在 Windows Admin Center 中使用标记配置网络安全组

  • 项目

适用于:Azure Stack HCI 版本 23H2 和 22H2

本文介绍如何在 Windows Admin Center 中使用网络安全标记配置网络安全组。

使用网络安全标记,可以创建自定义用户定义的标记、将这些标记附加到虚拟机 (VM) 网络接口以及根据这些标记(通过网络安全组)应用网络访问策略。

使用网络安全标记简化安全性

使用网络安全组可以基于网络构造(如网络前缀和子网)配置访问策略。 例如,如果要限制 Web 服务器 VM 与数据库 VM 之间的通信,则必须标识相应的网络子网并创建一个策略来拒绝这些子网之间的通信。 但是,此方法存在一些限制:

  • 安全策略与网络构造相关联,这意味着需要知道哪些应用程序驻留在特定网段上。 了解网络基础结构和体系结构变得至关重要。

  • 为应用程序生成策略时,可能需要在不同的方案中重复使用这些策略。 例如,如果生产 Web 应用只能通过 Internet 端口 80 访问,并且不能由生产环境或其他环境中的其他应用访问,则任何新应用都有类似的策略。 但是,对于网络分段,由于每个应用都具有唯一的网络元素,因此需要重新创建策略。

  • 如果停用旧应用程序并在同一网段内预配新应用程序,则需要调整策略。

借助网络安全标记功能,就不再需要跟踪应用程序托管的网段。 这简化了策略管理,并避免了与网络构造相关的复杂性。 让我们重新考虑 Web 服务器和数据库 VM 的示例:使用“Web”和“数据库”网络安全标记标记相应的 VM,然后创建规则来限制“Web”和“数据库”标记之间的通信。

创建基于网络安全组的网络安全标记

要创建基于网络安全组的网络安全标记,请执行以下步骤:

  1. 创建一个或多个网络安全标记

  2. 将网络安全标记分配给 VM

  3. 创建网络安全组.

  4. 为网络安全组创建网络安全规则

  5. 将网络安全组应用于 VM、网络子网、网络安全标记

创建网络安全标记

  1. 在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中创建网络安全组的群集。

  2. 在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。

  3. 在“网络安全组”下选择“网络安全标记”选项卡,然后选择“新建”。

  4. 在“创建网络安全标记”窗格的“名称”字段中输入网络安全标记的名称。

    “创建网络安全标记”窗格的屏幕截图。

  5. (可选)在“类型”字段中输入标记的类型。 该字段可帮助你对标记进行分类,以简化管理工作。 例如,同一“应用程序”类型可以有不同的标签,如 SQL、Web、IOT、Sensor 等。

  6. 选择“提交”。

将网络安全标记分配给 VM

可以在创建新 VM 时或在更改现有 VM 的属性时,将网络安全标记分配给 VM。

在创建 VM 的过程中分配网络安全标记

若要查看创建新 VM 的分步说明,请参阅创建新 VM

在创建新 VM 时分配网络安全标记:

  1. 在 Windows Admin Center 主屏幕中的“所有连接”下,选择创建 VM 时要基于的服务器或群集。

  2. 在“工具”下,向下滚动并选择“虚拟机”。

  3. 在“虚拟机”下选择“清单”选项卡,然后依次选择“添加”和“新建”。

  4. 在“新建虚拟机”下,为 VM 输入一个名称。

  5. 输入 VM 的其他属性。

  6. 在“网络”下,选择之前在创建网络安全标记部分中创建的网络安全标记。

    屏幕截图显示在创建新 VM 时分配网络安全标记的步骤。

  7. 选择“创建”。

将网络安全标记分配给现有 VM

通过更改现有 VM 的设置,可向其分配网络安全标记。 有关如何更改 VM 设置的详细说明,请参阅更改 VM 设置

  1. 在“工具”下,向下滚动到“网络”区域,然后选择“虚拟机” 。

  2. 选择“清单”选项卡,选择一个 VM,然后选择“设置” 。

  3. 在“设置”页上,选择“网络”。

  4. 在“网络安全标记”部分下,选择“添加网络安全标记”,选择之前在创建网络安全标记部分中创建的网络安全标记。

  5. 选择“保存网络设置”。

创建网络安全组

  1. 在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中创建网络安全组的群集。

  2. 在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。

  3. 在“网络安全组”下选择“清单”选项卡,然后选择“新建”。

  4. 在“网络安全组”窗格中,键入网络安全组的名称,然后选择“提交”。

    显示“网络安全组”窗格的截图。

  5. 在“网络安全组”下,验证新网络安全组的“预配状态”是否显示“成功”。

创建网络安全组规则

创建网络安全组后,即可创建网络安全组规则。 如果要将网络安全组规则应用于入站和出站流量,则需创建两个规则。

  1. 在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中创建网络安全组的群集。

  2. 在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。

  3. 在“网络安全组”下,选择“清单”选项卡,然后选择之前在创建网络安全组部分中创建的网络安全组。

  4. 在“网络安全规则”下选择“新建”。

  5. 在右侧“网络安全规则”窗格中,提供以下信息:

    字段 说明
    名称 规则名称。
    Priority 规则的优先级。 可接受的值为 101 到 65000。 值越小,表示优先级越高。
    类型 规则类型。 可以是“入站”或“出站”。
    协议 与传入或传出数据包匹配的协议。 可接受的值为“全部”、“TCP”和“UDP” 。
    Source 选择“网络安全标记”。

    注意:可以选择地址前缀或网络安全标记,但不能同时选择两者。
    源安全标记类型 (可选)选择标记的类型。
    源安全标记 选择之前在创建网络安全标记部分中创建的网络安全标记。
    源端口范围 指定要与传入或传出数据包匹配的源端口范围。 可以输入 * 以指定所有源端口。
    目标 选择“网络安全标记”。

    注意:可以选择地址前缀或网络安全标记,但不能同时选择两者。 源和目标可能有所不同。
    目标安全标记类型 (可选)选择标记的类型。
    目标安全标记 选择之前在创建网络安全标记部分中创建的网络安全标记。
    目标端口范围 指定要与传入或传出数据包匹配的目标端口范围。 可以输入 * 以指定所有目标端口。
    操作 如果与上述条件匹配,则指定允许或阻止数据包。 可接受的值为“允许”和“拒绝” 。
    Logging 指定为规则启用或禁用日志记录。 如果启用了日志记录,则会在主机计算机上记录与此规则匹配的所有流量。

  6. 选择“提交”。

应用网络安全组

可以将网络安全组应用于:

将网络安全组应用于网络安全标记

将网络安全组应用于网络安全标记时,网络安全组规则会应用于与该网络安全标记关联的所有 VM 网络接口。

若要通过 Windows Admin Center 将网络安全组应用到网络安全标记,请执行以下步骤:

  1. 在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中应用网络安全组的群集。

  2. 在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。

  3. 在“网络安全组”下,选择“网络安全标记”选项卡。

  4. 选择要编辑的网络安全标记,然后选择“设置”。

  5. 在所选标记的“编辑网络安全标记”窗格中,选择要应用于网络安全标记的网络安全组。

    显示如何将现有网络安全组应用到网络安全标记的屏幕截图。

  6. 选择“提交”。

后续步骤

如需相关信息,另请参阅: