應用程式安全性群組
應用程式安全性群組可讓您將網路安全性設定為應用程式結構的自然延伸,以便分組虛擬機器,並定義以那些群組為基礎的網路安全性原則。 您可以大規模重複使用您的安全性原則,而不需進行明確 IP 位址的手動維護。 此平台可處理明確 IP 位址和多個規則集的複雜性,讓您專注於商務邏輯。 若要進一步了解應用程式安全性群組,請考慮下列範例:
在上圖中,NIC1 和 NIC2 都是 AsgWeb 應用程式安全性群組的成員。 NIC3 是 AsgLogic 應用程式安全性群組的成員。 NIC4 是 AsgDb 應用程式安全性群組的成員。 雖然在此範例中的每個網路介面 (NIC) 都只是一個網路安全性群組的成員,但網路介面可以是多個應用程式安全性群組的成員,數量上限可參照 Azure 限制。 沒有任何網路介面具有已建立關聯的網路安全性群組。 NSG1 與這兩個子網路相關聯且包含下列規則:
Allow-HTTP-Inbound-Internet
若要允許從網際網路到 web 伺服器的流量,則此為必要規則。 因為來自網際網路的輸入流量會遭到 DenyAllInbound 預設安全性規則拒絕,而 AsgLogic 或 AsgDb 應用程式安全性群組則不需要其他規則。
| 優先順序 | 來源 | 來源連接埠 | Destination | 目的地連接埠 | 通訊協定 | Access |
|---|---|---|---|---|---|---|
| 100 | 網際網路 | * | AsgWeb | 80 | TCP | 允許 |
Deny-Database-All
因為 AllowVNetInBound 預設安全性規則允許相同虛擬網路中資源之間的所有通訊,所以需要此規則才能拒絕來自所有資源的流量。
| 優先順序 | 來源 | 來源連接埠 | Destination | 目的地連接埠 | 通訊協定 | Access |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgDb | 1433 | 任何 | 拒絕 |
Allow-Database-BusinessLogic
此規則會允許流量從 AsgLogic 應用程式安全性群組流向 AsgDb 應用程式安全性群組。 此規則的優先順序高於 Deny-Database-All 規則的優先順序。 因此,會在 Deny-Database-All 規則之前處理此規則,以允許來自 AsgLogic 應用程式安全性群組的流量,但會封鎖所有其他的流量。
| 優先順序 | 來源 | 來源連接埠 | Destination | 目的地連接埠 | 通訊協定 | Access |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | 允許 |
應用程式安全性群組成員的網路介面會套用將其指定為來源或目的地的規則。 此規則不會影響其他網路介面。 如果網路介面不是應用程式安全性群組的成員,則此規則不適用於此網路介面,即使子網路與網路安全性群組相關聯也一樣。
應用程式安全性群組有下列限制:
您可以在訂用帳戶中擁有的應用程式安全性群組數量會有所限制,而且還有其他與應用程式安全性群組相關的限制。 如需詳細資訊,請參閱 Azure 限制。
指派給應用程式安全性群組的所有網路介面,都必須存在於指派給應用程式安全性群組之第一個網路介面所在的相同虛擬網路中。 例如,如果指派給應用程式安全性群組 AsgWeb 的第一個網路介面位於名為 VNet1 的虛擬網路中,則後續所有指派給 ASGWeb 的網路介面都必須存在於 VNet1 中。 您無法將不同虛擬網路的網路介面新增至相同的應用程式安全性群組。
如果您指定應用程式安全性群組作為安全性規則中的來源和目的地,則兩個應用程式安全性群組中的網路介面都必須存在於相同的虛擬網路中。
- 例如,如果 AsgLogic 有來自 VNet1 的網路介面,而 AsgDb 有來自 VNet2 的網路介面。 在此案例中,就無法將 AsgLogic 指派為來源和將 AsgDb 指派為規則中的目的地。 來源和目的地應用程式安全性群組的所有網路介面都必須存在於相同的虛擬網路中。
提示
若要將所需的安全性規則數量及規則變更需求降到最低,請規劃好您需要的應用程式安全性群組,並盡可能使用服務標籤或應用程式安全性群組來建立規則,而不是使用個別的 IP 位址或 IP 位址範圍。
下一步
- 了解如何建立網路安全性群組。