимок экрана: список групп безопасности сети в портал Azure.

Просмотр сведений о группе безопасности сети

  1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

  2. Выберите имя группы безопасности сети.

    • В разделе "Параметры" просмотрите правила безопасности для входящего трафика, правила безопасности исходящего трафика, сетевые интерфейсы и подсети, к которым связанА группа безопасности сети.
    • В разделе "Мониторинг" включите или отключите параметры диагностики. Дополнительные сведения см. в разделе "Ведение журнала ресурсов" для группы безопасности сети.
    • В разделе справки просмотрите действующие правила безопасности. Дополнительные сведения см. в разделе "Диагностика проблемы фильтра сетевого трафика виртуальной машины".

    Снимок экрана: страница группы безопасности сети в портал Azure.

Дополнительные сведения о распространенных параметрах Azure, перечисленных ниже, см. в следующих статьях:

Изменение группы безопасности сети

Наиболее распространенными изменениями группы безопасности сети являются:

Связывание или отключение связи группы безопасности сети с сетевым интерфейсом или из нее

Дополнительные сведения об ассоциации и диссоциации группы безопасности сети см. в статье "Связывание или отключение связи группы безопасности сети".

Связывание или отключение связи группы безопасности сети с подсетью или из нее

  1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

  2. Выберите имя группы безопасности сети и выберите подсети.

    • Чтобы связать группу безопасности сети с подсетью, нажмите кнопку +Связать. Затем выберите виртуальную сеть и подсеть, с которой нужно связать группу безопасности сети. Нажмите ОК.

      Снимок экрана: связывание группы безопасности сети с подсетью в портал Azure.

    • Чтобы разъединить группу безопасности сети из подсети, выберите три точки рядом с подсетью, из которой требуется отсоотвести группу безопасности сети, а затем выберите "Отсоотказать". Выберите Да.

      Снимок экрана: разъединение группы безопасности сети из подсети в портал Azure.

Удаление группы безопасности сети

Если группа безопасности сети связана с любыми подсетями или сетевыми интерфейсами, ее нельзя удалить. Перед попыткой удалить группу безопасности сети от всех подсетей и сетевых интерфейсов отсообщена.

  1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

  2. Выберите группу безопасности сети, которую требуется удалить.

  3. Выберите Удалить, затем выберите Да в диалоговом окне подтверждения.

    Снимок экрана: удаление группы безопасности сети в портал Azure.

Работа с правилами безопасности

NSG содержит ноль или больше правил безопасности. Вы можете создавать, просматривать все, просматривать сведения о правилах безопасности, изменять и удалять их.

Создание правила безопасности

Количество правил на группу безопасности сети, которую можно создать для каждого расположения и подписки Azure, ограничено. Узнайте о лимитах, квотах и ограничениях подписок и служб Azure.

  1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

  2. Выберите имя группы безопасности, в которую требуется добавить правило безопасности.

  3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

    Перечислены несколько существующих правил, включая некоторые, которые, возможно, не добавлены. При создании группы безопасности сети в нем создаются несколько правил безопасности по умолчанию. Дополнительные сведения см. в разделе "Правила безопасности по умолчанию". Правила безопасности по умолчанию невозможно удалить, но их можно переопределить с помощью правил с более высоким приоритетом.

  4. Выберите + Добавить. Выберите или добавьте значения для следующих параметров и нажмите кнопку "Добавить".

    Параметр Значение Сведения
    Источник Одно из двух значений:
    • Any
    • IP-адреса
    • Мой IP-адрес
    • Тег службы
    • Группа безопасности приложений

    При выборе IP-адресов необходимо также указать диапазоны ИСХОДНЫх IP-адресов или CIDR.

    При выборе тега службы необходимо также выбрать тег службы источника.

    При выборе группы безопасности приложений необходимо также выбрать существующую группу безопасности приложений. Если выбрать группу безопасности приложений для источника и назначения, сетевые интерфейсы в обеих группах безопасности приложений должны находиться в одной виртуальной сети. Узнайте, как создать группу безопасности приложений.

    Диапазоны исходных IP-адресов или CIDR Разделенный запятыми список IP-адресов и диапазонов CIDR.

    Этот параметр отображается, если для параметра Source заданы IP-адреса. Можно указать одно значение или список разделенных запятыми значений. Пример нескольких значений: 10.0.0.0/16, 192.188.1.1. Количество указанных значений ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.

    Если указанный IP-адрес назначен виртуальной машине Azure, укажите частный IP-адрес, а не общедоступный IP-адрес. Платформа Azure обрабатывает правила безопасности после того, как преобразовывает общедоступный IP-адрес в частный для правил безопасности для входящего трафика, но до того, как преобразовывает частный IP-адрес в общедоступный для правил для исходящего трафика. Дополнительные сведения о IP-адресах в Azure см. в разделе "Общедоступные IP-адреса" и "Частные IP-адреса".

    Тег службы источника Тег службы из раскрывающегося списка Этот параметр отображается, если для правила безопасности задано значение Source to Service Tag . Тег службы — это предопределенный идентификатор категории IP-адресов. Дополнительные сведения о доступных тегах служб и том, что они представляют, приведены в разделе Теги служб.
    Исходная группа безопасности приложений Существующая группа безопасности приложений. Этот параметр отображается, если для параметра Источник задано значение Группа безопасности приложений. Выберите группу безопасности приложений, которая размещена в том же регионе, что и сетевой интерфейс. Узнайте, как создать группу безопасности приложений.
    Диапазоны исходных портов Одно из двух значений:
    • один порт, например 80;
    • диапазон портов, например 1024-65535;
    • разделенный запятыми список отдельных портов и (или) диапазонов портов, например 80, 1024-65535;
    • звездочка (*), чтобы разрешить передачу трафика через любой порт.
    Этот параметр указывает порты, через которые правило разрешает или запрещает передачу трафика. Количество портов, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.
    Назначение Одно из двух значений:
    • Any
    • IP-адреса
    • Тег службы
    • Группа безопасности приложений

    При выборе IP-адресов необходимо также указать диапазоны IP-адресов назначения или CIDR.

    При выборе тега службы необходимо также выбрать тег службы назначения.

    При выборе группы безопасности приложений необходимо также выбрать существующую группу безопасности приложений. Если выбрать группу безопасности приложений для источника и назначения, сетевые интерфейсы в обеих группах безопасности приложений должны находиться в одной виртуальной сети. Узнайте, как создать группу безопасности приложений.

    Диапазоны IP-адресов назначения или CIDR Разделенный запятыми список IP-адресов и диапазонов CIDR.

    Этот параметр отображается, если для параметра Назначение задано значение IP-адреса. Можно указать один или несколько адресов или диапазонов, таких как исходные и исходные IP-адреса или диапазоны CIDR. Число, которое можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.

    Если указанный IP-адрес назначен виртуальной машине Azure, убедитесь, что укажите частный IP-адрес, а не общедоступный IP-адрес. Платформа Azure обрабатывает правила безопасности после того, как преобразовывает общедоступный IP-адрес в частный для правил безопасности для входящего трафика, но до того, как преобразовывает частный IP-адрес в общедоступный для правил для исходящего трафика. Дополнительные сведения о IP-адресах в Azure см. в разделе "Общедоступные IP-адреса" и "Частные IP-адреса".

    Назначение: тег службы Тег службы из раскрывающегося списка Этот параметр отображается, если для правила безопасности задано значение "Назначение" для тега службы. Тег службы — это предопределенный идентификатор категории IP-адресов. Дополнительные сведения о доступных тегах служб и том, что они представляют, приведены в разделе Теги служб.
    Группа безопасности приложений для назначения Существующая группа безопасности приложений. Этот параметр отображается, если для параметра Назначение задано значение Группа безопасности приложений. Выберите группу безопасности приложений, которая размещена в том же регионе, что и сетевой интерфейс. Узнайте, как создать группу безопасности приложений.
    Служба Протокол назначения из раскрывающегося списка Этот параметр задает целевой протокол и диапазон портов для правила безопасности. Вы можете выбрать предопределенную службу, например RDP, или выбрать пользовательскую и указать диапазон портов в диапазонах портов назначения.
    Диапазоны портов назначения Одно из двух значений:
    • один порт, например 80;
    • диапазон портов, например 1024-65535;
    • разделенный запятыми список отдельных портов и (или) диапазонов портов, например 80, 1024-65535;
    • звездочка (*), чтобы разрешить передачу трафика через любой порт.
    Как и в случае с полем Диапазоны исходных портов, можно указать один или несколько портов и диапазонов. Число, которое можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.
    Протокол Любой, TCP, UDP или ICMP. Правило можно ограничить протоколом управления передачей (TCP), протоколом пользовательской диаграммы данных (UDP) или протоколом сообщений управления Интернетом (ICMP). По умолчанию правило применяется ко всем протоколам (Any).
    Действие Разрешить или Запретить. Этот параметр указывает, разрешает или запрещает правило доступ к указанной конфигурации источника и назначения.
    Приоритет Значение от 100 до 4096, уникальное для всех правил безопасности в NSG Платформа Azure обрабатывает правила безопасности в порядке приоритета. Чем меньше число, тем выше приоритет. Рекомендуется оставлять промежуток между номерами приоритетов при создании правил, например 100, 200 и 300. Оставляя пробелы, проще добавлять правила в будущем, чтобы дать им более высокий или более низкий приоритет, чем существующие правила.
    Имя Уникальное имя правила в группе безопасности сети Оно может содержать до 80 знаков. Имя должно начинаться с буквы или цифры, и заканчиваться буквой, цифрой или символом подчеркивания. Имя может содержать только буквы, цифры, подчеркивания, периоды или дефисы.
    Description Текстовое описание. При необходимости можно указать текстовое описание правила безопасности. Описание не может превышать 140 символов.

    Снимок экрана: добавление правила безопасности в группу безопасности сети в портал Azure.

Просмотр всех правил безопасности

Группа безопасности сети содержит ноль или более правил. Дополнительные сведения о списке сведений при просмотре правил см. в разделе "Правила безопасности".

  1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

  2. Выберите имя группы безопасности сети, для которой требуется просмотреть правила.

  3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

    Список содержит все созданные правила и правила безопасности по умолчанию группы безопасности группы безопасности.

    Снимок экрана: правила безопасности входящего трафика группы безопасности сети в портал Azure.

Просмотр сведений о правиле безопасности

  1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

  2. Выберите имя группы безопасности сети, для которой требуется просмотреть правила.

  3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

  4. Выберите правило, для которого нужно просмотреть сведения. Описание всех параметров приведено в разделе Работа с правилами безопасности.

    Примечание.

    Эта процедура применяется только к пользовательскому правилу безопасности. Он не подходит для правил безопасности по умолчанию.

    Снимок экрана: сведения о правиле безопасности для входящего трафика группы безопасности сети в портал Azure.

Изменение правила безопасности

  1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

  2. Выберите имя группы безопасности сети, для которой требуется просмотреть правила.

  3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

  4. Выберите правило, которое нужно изменить.

  5. Измените необходимые параметры, а затем щелкните Сохранить. Описание всех параметров приведено в разделе Работа с правилами безопасности.

    Снимок экрана: изменение сведений о правиле безопасности для входящего трафика группы безопасности сети в портал Azure.

    Примечание.

    Эта процедура применяется только к пользовательскому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Удаление правила безопасности

  1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

  2. Выберите имя группы безопасности сети, для которой требуется просмотреть правила.

  3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

  4. Выберите правила, которые требуется удалить.

  5. Нажмите Удалить, а затем — Да.

    Снимок экрана: удаление правила безопасности для входящего трафика группы безопасности сети в портал Azure.

    Примечание.

    Эта процедура применяется только к пользовательскому правилу безопасности. Удаление правила безопасности по умолчанию запрещено.

Работа с группами безопасности приложений

Группа безопасности приложений содержит ноль или более сетевых интерфейсов. Дополнительные сведения см. в разделе Группы безопасности приложений. Все сетевые интерфейсы внутри группы безопасности приложений должны находиться в одной виртуальной сети. Чтобы узнать больше о добавлении сетевого интерфейса в группу безопасности приложений, ознакомьтесь с разделом Создание, изменение или удаление сетевых интерфейсов.

Создание группы безопасности приложений

  1. В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска.

  2. Выберите + Создать.

  3. На странице "Создание группы безопасности приложений" на вкладке "Основные сведения" введите или выберите следующие значения:

    Параметр Действие
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите существующую группу ресурсов или создайте новую, нажав кнопку "Создать". В этом примере используется myResourceGroup группа ресурсов.
    Сведения об экземпляре
    Имя. Введите имя создаваемой группы безопасности приложений.
    Область/регион Выберите регион, в котором нужно создать группу безопасности приложений.

    Снимок экрана: создание группы безопасности приложений в портал Azure.

  4. Выберите Review + create (Просмотреть и создать).

  5. При появлении сообщения Проверка пройдена выберите Создать.

Просмотр всех групп безопасности приложений

В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска. Список групп безопасности приложений отображается в портал Azure.

Снимок экрана: существующие группы безопасности приложений в портал Azure.

Просмотр сведений о конкретной группе безопасности приложений

  1. В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска.

  2. Выберите группу безопасности приложений, для которой требуется просмотреть сведения.

Изменение группы безопасности приложений

  1. В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска.

  2. Выберите группу безопасности приложений, которую вы хотите изменить:

    • Выберите рядом с группой ресурсов или подпиской, чтобы изменить группу ресурсов или подписку соответственно.

    • Выберите пункт "Изменить рядом с тегами ", чтобы добавить или удалить теги. Дополнительные сведения см. в статье "Использование тегов для организации ресурсов Azure и иерархии управления".

      Снимок экрана: изменение группы безопасности приложений в портал Azure.

      Примечание.

      Невозможно изменить расположение группы безопасности приложений.

    • Выберите элемент управления доступом (IAM), чтобы назначить или удалить разрешения для группы безопасности приложений.

Удаление группы безопасности приложений

Невозможно удалить группу безопасности приложений, если она содержит какие-либо сетевые интерфейсы. Чтобы удалить все сетевые интерфейсы из группы безопасности приложений, измените параметры сетевых интерфейсов или удалите эти сетевые интерфейсы. Дополнительные сведения см. в разделе Добавление в группы безопасности приложений или удаление из них или Удаление сетевого интерфейса.

  1. В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска.

  2. Выберите группу безопасности приложений, которую вы хотите удалить.

  3. Выберите Удалить и нажмите Да, чтобы удалить группу безопасности приложений.

    Снимок экрана: удаление группы безопасности приложений в портал Azure.

Разрешения

Чтобы управлять группами безопасности сети, правилами безопасности и группами безопасности приложений, учетная запись должна быть назначена роли участника сети. Вы также можете использовать пользовательскую роль с соответствующими разрешениями, как указано в следующих таблицах.

Примечание.

Возможно, вы не увидите полный список тегов служб, если роль участника сети была назначена на уровне группы ресурсов. Чтобы просмотреть полный список, можно назначить эту роль в области подписки. Если можно разрешить только роль участника сети для группы ресурсов, можно также создать пользовательскую роль для разрешений Microsoft.Network/locations/serviceTags/read и Microsoft.Network/locations/serviceTagDetails/read. Назначьте их в области подписки вместе с ролью участника сети в области группы ресурсов.

группу безопасности сети;

Действие Имя.
Microsoft.Network/networkSecurityGroups/read Получите группу безопасности сети.
Microsoft.Network/networkSecurityGroups/write Создание или обновление группы безопасности сети.
Microsoft.Network/networkSecurityGroups/delete Удаление группы безопасности сети.
Microsoft.Network/networkSecurityGroups/join/action Свяжите группу безопасности сети с подсетью или сетевым интерфейсом.

Примечание.

Для выполнения write операций с NSG учетная запись подписки должна иметь по крайней мере read разрешения для группы ресурсов вместе с Microsoft.Network/networkSecurityGroups/write разрешением.

Правило группы безопасности сети

Действие Имя.
Microsoft.Network/networkSecurityGroups/securityRules/read Получите правило.
Microsoft.Network/networkSecurityGroups/securityRules/write Создание или обновление правила.
Microsoft.Network/networkSecurityGroups/securityRules/delete Удаление правила.

Группа безопасности приложений

Действие Имя.
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action Присоединение IP-конфигурации к группе безопасности приложений.
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action Присоединение правила безопасности к группе безопасности приложений.
Microsoft.Network/applicationSecurityGroups/read Получение группы безопасности приложений.
Microsoft.Network/applicationSecurityGroups/write Создайте или обновите группу безопасности приложений.
Microsoft.Network/applicationSecurityGroups/delete Удаление группы безопасности приложений.