Beskriva Azure-nätverkssäkerhetsgrupper

  • 6 minuter

Med nätverkssäkerhetsgrupper (NSG:er) kan du filtrera nätverkstrafik till och från Azure-resurser i ett virtuellt Azure-nätverk. till exempel en virtuell dator. En NSG består av regler som definierar hur trafiken filtreras. Du kan bara associera en nätverkssäkerhetsgrupp till varje virtuellt nätverksundernät och nätverksgränssnitt på en virtuell dator. Samma nätverkssäkerhetsgrupp kan dock associeras till så många olika undernät och nätverksgränssnitt som du väljer.

I det mycket förenklade diagrammet som följer kan du se ett virtuellt Azure-nätverk med två undernät som är anslutna till Internet, och varje undernät har en virtuell dator. Undernät 1 har en NSG tilldelad till sig som filtrerar inkommande och utgående åtkomst till VM1, som behöver en högre åtkomstnivå. VM2 kan däremot representera en offentlig dator som inte kräver en NSG.

Diagram showing a simplified virtual network with two subnets each with a dedicated virtual machine resource, the first subnet has a network security group and the second subnet doesn't.

Regler för inkommande och utgående säkerhet

En nätverkssäkerhetsgrupp består av regler för inkommande och utgående säkerhet. NSG-säkerhetsregler utvärderas efter prioritet med hjälp av fem informationspunkter: källa, källport, mål, målport och protokoll för att antingen tillåta eller neka trafiken. Som standard skapar Azure en serie regler, tre inkommande och tre utgående regler, för att tillhandahålla en baslinjenivå för säkerhet. Du kan inte ta bort standardreglerna, men du kan åsidosätta dem genom att skapa nya regler med högre prioritet.

Varje regel anger en eller flera av följande egenskaper:

  • Namn: Varje NSG-regel måste ha ett unikt namn som beskriver dess syfte. Till exempel AdminAccessOnlyFilter.
  • Prioritet: Regler bearbetas i prioritetsordning, med lägre tal bearbetade före högre tal. När trafiken matchar en regel stoppas bearbetningen. Det innebär att andra regler med lägre prioritet (högre tal) inte bearbetas.
  • Källa eller mål: Ange antingen enskild IP-adress eller ett IP-adressintervall, tjänsttagg (en grupp IP-adressprefix från en viss Azure-tjänst) eller programsäkerhetsgrupp. Du kan begränsa antalet säkerhetsregler du skapar genom att ange ett intervall, en tjänsttagg eller en programsäkerhetsgrupp.
  • Protokoll: Vilket nätverksprotokoll kontrollerar regeln? Protokollet kan vara något av: TCP, UDP, ICMP eller Any.
  • Riktning: Om regeln ska tillämpas på inkommande eller utgående trafik.
  • Portintervall: Du kan ange en enskild port eller ett intervall med portar. Genom att ange intervall kan du vara mer effektiv när du skapar säkerhetsregler.
  • Åtgärd: Slutligen måste du bestämma vad som ska hända när den här regeln utlöses.

Skärmbilden som följer visar standardreglerna för inkommande trafik och utgående trafik, som ingår i alla NSG:er.

Screenshot showing the default inbound and outbound rules for an Azure network security group.

Beskrivningar för standardreglerna för inkommande trafik är följande:.

  • AllowVNetInBound – Regeln AllowVNetInBound bearbetas först eftersom den har det lägsta prioritetsvärdet. Kom ihåg att regler med det lägsta prioritetsvärdet bearbetas först. Den här regeln tillåter trafik från en källa med virtualnetwork-tjänsttaggen till ett mål med VirtualNetwork-tjänsttaggen på valfri port med hjälp av alla protokoll. Om en matchning hittas för den här regeln bearbetas inga andra regler. Om ingen matchning hittas bearbetas nästa regel.

  • AllowAzureLoadBalancerInBound – Regeln AllowAzureLoadBalancerInBound bearbetas på andra sidan, eftersom dess prioritetsvärde är högre än regeln AllowVNetInBound. Den här regeln tillåter trafik från en källa med tjänsttaggen AzureLoadBalancer till ett mål med tjänsttaggen AzureLoadBalancer på valfri port till valfri IP-adress på valfri port med hjälp av alla protokoll. Om en matchning hittas för den här regeln bearbetas inga andra regler. Om ingen matchning hittas bearbetas nästa regel.

  • DenyAllInBound – den sista regeln i den här NSG:n är regeln DenyAllInBound. Den här regeln nekar all trafik från alla käll-IP-adresser på alla portar till andra IP-adresser på valfri port, med hjälp av alla protokoll.

Sammanfattningsvis tillåter alla virtuella nätverksundernät eller nätverksgränssnittskort som den här NSG:n tilldelas endast inkommande trafik från ett virtuellt Azure-nätverk eller en Azure-lastbalanserare (som definieras av deras respektive tjänsttaggar). All annan inkommande nätverkstrafik nekas. Du kan inte ta bort standardreglerna, men du kan åsidosätta dem genom att skapa nya regler med högre prioritet (lägre prioritetsvärde).

Vad är skillnaden mellan nätverkssäkerhetsgrupper (NSG:er) och Azure Firewall?

Nu när du har lärt dig om både nätverkssäkerhetsgrupper och Azure Firewall kanske du undrar hur de skiljer sig åt, eftersom de båda skyddar virtuella nätverksresurser. Azure Firewall-tjänsten kompletterar nätverkssäkerhetsgruppens funktioner. Tillsammans ger de bättre "skydd på djupet" nätverkssäkerhet. Nätverkssäkerhetsgrupper tillhandahåller trafikfiltrering på distribuerat nätverksnivå för att begränsa trafiken till resurser i virtuella nätverk i varje prenumeration. Azure Firewall är en helt tillståndskänslig, centraliserad nätverksbrandvägg som en tjänst, som ger skydd på nätverk och programnivå i olika prenumerationer och virtuella nätverk.