Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Группу безопасности сети Azure можно использовать для фильтрации сетевого трафика между ресурсами Azure в виртуальных сетях Azure. Группа сетевой безопасности содержит правила безопасности, которые разрешают или запрещают входящий сетевой трафик к, или исходящий сетевой трафик от, нескольких типов ресурсов Azure.
В этой статье описываются свойства правила группы безопасности сети и правила безопасности по умолчанию , применяемые Azure. В нем также описывается изменение свойств правила для создания дополненного правила безопасности.
Правила безопасности
Группа безопасности сети содержит правила безопасности сети по мере необходимости в рамках ограничений подписки Azure. Каждое правило указывает следующие свойства:
| Собственность | Объяснение |
|---|---|
| Имя | Уникальное имя в группе безопасности сети. Длина имени может составлять до 80 символов. Он должен начинаться с символа слова, и он должен заканчиваться словом или символом _. Имя может содержать символы слов, .-или\_. |
| Приоритет | Число между 100 и 4096. Правила обрабатываются в порядке приоритета, при этом более низкие числа обрабатываются до более высоких чисел, так как более низкие числа имеют более высокий приоритет. Когда трафик соответствует правилу, обработка останавливается. В результате все правила, существующие с более низким приоритетом (более высокие числа), которые имеют те же атрибуты, что и правила с более высоким приоритетом, не обрабатываются. Правила безопасности По умолчанию Azure получают самый низкий приоритет (наибольшее число), чтобы пользовательские правила всегда обрабатывались сначала. |
| Источник или назначение | Можно указать Любой, отдельный IP-адрес, блок CIDR (например, 10.0.0.0/24), тег службы или группу безопасности приложений. Чтобы указать конкретный ресурс Azure, используйте частный IP-адрес, назначенный ресурсу. Для входящего трафика группы безопасности сети обрабатывают трафик после того, как Azure преобразует общедоступные IP-адреса в частные IP-адреса. Для исходящего трафика группы безопасности сети обрабатывают трафик перед преобразованием частных IP-адресов в общедоступные IP-адреса.
Введите диапазон, тег службы или группу безопасности приложений, чтобы уменьшить количество необходимых правил безопасности. Расширенные правила безопасности позволяют указывать несколько отдельных IP-адресов и диапазонов в одном правиле. Однако нельзя указать несколько тегов служб или групп приложений в одном правиле. Расширенные правила безопасности доступны только в группах безопасности сети, созданных с помощью модели развертывания Resource Manager. В классической модели развертывания невозможно указать несколько IP-адресов и диапазонов в одном правиле. Например, если источником является подсеть 10.0.1.0/24 (где находится виртуальная машина1), а назначение — подсеть 10.0.2.0/24 (где находится виртуальная машина2), группа безопасности сети фильтрует трафик для VM2. Это происходит, так как группа безопасности сети связана с сетевым интерфейсом VM2. |
| Протокол | TCP, UDP, ICMP, ESP, AH или Any. Протоколы ESP и AH в настоящее время недоступны через портал Azure, но их можно использовать через шаблоны ARM. |
| Направление | Применяется ли правило к входящего или исходящему трафику. |
| Диапазон портов | Можно указать отдельный порт или диапазоны портов. Например, можно указать 80 или 10000–10005; или для сочетания отдельных портов и диапазонов можно разделить их запятыми, например 80, 10000-10005. Указание диапазонов и разделения запятых позволяет создавать меньше правил безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, созданных с помощью модели развертывания Resource Manager. Вы не можете указать несколько портов или диапазонов портов в одном правиле безопасности в группах безопасности сети, созданных через классическую модель развертывания. |
| Действие | Разрешить или запретить указанный трафик. |
Правила безопасности оцениваются и применяются на основе пятикортежной информации, включающей источник, исходный порт, назначение, порт назначения и протокол. Невозможно создать два правила безопасности с одинаковым приоритетом и направлением, так как это может привести к конфликту в том, как системный трафик обрабатывается. Создается запись потока для существующих соединений. Разрешение или запрет на связь осуществляется в зависимости от состояния соединения записи потока. Запись потока позволяет группе сетевой безопасности быть состоянием. Если вы указываете исходящее правило безопасности для любого адреса через порт 80, например, то нет необходимости указывать входящее правило безопасности для ответа на исходящий трафик. Вам нужно указать входящее правило безопасности только в том случае, если общение инициируется извне. Противоположное также верно, где, если входящий трафик разрешен через порт, не обязательно указывать правило безопасности исходящего трафика для реагирования на трафик через порт.
При удалении правила безопасности, разрешающего подключение, существующие подключения остаются непрерывными. Правила группы безопасности сети влияют только на новые подключения. Новые или обновленные правила в группе безопасности сети применяются исключительно к новым подключениям, оставляя существующие подключения не затронутыми изменениями. Например, если у вас есть активный сеанс SSH на виртуальной машине, а затем удалите правило безопасности, разрешающее трафик SSH, текущий сеанс SSH останется подключенным и функциональным. Однако если вы попытаетесь установить новое подключение SSH после удаления правила безопасности, эта новая попытка подключения будет заблокирована.
Существуют ограничения на количество правил безопасности, которые можно создать в группе безопасности сети и других свойствах группы безопасности сети. Дополнительные сведения см. в разделе об ограничениях Azure.
Правила безопасности по умолчанию
Azure создает следующие правила по умолчанию в каждой группе сетевой безопасности, которую вы создаете.
Входящий
AllowVNetInBound
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65000 | Виртуальная сеть | 0-65535 | Виртуальная сеть | 0-65535 | Любой | Разрешить |
AllowAzureLoadBalancerInBound
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer (служба балансировки нагрузки) | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Разрешить |
DenyAllInbound
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Отказать |
исходящий
Разрешить исходящий трафик Vnet
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65000 | Виртуальная сеть | 0-65535 | Виртуальная сеть | 0-65535 | Любой | Разрешить |
РазрешитьИсходящийИнтернетТрафик
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Интернет | 0-65535 | Любой | Разрешить |
DenyAllOutBound
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Отказать |
В столбцах "Источник " и " Назначение ", "VirtualNetwork", "AzureLoadBalancer" и "Интернет " — это теги служб , а не IP-адреса. В столбце "Протокол" любая включает протокол TCP, UDP и ICMP. При создании правила можно указать TCP, UDP, ICMP или Any. 0.0.0.0/0 в столбцах источника и назначения представляет все IP-адреса. Клиенты, такие как портал Azure, Azure CLI или PowerShell, могут использовать * или Любой для этого выражения.
Вы не можете удалить правила по умолчанию, но их можно переопределить, создав правила с более высокими приоритетами.
Усиленные правила безопасности
Расширенные правила безопасности упрощают определение безопасности для виртуальных сетей, позволяя определять более крупные и сложные политики безопасности сети с меньшим количеством правил. Вы можете объединить несколько портов и несколько явных IP-адресов и диапазонов в одно, легко понятное правило безопасности. Используйте расширенные правила в полях источника, назначения и порта правила. Чтобы упростить обслуживание вашей конфигурации правил безопасности, объедините расширенные правила безопасности с тегами служб или группами безопасности приложений. Существуют ограничения на количество адресов, диапазонов и портов, которые можно указать в правиле безопасности. Дополнительные сведения см. в разделе об ограничениях Azure.
Теги сервиса
Служебный тег представляет собой группу префиксов IP-адресов из определённого облачного сервиса Azure. Это помогает свести к минимуму сложность частых обновлений правил безопасности сети.
Дополнительные сведения см. в разделе тегов службы Azure. Пример использования тега службы хранилища для ограничения доступа к сети см. в разделе "Ограничение сетевого доступа к ресурсам PaaS".
Группы безопасности приложений
Группы безопасности приложений позволяют настраивать сетевую безопасность как естественное расширение структуры приложения, позволяя группировать виртуальные машины и определять политики сетевой безопасности на основе этих групп. Вы можете повторно использовать свою политику безопасности в широком масштабе без необходимости в ручном обслуживании явных IP-адресов. Чтобы узнать больше, см. группы безопасности приложений.
Правила администратора безопасности
Правила администратора безопасности — это глобальные правила безопасности сети, которые применяют политики безопасности к виртуальным сетям. Правила администратора безопасности происходят из Azure Virtual Network Manager, службы управления, которая позволяет администраторам сети группировать, настраивать, развертывать и управлять виртуальными сетями глобально в разных подписках.
Правила администратора безопасности всегда имеют более высокий приоритет, чем правила группы безопасности сети, поэтому оцениваются сначала. Правила администратора по безопасности "Разрешить" будут оцениваться на основе сопоставления с правилами группы безопасности сети. Однако правила администратора безопасности "Всегда разрешать" и "Запретить" завершают оценку трафика после обработки правила администратора безопасности. Правила администратора безопасности always allow отправляют трафик непосредственно в ресурс, обходя потенциально конфликтующие правила группы безопасности сети. Правила администратора безопасности "Запретить" блокируют трафик, не доставляя его в место назначения, применяя базовую политику безопасности без риска конфликта группы безопасности сети, неправильной настройки или введения пробелов в безопасности. Эти типы действий администратора безопасности могут быть полезны для принудительной доставки трафика и предотвращения конфликтующего или непреднамеренного поведения с помощью подчиненных правил группы безопасности сети.
Это поведение важно понимать, так как правила безопасности для трафика с типами действий "Всегда разрешать" или "Запретить" не будут достигать правил группы безопасности сети для дальнейшей оценки. Дополнительные сведения см. в разделе "Правила администратора безопасности".
Тайм-аут потока
Это важно
30 сентября 2027 г. журналы потоков группы безопасности сети (NSG) будут сняты с использования. В рамках этого вывода из эксплуатации вы больше не сможете создавать новые журналы потоков NSG начиная с 30 июня 2025 года. Мы рекомендуем перейти на использованиежурналов потоков виртуальной сети, которые устраняют ограничения журналов потоков NSG. После даты прекращения поддержки аналитика трафика, использующая журналы потоков NSG, больше не будет поддерживаться, а существующие ресурсы журналов потоков NSG в подписках будут удалены. Однако записи журналов потоков NSG не будут удалены и будут продолжать следовать соответствующим политикам хранения. Дополнительные сведения см. в официальном объявлении.
Параметры времени ожидания потока определяют, сколько времени запись потока остается активной до истечения срока действия. Этот параметр можно настроить с помощью портала Azure или командной строки. Дополнительные сведения см. в обзоре журналов потоков NSG.
Рекомендации по платформе Azure
Виртуальный IP-адрес узла-хоста: Основные инфраструктурные сервисы, такие как DHCP, DNS, IMDS и мониторинг состояния, предоставляются через виртуализированные IP-адреса хоста 168.63.129.16 и 169.254.169.254. Эти IP-адреса принадлежат Microsoft и являются единственными виртуализированными IP-адресами, используемыми во всех регионах для этой цели. По умолчанию эти службы не подчиняются настроенным группам сетевой безопасности, если только они не нацелены служебными тегами, специфичными для каждой службы. Чтобы переопределить это базовое инфраструктурное общение, вы можете создать правило безопасности для запрета трафика, используя следующие теги служб в правилах вашей группы сетевой безопасности: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Узнайте, как диагностировать фильтрацию сетевого трафика и диагностировать маршрутизацию сети.
Лицензирование (Служба управления ключами): Изображения Windows, работающие в виртуальных машинах, должны иметь лицензию. Чтобы обеспечить лицензирование, система отправляет запрос на серверы узлов службы управления ключами, обрабатывающие такие запросы. Запрос отправляется наружу через порт 1688. Для развертываний, использующих конфигурацию маршрута 0.0.0.0/0 по умолчанию , это правило платформы отключено.
Виртуальные машины в балансируемых пулах: Исходный порт и диапазон адресов применяются от исходного компьютера, а не от балансировщика нагрузки. Порт назначения и диапазон адресов предназначены для целевого компьютера, а не для балансировщика нагрузки.
Экземпляры служб Azure: экземпляры нескольких служб Azure, такие как HDInsight, среды службы приложений и масштабируемые наборы виртуальных машин, развертываются в подсетях виртуальной сети. Полный список служб, которые можно развернуть в виртуальных сетях. Прежде чем применять группу сетевой безопасности к подсети, ознакомьтесь с требованиями к портам для каждого сервиса. Если вы блокируете порты, необходимые для работы службы, она не функционирует должным образом.
Отправка исходящей почты: Microsoft рекомендует использовать аутентифицированные сервисы релейной SMTP (как правило, подключенные через TCP порт 587, но могут быть и другие), чтобы отправлять электронную почту с Виртуальных Машин Azure. Службы ретрансляции SMTP специализируются на репутации отправителя, чтобы свести к минимуму вероятность того, что поставщики электронной почты партнеров отклоняют сообщения. Такие хостинговые SMTP-услуги включают, но не ограничиваются, Exchange Online Protection и SendGrid. Использование служб ретранслятора SMTP не ограничено в Azure независимо от типа подписки.
Если вы создали подписку Azure до 15 ноября 2017 г., помимо возможности использовать службы ретрансляции SMTP, вы можете отправлять электронную почту непосредственно через TCP-порт 25. Если вы создали подписку после 15 ноября 2017 г., возможно, вы не сможете отправлять электронную почту непосредственно через порт 25. Поведение исходящей связи через порт 25 зависит от типа вашей подписки следующим образом:
Соглашение Enterprise: для виртуальных машин, развернутых в стандартных подписках соглашения Enterprise, исходящие SMTP-подключения через TCP-порт 25 не блокируются. Однако нет гарантии, что внешние домены примут входящие электронные письма из виртуальных машин. Если внешние домены отклоняют или фильтруют сообщения электронной почты, обратитесь к поставщикам служб электронной почты внешних доменов, чтобы устранить проблемы. Эти проблемы не охватываются поддержкой Azure.
Для подписок Enterprise Dev/Test порт 25 по умолчанию заблокирован. Возможно удалить этот блок. Чтобы запросить удаление блокировки, перейдите в раздел Невозможно отправить электронную почту (SMTP-Порт 25) на странице настроек Диагностика и устранение проблем для ресурса виртуальной сети Azure в портале Azure и выполните диагностику. Эта процедура автоматически исключает квалифицированные подписки для разработки и тестирования предприятия.
После того, как подписка освобождена от этого блока, и виртуальные машины остановлены и перезапущены, все виртуальные машины в этой подписке будут освобождены впредь. Исключение применяется только к запрошенной подписке и только к трафику виртуальной машины, который направляется непосредственно в Интернет.
Оплата по факту использования: Исходящая связь через порт 25 блокируется для всех ресурсов. Заявления на снятие ограничения не могут быть поданы, потому что такие заявления не удовлетворяются. Если вам нужно отправить электронное письмо с вашей виртуальной машины, вам необходимо использовать службу ретрансляции SMTP.
MSDN, Azure Pass, Azure in Open, Education и бесплатная пробная версия: Исходящая связь по порту 25 заблокирована для всех ресурсов. Заявления на снятие ограничения не могут быть поданы, потому что такие заявления не удовлетворяются. Если вам нужно отправить электронное письмо с вашей виртуальной машины, вам необходимо использовать службу ретрансляции SMTP.
Поставщик облачных услуг: Обмен данными через выходной порт 25 заблокирован для всех ресурсов. Заявления на снятие ограничения не могут быть поданы, потому что такие заявления не удовлетворяются. Если вам нужно отправить электронное письмо с вашей виртуальной машины, вам необходимо использовать службу ретрансляции SMTP.
Следующие шаги
Узнайте, какие ресурсы Azure можно развернуть в виртуальной сети. Ознакомьтесь с интеграцией виртуальной сети для служб Azure, чтобы понять, как с ними могут быть связаны группы безопасности сети.
Сведения о том, как группы безопасности сети оценивают трафик, см. в статье о работе групп безопасности сети.
Создайте группу безопасности сети, следуя этому краткому руководству.
Если вы знакомы с группами безопасности сети и вам нужно их управлять, см. Управление группой безопасности сети.
Если у вас возникли проблемы с коммуникацией и необходимо устранить неполадки в группах безопасности сети, смотрите Диагностика проблемы с фильтром сетевого трафика виртуальной машины.
Узнайте, как включить журналы потоков виртуальной сети для анализа сетевого трафика через виртуальную сеть, которая может соответствовать связанной группе безопасности сети.