Föregående

Nästa

Distribuera nätverkssäkerhetsgrupper med hjälp av Azure-portalen

Slutförd

Med en nätverkssäkerhetsgrupp (NSG) i Azure kan du filtrera nätverkstrafik till och från Azure-resurser i ett virtuellt Azure-nätverk. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till, eller utgående nätverkstrafik från, flera typer av Azure-resurser. För varje regel kan du ange källa och mål, port och protokoll.

NSG-säkerhetsregler

En nätverkssäkerhetsgrupp kan innehålla noll regler, eller så många regler du vill, inom Azure-prenumerationens gränser. Varje regel anger följande egenskaper:

• Namn – Måste vara ett unikt namn i nätverkssäkerhetsgruppen.
• Prioritet – kan vara valfritt tal mellan 100 och 4096. Regler bearbetas i prioritetsordning. Låga tal bearbetas före höga tal eftersom låga tal har högre prioritet. När trafiken matchar en regel avbryts bearbetningen. Därför bearbetas inte regler som finns med lägre prioriteter (högre tal) som har samma attribut som regler med högre prioritet.
• Källa eller mål – Kan anges till Valfritt, en enskild IP-adress eller CIDR-block (classless inter-domain routing) (10.0.0.0/24, till exempel), tjänsttagg eller programsäkerhetsgrupp.
• Protokoll – kan vara TCP, UDP, ICMP, ESP, AH eller Any.
• Riktning – Kan konfigureras för inkommande eller utgående trafik.
• Portintervall – Kan anges antingen som en enskild port eller ett portintervall. Du kan till exempel ange 80 eller 10000–10005. Om du anger intervall behöver du inte skapa lika många säkerhetsregler.
• Åtgärd – Kan anges till Tillåt eller neka.

Brandväggen utvärderar säkerhetsregler för nätverkssäkerhetsgrupper efter prioritet med hjälp av 5-tuppelns information (källa, källport, mål, målport och protokoll) för att antingen tillåta eller neka trafiken.

Standardsäkerhetsregler

Azure skapar följande standardregler i varje nätverkssäkerhetsgrupp som du skapar:

Riktning	Namn	Prioritet	Source	Källportar	Mål	Målportar	Protokoll	Åtkomst
Inkommande	AllowVNetInBound	65000	VirtualNetwork	0-65535	VirtualNetwork	0-65535	Alla	Tillåt
Inkommande	AllowAzureLoadBalancerInBound	65001	AzureLoadBalancer	0-65535	0.0.0.0/0	0-65535	Alla	Tillåt
Inkommande	DenyAllInbound	65500	0.0.0.0/0	0-65535	0.0.0.0/0	0-65535	Valfri	Neka
Utgående	AllowVnetOutBound	65000	VirtualNetwork	0-65535	VirtualNetwork	0-65535	Alla	Tillåt
Utgående	AllowInternetOutBound	65001	0.0.0.0/0	0-65535	Internet	0-65535	Alla	Tillåt
Utgående	DenyAllOutBound	65500	0.0.0.0/0	0-65535	0.0.0.0/0	0-65535	Valfri	Neka

Följande diagram och punkter illustrerar olika scenarier för hur nätverkssäkerhetsgrupper kan distribueras för att tillåta nätverkstrafik till och från Internet via TCP-port 80:

För inkommande trafik bearbetar Azure först reglerna i en nätverkssäkerhetsgrupp som är associerad med ett undernät, om det finns ett, och sedan reglerna i en nätverkssäkerhetsgrupp som är associerad med nätverksgränssnittet, om det finns ett.

• VM1:Subnet1 är associerad med NSG1, så säkerhetsreglerna bearbetas och VM1 finns i Subnet1. Om du inte har skapat en regel som tillåter inkommande DenyAllInbound port 80 nekar standardsäkerhetsregeln trafiken och utvärderas aldrig av NSG2 eftersom NSG2 är associerat med nätverksgränssnittet. Om NSG1 har en säkerhetsregel som tillåter port 80, bearbetar NSG2 trafiken. För att trafik på port 80 ska tillåtas på den virtuella datorn måste både NSG1 och NSG2 ha en regel som tillåter trafik på port 80 från Internet.
• VM2: Reglerna i NSG1 bearbetas eftersom VM2 också finns i Subnet1. Eftersom VM2 inte har någon nätverkssäkerhetsgrupp kopplad till nätverksgränssnittet tar den emot all trafik som tillåts via NSG1 eller nekas all trafik som nekas av NSG1. Trafik antingen tillåts eller nekas till alla resurser i samma undernät när en nätverkssäkerhetsgrupp är associerad med ett undernät.
• VM3: Eftersom det inte finns någon nätverkssäkerhetsgrupp som är associerad med Subnet2tillåts trafik till undernätet och bearbetas av NSG2, eftersom NSG2 är associerat med nätverksgränssnittet som är kopplat till VM3.
• VM4: Trafik tillåts till VM4 eftersom en nätverkssäkerhetsgrupp inte är associerad med Subnet3eller nätverksgränssnittet på den virtuella datorn. All nätverkstrafik tillåts genom ett undernät eller nätverksgränssnitt om ingen nätverkssäkerhetsgrupp är associerad med undernätet eller nätverksgränssnittet.

För utgående trafik bearbetar Azure reglerna i en nätverkssäkerhetsgrupp som är associerad med ett nätverksgränssnitt först, om det finns ett, och sedan reglerna i en nätverkssäkerhetsgrupp som är associerad med undernätet, om det finns ett.

• VM1: Säkerhetsreglerna i NSG2 bearbetas. Om du inte skapar en säkerhetsregel som nekar utgående port 80 till Internet tillåter standardsäkerhetsregeln AllowInternetOutbound trafiken i både NSG1 och NSG2. Om NSG2 har en säkerhetsregel som nekar port 80 nekas trafiken och NSG1 utvärderar den aldrig. För att trafik på port 80 ska nekas från den virtuella datorn måste den ena eller båda nätverkssäkerhetsgrupperna ha en regel som nekar trafik på port 80 till Internet.
• VM2: All trafik skickas via nätverksgränssnittet till undernätet, eftersom nätverksgränssnittet som är kopplat till VM2 inte har någon associerad nätverkssäkerhetsgrupp. Reglerna i NSG1 bearbetas.
• VM3: Om NSG2 har en säkerhetsregel som nekar port 80 nekas trafiken. Om NSG2 har en säkerhetsregel som tillåter port 80 tillåts port 80 utgående till Internet, eftersom en nätverkssäkerhetsgrupp inte är associerad med Subnet2.
• VM4: All nätverkstrafik tillåts från VM4 eftersom en nätverkssäkerhetsgrupp inte är associerad med nätverksgränssnittet som är kopplat till den virtuella datorn eller till Subnet3.

Programsäkerhetsgrupper

Med en programsäkerhetsgrupp (ASG) kan du konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper. Du kan återanvända din säkerhetsprincip i stor skala utan manuellt underhåll av explicita IP-adresser. Plattformen hanterar komplexiteten med explicita IP-adresser och flera regeluppsättningar så att du kan fokusera på affärslogik.

För att minimera antalet säkerhetsregler, och behovet av att behöva ändra reglerna, bör du tänka igenom vilka programsäkerhetsgrupper du behöver och sedan skapa regler med hjälp av tjänsttaggar eller programsäkerhetsgrupper, i stället för att använda enskilda IP-adresser eller IP-adressintervall.

Filtrera nätverkstrafik med en NSG med hjälp av Azure-portalen

Du kan använda en nätverkssäkerhetsgrupp för att filtrera inkommande och utgående nätverkstrafik från ett virtuellt nätverksundernät. Nätverkssäkerhetsgrupper innehåller säkerhetsregler som filtrerar nätverkstrafik efter IP-adress, port och protokoll. Säkerhetsregler tillämpas på resurser som har distribuerats i ett undernät.

De viktigaste stegen för att filtrera nätverkstrafik med en NSG med hjälp av Azure-portalen är:

1. Skapa en resursgrupp – detta kan antingen göras i förväg eller när du skapar det virtuella nätverket i nästa steg. Alla andra resurser som du skapar måste finnas i samma region som anges här.
2. Skapa ett virtuellt nätverk – detta måste distribueras i samma resursgrupp som du skapade tidigare.
3. Skapa programsäkerhetsgrupper – med de programsäkerhetsgrupper som du skapar här kan du gruppera servrar med liknande funktioner, till exempel webbservrar eller hanteringsservrar. Du skapar två programsäkerhetsgrupper här. en för webbservrar och en för hanteringsservrar (till exempel MyAsgWebServers och MyAsgMgmtServers)
4. Skapa en nätverkssäkerhetsgrupp – nätverkssäkerhetsgruppen skyddar nätverkstrafiken i ditt virtuella nätverk. Den här NSG:n kommer att associeras med ett undernät i nästa steg.
5. Associera en nätverkssäkerhetsgrupp med ett undernät – det är här du associerar den nätverkssäkerhetsgrupp som du skapade tidigare med undernätet för det virtuella nätverk som du skapade i steg 2 ovan.
6. Skapa säkerhetsregler – det är här du skapar dina inkommande säkerhetsregler. Här skapar du en säkerhetsregel som tillåter portarna 80 och 443 till programsäkerhetsgruppen för dina webbservrar (till exempel MyAsgWebServers). Sedan skapar du en annan säkerhetsregel för att tillåta RDP-trafik på port 3389 till programsäkerhetsgruppen för dina hanteringsservrar (till exempel MyAsgMgmtServers). Dessa regler styr varifrån du kan komma åt den virtuella datorn via fjärranslutning och din IIS-webbserver.
7. Skapa virtuella datorer – det är här du skapar de virtuella datorerna (till exempel MyVMWeb) och hanteringsservern (till exempel MyVMMgmt) som ska associeras med respektive programsäkerhetsgrupp i nästa steg.
8. Associera nätverkskort till en ASG – det är här du associerar nätverkskortet (NIC) som är kopplat till varje virtuell dator med den relevanta programsäkerhetsgruppen som du skapade i steg 3 ovan.
9. Testa trafikfilter – det sista steget är där du testar att din trafikfiltrering fungerar som förväntat.
   • För att testa detta försöker du ansluta till den virtuella datorn för hanteringsservern (till exempel MyVMMgmt) med hjälp av en RDP-anslutning, vilket verifierar att du kan ansluta eftersom port 3389 tillåter inkommande anslutningar från Internet till programsäkerhetsgruppen för hanteringsservrar (till exempel MyAsgMgmtServers).
   • När du är ansluten till RDP-sessionen på hanteringsservern (till exempel MyVMMgmt) testar du sedan en RDP-anslutning från den virtuella hanteringsserverns virtuella dator (till exempel MyVMMgmt) till den virtuella webbserverdatorn (till exempel MyVMWeb), vilket återigen bör lyckas eftersom virtuella datorer i samma nätverk kan kommunicera med var och en via valfri port som standard.
   • Du kommer dock inte att kunna skapa en RDP-anslutning till den virtuella webbserverdatorn (till exempel MyVMWeb) från Internet, eftersom säkerhetsregeln för webbservrarnas programsäkerhetsgrupp (till exempel MyAsgWebServers) förhindrar anslutningar till port 3389 inkommande från Internet. Inkommande trafik från Internet nekas som standard till alla resurser.
   • När du är ansluten till RDP-sessionen på webbservern (till exempel MyVMWeb), kan du sedan installera IIS på webbservern, sedan koppla från den virtuella webbserverns RDP-session och koppla från RDP-sessionen för hanteringsservern. I Azure-portalen skulle du sedan fastställa den offentliga IP-adressen för den virtuella webbserverdatorn (till exempel MyVMWeb) och bekräfta att du kan komma åt den virtuella webbserverdatorn från Internet genom att öppna en webbläsare på datorn och navigera till http:// (till exempel http://23.96.39.113) . Du bör se standardskärmen för IIS-välkomst eftersom port 80 tillåts inkommande åtkomst från Internet till programsäkerhetsgruppen för webbservrar (till exempel MyAsgWebServers). Nätverksgränssnittet som är kopplat till den virtuella webbserverdatorn (till exempel MyVMWeb) är associerat med programsäkerhetsgruppen för webbservrar (till exempel MyAsgWebServers) och tillåter därför anslutningen.

Information om hur du visar detaljerade steg för alla dessa uppgifter finns i Självstudie: Filtrera nätverkstrafik med en nätverkssäkerhetsgrupp med hjälp av Azure-portalen.

Testa dina kunskaper

1.

Vad bör vara principen när du utformar säkerhetskonfigurationer?

Neka som standard, tillåt som undantag.

Neka specifik, tillåt alla.

Tillåt alla, övervaka och neka efter behov.

2.

Vilken av dessa är en standardregel för nätverkssäkerhet i en NSG?

AllowAllInbound.

DenyVnetOutBound.

AllowInternetOutBound.

Du måste svara på alla frågor innan du kontrollerar ditt arbete.

Fortsätt