在 Windows Admin Center 中使用標籤設定網路安全組

  • 發行項

適用於:Azure Stack HCI 版本 23H2 和 22H2

本文說明如何在 Windows Admin Center 中使用網路安全標籤來設定網路安全組。

使用網路安全標籤,您可以建立自定義的使用者定義標籤、將這些標籤附加至虛擬機 (VM) 網路介面,並根據這些標籤套用網路安全組 (網路存取原則) 。

使用網路安全性標籤簡化安全性

網路安全組可讓您根據網路建構來設定存取原則,例如網路前綴和子網。 例如,如果您想要限制 Web 伺服器 VM 與資料庫 VM 之間的通訊,您必須識別對應的網路子網,並建立原則來拒絕這些子網之間的通訊。 不過,此方法有一些限制:

  • 您的安全策略會系結至網路建構,這表示您必須知道哪些應用程式位於特定網路區段。 瞭解您的網路基礎結構和架構變得很重要。

  • 建置應用程式的原則時,您可能會想要在不同的案例中重複使用它們。 例如,如果您的生產 Web 應用程式只能透過因特網的埠 80 連線,而且無法由生產環境或其他環境中的其他應用程式觸達,您就擁有任何新應用程式類似的原則。 不過,透過網路分割,重新建立原則會因為每個應用程式的唯一網路元素而變得必要。

  • 如果您解除委任舊的應用程式,並在相同的網路區段中布建新的應用程式,則需要原則調整。

使用網路安全性標籤功能,您不再需要追蹤應用程式裝載所在的網路區段。 這可簡化原則管理,並避免與網路建構相關聯的複雜度。 讓我們重新考慮 Web 伺服器和資料庫 VM 的範例:使用 「Web」 和 「Database」 網路安全標籤對應的 VM,然後建立規則來限制 「Web」 和 「Database」 標籤的通訊。

建立以網路安全組為基礎的網路安全組

若要建立以網路安全組為基礎的網路安全組,請遵循下列步驟:

  1. 建立一或多個網路安全性標籤

  2. 將網路安全性標籤指派給 VM

  3. 建立網路安全組

  4. 建立網路安全組的網路安全性規則

  5. 將網路安全組套用至 VM、網路子網、網路安全性捲標

建立網路安全性標籤

  1. 在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立網路安全組的叢集。

  2. [工具] 底下,向下捲動至 [ 網络 ] 區域,然後選取 [ 網络安全組]。

  3. 在 [ 網络安全組] 底下,選取 [ 網络安全卷標 ] 索引卷標,然後選取 [ 新增]。

  4. 在 [ 建立網络安全卷標 ] 窗格中,於 [ 名稱 ] 字段中輸入網路安全標籤的名稱。

    [建立網络安全性卷標] 窗格的螢幕快照。

  5. (選擇性) 在 [ 類型 ] 欄位中,輸入標籤的類型。 如果您想要將標籤分類以便輕鬆管理,此欄位會很有用。 例如,您可以有相同類型 「應用程式」的不同標籤,例如 SQL、Web、IOT、感測器等。

  6. 選取 [提交] 。

將網路安全性標籤指派給 VM

您可以在建立新的 VM 時,或在變更現有 VM 的屬性時,將網路安全性標籤指派給 VM。

在 VM 建立期間指派網路安全性標籤

如需如何建立新 VM 的逐步指示,請參閱 建立新的 VM

若要在建立新的 VM 時指派網路安全性標籤:

  1. 在 Windows Admin Center 主畫面的 [所有連線] 下,選取您要在其中建立 VM 的伺服器或叢集。

  2. 在 [工具] 下,向下捲動並選取 [虛擬機器]。

  3. [虛擬機] 底下,選取 [ 清查] 索引卷標,選取 [ 新增],然後選取 [ 新增]。

  4. 在 [新增虛擬機器] 下,輸入 VM 的名稱。

  5. 輸入 VM 的其他屬性。

  6. 在 [ 網络] 底下,選取您稍早建立的網络 安全性標籤,在 [建立網络安全性卷標]。

    顯示建立新 VM 時指派網路安全性捲標步驟的螢幕快照。

  7. 選取 [建立]。

將網路安全性標籤指派給現有的 VM

您可以變更其設定,將網路安全性標籤指派給現有的 VM。 如需如何變更 VM 設定的詳細指示,請參閱 變更 VM 設定

  1. 在 [工具] 下,向下捲動到 [網路] 區域,然後選取 [虛擬機器]。

  2. 選取 [清查] 索引標籤,選取 VM,然後選取 [設定]。

  3. 在 [設定] 頁面上,選取 [網路]。

  4. 在 [ 網络安全卷標 ] 區段底下,選取 [ 新增網络安全性卷標],然後在 [ 建立網络安全性卷標] 中選取您稍早建立的網络安全性捲標。

  5. 選取 [儲存網络設定]。

建立網路安全性群組

  1. 在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立網路安全組的叢集。

  2. [工具] 底下,向下捲動至 [ 網络 ] 區域,然後選取 [ 網络安全組]。

  3. 在 [ 網络安全組] 底下,選取 [ 清查] 索引卷標,然後選取 [ 新增]。

  4. 在 [ 網络安全組 ] 窗格中,輸入網路安全組的名稱,然後選取 [ 提交]。

    顯示 [網路安全組] 窗格的螢幕快照。

  5. [網络安全組] 底下,確認新網路安全組的 [ 布建] 狀態 顯示 [成功]。

建立網路安全性群組規則

建立網路安全組之後,您就可以開始建立網路安全組規則。 如果您想要將網路安全組規則同時套用至輸入和輸出流量,您需要建立兩個規則。

  1. 在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立網路安全組的叢集。

  2. [工具] 底下,向下捲動至 [ 網络 ] 區域,然後選取 [ 網络安全組]。

  3. 在 [ 網络安全組] 底下,選取 [ 清查] 索引卷標,然後在 [ 建立網路安全組] 中選取您稍早建立的網路安全組。

  4. [網络安全性規則] 底下,選取 [ 新增]。

  5. 在右側的 [ 網路安全性規則] 窗格中,提供下列資訊:

    欄位 描述
    名稱 規則的名稱。
    優先順序 規則的優先順序。 可接受的值為 10165000。 較低的值表示較高的優先順序。
    類型 規則的類型。 這可以是 輸入輸出
    通訊協定 要比對傳入或傳出封包的通訊協定。 可接受的值為 [全部]、[TCP] 和 [UDP]。
    來源 選取 [網络安全性標籤]。

    注意: 您可以選取位址前綴或網路安全性標籤,但不能同時選取兩者。
    來源安全性標籤類型 (選擇性) 選取標籤的類型。
    來源安全性標籤 在 [ 建立網络安全性標籤] 中,選取您稍早建立的網路安全性標籤。
    來源埠範圍 指定要比對傳入或傳出封包的來源埠範圍。 您可以輸入 * 以指定所有來源埠。
    目的地 選取 [網络安全性標籤]。

    注意: 您可以選取位址前綴或網路安全性標籤,但不能同時選取兩者。 來源和目的地可以不同。
    目的地安全性標籤 (選擇性) 選取標籤的類型。
    目的地安全性標籤 在 [ 建立網络安全性標籤] 中,選取您稍早建立的網路安全性標籤。
    目的地連接埠範圍 指定目的地埠範圍,以符合傳入或傳出封包。 您可以輸入 * 指定所有目的地連接埠。
    動作 如果符合上述條件,請指定 以允許或封鎖封包。 可接受的值為 [允許] 和 [拒絕]。
    Logging 指定要啟用或停用規則的記錄。 如果啟用記錄,則會在主機電腦上記錄與此規則相符的所有流量。

  6. 選取 [提交]。

套用網路安全組

您可以將網路安全組套用至:

將網路安全組套用至網路安全標籤

當您將網路安全組套用至網路安全標籤時,網路安全組規則會套用至與該網路安全標籤相關聯的所有 VM 網路介面。

若要透過 Windows Admin Center 將網路安全組套用至網路安全標籤,請遵循下列步驟:

  1. 在 Windows Admin Center 主畫面的 [所有連線] 下,選取您要套用網路安全組的叢集。

  2. [工具] 底下,向下捲動至 [網络 ] 區域,然後選取 [ 網络安全組]。

  3. [網络安全組] 底下,選取 [ 網络安全卷標] 索引標籤

  4. 選取您要編輯的網路安全性標籤,然後選取 [ 設定]。

  5. 在所選標籤標的 [ 編輯網路安全卷 標] 窗格上,選取您要套用至網路安全標籤的網路安全組。

    顯示如何將現有網路安全組套用至網路安全性標籤的螢幕快照。

  6. 選取 [提交] 。

下一步

如需相關資訊,另請參閱: