共用方式為


在 Azure 虛擬網絡 Manager 中使用安全性系統管理員規則保護高風險網路埠

在本文中,您將瞭解如何使用 Azure 虛擬網絡 管理員和安全性系統管理員規則來封鎖高風險的網路埠。 您將逐步引導您建立 Azure 虛擬網絡 Manager 實例、將您的虛擬網路 (VNet) 與網路群組分組,以及建立及部署組織的安全性系統管理員設定。 您可以部署高風險埠的一般封鎖規則。 然後,您會建立例外規則,以使用網路安全組管理特定應用程式的 VNet。

雖然本文著重於單一埠 SSH,但您可以使用相同的步驟保護環境中的任何高風險埠。 若要深入瞭解,請檢閱此高風險埠清單

必要條件

部署虛擬網路環境

您需要虛擬網路環境,其中包含可隔離的虛擬網路,以允許和封鎖特定網路流量。 您可以使用下表或您自己的虛擬網路組態:

名稱 IPv4 位址空間 子網路
vnetA-gen 10.0.0.0/16 default - 10.0.0.0/24
vnetB-gen 10.1.0.0/16 default - 10.1.0.0/24
vnetC-gen 10.2.0.0/16 default - 10.2.0.0/24
vnetD-app 10.3.0.0/16 default - 10.3.0.0/24
vnetE-app 10.4.0.0/16 default - 10.4.0.0/24
  • 將所有虛擬網路放在相同的訂用帳戶、區域和資源群組中

不確定如何建置虛擬網路? 若要深入瞭解,請參閱快速入門:使用 Azure 入口網站 建立虛擬網路。

建立虛擬網路管理員實例

在本節中,您會在組織中部署具有安全性系統管理員功能的 虛擬網絡 Manager 實例。

  1. 選取 [+ 建立資源],並搜尋 [網路管理員]。 然後選取 [建立] 以開始設定 Azure 虛擬網絡 Manager。

  2. 在 [ 基本] 索引 標籤上,輸入或選取貴組織的資訊:

    [建立網络管理員基本] 頁面的螢幕快照。

    設定
    訂用帳戶 選取您要部署 Azure 虛擬網絡 Manager 的訂用帳戶。
    資源群組 選取或建立資源群組來儲存 Azure 虛擬網絡 Manager。 此範例會使用先前建立的 myAVNMResourceGroup
    名稱 輸入此 Azure 虛擬網絡 Manager 實例的名稱。 此範例會使用 myAVNM 名稱
    區域 選取此部署的區域。 Azure 虛擬網絡 Manager 可以管理任何區域中的虛擬網路。 選取的區域是部署 虛擬網絡 Manager 實例的區域。
    描述 (選用) 提供此 Virtual Network Manager 執行個體及其管理工作的描述。
    Scope 定義 Azure 虛擬網絡 Manager 可以管理的範圍。 此範例使用訂用帳戶層級範圍。
    功能 選取您想要為 Azure 虛擬網絡 Manager 啟用的功能。 可用的功能包括 [連線能力]、[安全性][系統管理員] 或 [全選]。
    線上能力 - 可讓您在範圍內的虛擬網路之間建立完整的網格或中樞和輪輻網路拓撲。
    SecurityAdmin - 能夠建立全域網路安全性規則。
  3. 選取 [ 檢閱 + 建立 ],然後選取 [ 驗證通過之後建立 ]。

  4. 選取 [部署完成時移至資源 ],然後檢閱虛擬網路管理員設定

為所有虛擬網路建立網路群組

建立虛擬網路管理員之後,您現在會建立包含組織中所有 VNet 的網路群組,並手動新增所有 VNet。

  1. 選取 [設定] 底下的 [網络群組]。
  2. 選取 [+ 建立],輸入 網路群組的名稱 ,然後選取 [ 新增]。
  3. 在 [ 網络群組] 頁面上,選取您建立的網路群組。
  4. 選取 [新增],在 [靜態成員資格] 底下手動新增所有 VNet。
  5. 在 [ 新增靜態成員] 頁面上,選取您想要包含的所有虛擬網络,然後選取 [ 新增]。 [新增靜態成員] 頁面的螢幕快照,其中顯示虛擬網路的手動選取專案。

為所有虛擬網路建立安全性系統管理員設定

是時候在設定中建構我們的安全性系統管理員規則,以便一次將這些規則套用至您網路群組內的所有 VNet。 在本節中,您會建立安全性系統管理員設定。 然後,您會建立規則集合,並新增 SSH 或 RDP 等高風險埠的規則。 此設定會拒絕網路群組中所有虛擬網路的網路流量。

  1. 返回您的虛擬網路管理員資源。

  2. 選取 [設定] 下的 [組態],然後選取 [+ 建立]。

  3. 從下拉功能表中選取 [安全性 設定]。

  4. 在 [ 基本] 索引 標籤上,輸入 [名稱 ] 來識別此安全性設定,然後選取 [ 下一步:規則集合]。

    安全性組態名稱欄位的螢幕快照。

  5. 從 [新增安全性設定] 頁面選取 [+ 新增]。

  6. 輸入 [名稱] 以識別此規則集合,然後選取您要套用規則集的目標網络群組。 目標群組是包含您所有虛擬網路的網路群組。

    規則集合名稱和目標網路群組的螢幕快照。

新增安全性規則以拒絕高風險的網路流量

在本節中,您會定義安全性規則,以封鎖所有虛擬網路的高風險網路流量。 指派優先順序時,請記住未來的例外狀況規則。 設定優先順序,讓例外狀況規則套用在此規則上。

  1. 選取 [安全性系統管理員規則] 底下的 [+ 新增]。

    新增規則按鈕的螢幕快照。

  2. 輸入定義安全性規則所需的信息,然後選取 [ 新增 ] 將規則新增至規則集合。

    新增規則頁面的螢幕快照。

    設定
    名稱 輸入規則名稱。
    描述 輸入規則的相關描述。
    優先權* 輸入介於 1 到 4096 之間的值,以判斷規則的優先順序。 值愈低,優先順序愈高。
    行動* 選取 [ 拒絕 ] 以封鎖流量。 如需詳細資訊,請參閱 動作
    方向* 選取 [輸入 ],因為您想要使用此規則拒絕輸入流量。
    協定* 選取埠的網路通訊協定。
    來源
    來源類型 選取IP位址或服務標籤的來源類型。
    來源 IP 位址 當您選取IP位址的來源類型時,會出現此欄位。 使用 CIDR 表示法輸入 IPv4 或 IPv6 位址或範圍。 使用逗號分隔多個位址或位址區塊時。 在此範例中保留空白。
    來源服務標籤 當您選取服務標籤的來源類型時,會出現此欄位。 針對您想要指定為來源的服務,選取 [服務卷標]。 如需支援的標籤清單,請參閱 可用的服務標籤
    來源連接埠 輸入單一埠號碼或埠範圍,例如 (1024-65535)。 定義多個埠或埠範圍時,請使用逗號分隔它們。 若要指定任何連接埠,請透過 *。 在此範例中保留空白。
    目的地
    目的地類型 選取IP位址或服務標籤目的地類型。
    目的地 IP 位址 當您選取IP位址目的地類型時,會出現此欄位。 使用 CIDR 表示法輸入 IPv4 或 IPv6 位址或範圍。 使用逗號分隔多個位址或位址區塊時。
    目的地服務標籤 當您選取服務標籤目的地類型時,會出現此欄位。 針對您想要指定為目的地的服務,選取 [服務卷標]。 如需支援的標籤清單,請參閱 可用的服務標籤
    目的地連接埠 輸入單一埠號碼或埠範圍,例如 (1024-65535)。 定義多個埠或埠範圍時,請使用逗號分隔它們。 若要指定任何連接埠,請透過 *。 在此範例中輸入 3389
  3. 如果您想要將更多規則新增至規則集合,請再次重複步驟 1-3。

  4. 一旦您對想要建立的所有規則感到滿意,請選取 [新增 ] 將規則集合新增至安全性系統管理員設定。

    規則集合的螢幕快照。

  5. 然後選取 [檢閱 + 建立] 和 [建立],以完成安全性設定。

部署安全性系統管理員設定來封鎖網路流量

在本節中,當您部署安全性系統管理員設定時,所建立的規則就會生效。

  1. 選取 [設定] 下的 [部署],然後選取 [部署組態]。

    部署設定按鈕的螢幕快照。

  2. 選取 [ 在您的目標狀態 中包含安全性管理員] 複選框,然後從下拉功能表選擇您在最後一節中建立的安全性設定。 然後選擇您想要將此設定部署至的區域。

    部署安全性設定頁面的螢幕快照。

  3. 選取 [ 下一步 ] 和 [部署 ] 以部署安全性系統管理員設定。

建立流量例外規則的網路群組

當所有 VNet 的流量遭到封鎖時,您需要例外狀況以允許特定虛擬網路的流量。 您可以特別為需要排除其他安全性系統管理員規則的 VNet 建立網路群組。

  1. 從虛擬網路管理員中,選取 [設定] 底下的 [網络群組]。
  2. 選取 [+ 建立],輸入 應用程式網路群組的名稱 ,然後選取 [ 新增]。
  3. 在 [定義動態成員資格] 底下,選取 [定義]。
  4. 輸入或選取值,以允許流量流向您的應用程式虛擬網路。 [定義網络群組] 頁面的螢幕快照,其中包含選取群組成員資格虛擬網路的條件。
  5. 選取 [預覽資源] 以檢閱包含的有效 虛擬網絡,然後選取 [關閉]。 [有效 虛擬網絡] 頁面的螢幕快照,其中顯示網路群組中動態包含的虛擬網路。
  6. 選取儲存

建立流量例外狀況安全性管理規則和集合

在本節中,您會建立新的規則集合和安全性管理規則,以允許高風險流量流向您已定義為例外狀況的虛擬網路子集。 接下來,您會將其新增至現有的安全性系統管理員設定。

重要

為了讓安全性系統管理員規則允許流量流向您的應用程式虛擬網路,優先順序必須設定為 低於封鎖流量的現有規則數目

例如,封鎖 SSH 的所有網路規則的優先順序為 10,因此您的允許規則應具有從 1 到 9 的優先順序

  1. 從虛擬網路管理員中,選取 [ 組態 ],然後選取您的安全性設定。
  2. 選取 [設定] 底下的 [規則集合],然後選取 [+ 建立] 以建立新的規則集合。
  3. 在 [ 新增規則集合] 頁面上,輸入應用程式規則集合的名稱,然後選擇您建立的應用程式網路群組。
  4. 在 [ 安全性系統管理員規則] 底下,選取 [+ 新增]。
  5. 輸入或選取值以允許應用程式網路群組的特定網路流量,然後在完成時選取 [ 新增 ]。
  6. 針對需要例外狀況的所有流量重複新增規則程式。
  7. 當完成時,選擇儲存

重新部署具有例外規則的安全性系統管理員設定

若要套用新的規則集合,您可以藉由新增規則集合來重新部署安全性管理員設定。

  1. 從您的虛擬網路管理員中,選取 [ 組態]。
  2. 選取您的安全性系統管理員設定,然後選取 [ 部署]
  3. 在 [ 部署設定] 頁面上,選取接收部署的所有目標區域和
  4. 選取 [ 下一步 ] 和 [部署]。

下一步