Behandeln von Problemen mit NSGs
Nachweisen der Kenntnisse der Konfigurationsdaten einer Netzwerksicherheitsgruppe (NSG), einschließlich Ports, Diensttags und Prioritätswerte
Netzwerksicherheitsgruppen
Mit einer Azure-Netzwerksicherheitsgruppe wird Netzwerkdatenverkehr von und zu Ressourcen in einem virtuellen Azure-Netzwerk gefiltert. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an ausgehenden Netzwerkdatenverkehr von verschiedene Typen von Azure-Ressourcen oder zulassen oder verweigern. Für jede Regel können Sie die Quelle, das Ziel, den Port und das Protokoll angeben.
In dieser Lerneinheit erfahren Sie mehr über folgende Aspekte:
Die Eigenschaften einer Netzwerksicherheitsgruppen-Regel und die standardmäßigen Sicherheitsregeln, die angewendet werden.
Die Regeleigenschaften, die Sie ändern können, um eine erweiterte Sicherheitsregel zu erstellen.
Sicherheitsregeln
Eine Netzwerksicherheitsgruppe kann von bis beliebig viele Regeln innerhalb der Grenzwerte für Azure-Abonnements enthalten. Für jede Regel werden die folgenden Eigenschaften angegeben:
| Eigenschaft | Erklärung |
|---|---|
| Name | Ein eindeutiger Name in der Netzwerksicherheitsgruppe. |
| Priorität | Regeln mit niedrigeren Zahlenwerten werden vor Regeln mit höheren Zahlenwerten verarbeitet, weil niedrigere Zahlenwerte eine höhere Priorität haben. Die Anzahl kann zwischen 100 und 4096 liegen. |
| Quelle oder Ziel | Wenn Sie eine Adresse für eine Azure-Ressource angeben, müssen Sie die private IP-Adresse, einen Bereich, ein Diensttag oder eine Anwendungssicherheitsgruppe angeben, die der Ressource zugewiesen ist. |
| Protocol | TCP, UDP, ICMP, ESP, AH oder Any (Beliebig). |
| Richtung | Gibt an, ob die Regel für ein- oder ausgehenden Datenverkehr gilt. |
| Portbereich | Das Angeben von Bereichen ermöglicht Ihnen die Erstellung von weniger Sicherheitsregeln. Sie können einen einzelnen Port oder einen Bereich mit Ports angeben. Beispiel: 80 oder 10000–10005. |
| Aktion | Dies kann „Zulassen“ oder „Verweigern“ sein. |
Es gibt Beschränkungen für die Anzahl von Sicherheitsregeln, die Sie in einer Netzwerksicherheitsgruppe erstellen können. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.
Standardsicherheitsregeln
Azure erstellt in jeder Ihrer Netzwerksicherheitsgruppen die folgenden Standardregeln:
Eingehend
AllowVNetInBound
| Priorität | `Source` | Quellports | Destination | Zielports | Protocol | Zugriff |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0 - 65535 | VirtualNetwork | 0 - 65535 | Any | Allow |
AllowAzureLoadBalancerInBound
| Priorität | `Source` | Quellports | Destination | Zielports | Protocol | Zugriff |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer | 0 - 65535 | 0.0.0.0/0 | 0 - 65535 | Any | Allow |
DenyAllInbound
| Priorität | `Source` | Quellports | Destination | Zielports | Protocol | Zugriff |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0 - 65535 | 0.0.0.0/0 | 0 - 65535 | Any | Allow |
Ausgehend
AllowVnetOutBound
| Priorität | `Source` | Quellports | Destination | Zielports | Protocol | Zugriff |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0 - 65535 | VirtualNetwork | 0 - 65535 | Any | Allow |
AllowInternetOutBound
| Priorität | `Source` | Quellports | Destination | Zielports | Protocol | Zugriff |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0 - 65535 | Internet | 0 - 65535 | Any | Allow |
DenyAllOutBound
| Priorität | `Source` | Quellports | Destination | Zielports | Protocol | Zugriff |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0 - 65535 | 0.0.0.0/0 | 0 - 65535 | Any | Allow |
In den Spalten Quelle und Ziel sind VirtualNetwork, AzureLoadBalancer und Internet Diensttags und keine IP-Adressen. In der Protokollspalte steht Beliebig für TCP, UDP und ICMP. Beim Erstellen einer Regel können Sie „TCP“, „UDP“, „ICMP“ oder „Beliebig“ angeben. 0.0.0.0/0 in den Spalten Quelle und Ziel steht für alle Adressen. Clients wie Azure-Portal, Azure CLI oder PowerShell können „*****“ oder „Any“ für diesen Ausdruck verwenden.
Sie können die Standardregeln nicht entfernen, aber Sie können sie außer Kraft setzen, indem Sie Regeln mit höheren Prioritäten erstellen.
Ergänzte Sicherheitsregeln
Mit erweiterten Sicherheitsregeln können Sie mehrere Ports und mehrere explizite IP-Adressen und Bereiche zu einer einzelnen Sicherheitsregel zusammenfassen. Mit anderen Worten: Erweiterte Sicherheitsregeln vereinfachen die Sicherheitsdefinition für virtuelle Netzwerke. Dadurch können Sie größere und komplexe Netzwerksicherheitsrichtlinien in weniger und einfachere Regeln aufspalten. Erweiterte Regeln werden normalerweise in den Feldern für die Quelle, das Ziel und den Port einer Regel verwendet.
Durch die Kombination erweiterter Sicherheitsregeln mit Diensttags oder Anwendungssicherheitsgruppen können Sie Ihre Sicherheitsregeldefinition optimieren. Es gibt jedoch Beschränkungen für die Anzahl von Adressen, Bereichen und Ports, die Sie in einer Regel angeben können.
Diensttags: Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts dar. Mit Diensttags kann die Komplexität häufiger Aktualisierungen von Netzwerksicherheitsregeln verringert werden. Weitere Informationen finden Sie unter Azure-Diensttags.
Ein Beispiel für die Verwendung des Storage-Diensttags zum Einschränken des Netzwerkzugriffs finden Sie unter Einschränken des Netzwerkzugriffs auf PaaS-Ressourcen mit VNet-Dienstendpunkten mithilfe des Azure-Portals.
Anwendungssicherheitsgruppen: Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren. Mit dieser Struktur können Sie virtuelle Computer gruppieren und basierend auf diesen Gruppen Netzwerksicherheitsrichtlinien definieren. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen.
Beheben von Problemen bei der NSG-Konfiguration
Netzwerksicherheitsgruppen (NSGs) ermöglichen es Ihnen, den eingehenden und ausgehenden Datenverkehrsfluss eines virtuellen Computers (VM) zu steuern. Sie können einem Subnetz in einem virtuellen Azure-Network, einer Netzwerkschnittstelle, die mit einer VM verbunden ist, oder beidem eine NSG zuordnen. Alle für eine Netzwerkschnittstelle geltenden Sicherheitsregeln stellen eine Kombination aus den Regeln in der NSG, die der Netzwerkschnittstelle zugeordnet ist, und dem Subnetz dar, in dem sich das Netzwerk befindet. Sie können den Konflikt zwischen Regeln in verschiedenen auf die Netzwerkschnittstellen Ihrer VM angewendeten NSGs untersuchen.
Die folgenden Artikel helfen ihnen, Folgendes zu verstehen:
In dieser Lerneinheit erfahren Sie, wie Sie ein Problem mit einem Filter für Netzwerkdatenverkehr diagnostizieren, indem Sie die für einen virtuellen Computer (VM) geltenden NSG-Sicherheitsregeln anzeigen.
Diagnostizieren über das Azure-Portal
Szenario
Wenn Sie versuchen, eine Verbindung mit einer VM über Port 80 über das Internet herzustellen, tritt ein Fehler auf. Um zu verstehen, warum dies geschieht, können Sie die geltenden Sicherheitsregeln für eine Netzwerkschnittstelle über das Azure-Portal, mithilfe von PowerShell oder mit der Azure CLI untersuchen.
Wenn keine VMs vorhanden sind, deren geltende Sicherheitsregeln angezeigt werden können, müssen Sie zuerst eine Linux- oder Windows-VM bereitstellen, um die Aufgabe abzuschließen.
In der folgenden Aufgabe finden Sie Beispiele für eine VM namens myVM mit einer Netzwerkschnittstelle namens myVMVMNic. VM und Netzwerkschnittstelle gehören zu einer Ressourcengruppe mit dem Namen myResourceGroup in der Region „USA, Osten“. Ändern Sie in den Schritten bei Bedarf die Werte für die VM, um das Problem zu diagnostizieren.
Melden Sie sich im Azure-Portal an.
Geben Sie oben im Azure-Portal in das Suchfeld den Namen der VM ein. Wenn der Name der VM in den Suchergebnissen angezeigt wird, wählen Sie sie aus.
Wählen Sie unter EINSTELLUNGEN die Option Netzwerk aus.
Die Regeln, die in der folgenden Abbildung aufgeführt sind, beziehen sich auf eine Netzwerkschnittstelle mit dem Namen myVMVMNic. Es gibt REGELN FÜR EINGEHENDE PORTS für die Netzwerkschnittstelle aus zwei verschiedenen Netzwerksicherheitsgruppen:
mySubnetNSG: Ist dem Subnetz zugeordnet, in dem sich die Netzwerkschnittstelle befindet.
myVMNSG: Ist der Netzwerkschnittstelle in der VM mit dem Namen myVMVMNic zugeordnet.
Wie Sie in der vorherigen Abbildung sehen, verhindert die Regel mit dem Namen DenyAllInBound die eingehende Kommunikation vom Internet an den virtuellen Computer über Port 80. Die Regel gibt 0.0.0.0/0 für QUELLE an, die das Internet einschließt. Keine andere Regel mit einer höheren Priorität (niedrigere Zahl) lässt den Port 80 als eingehenden Port zu. Um den Port 80 als eingehenden Port für die VM über das Internet zuzulassen, lesen Sie den Artikel Beheben eines Problems.
Unter REGELN FÜR AUSGEHENDE PORTS am unteren Rand werden Regeln für ausgehende Ports für die Netzwerkschnittstelle angezeigt. VirtualNetwork und AzureLoadBalancer sind Diensttags. Diensttags stellen eine Gruppe von IP-Adressen dar und haben die Aufgabe, bei der Erstellung von Sicherheitsregeln die Komplexität zu verringern.
Vergewissern Sie sich, dass die VM in Betrieb ist, und wählen Sie dann Geltende Sicherheitsregeln aus, wie in der folgenden Abbildung gezeigt:
Sie können sehen, dass es verschiedene Registerkarten für die der Netzwerkschnittstelle und dem Subnetz zugeordnete NSG gibt. Die aufgeführten Regeln entsprechen denjenigen in Schritt 3, obwohl, wie in der Abbildung dargestellt, nur die ersten 50 Regeln angezeigt werden. Wählen Sie Herunterladen aus, um eine CSV-Datei mit allen Regeln herunterzuladen.
Um anzuzeigen, welche Präfixe jedes Diensttag darstellt, wählen Sie eine Regel aus, z. B. AllowAzureLoadBalancerInbound. In der Abbildung unten werden die Präfixe für das Diensttag AzureLoadBalancer gezeigt:
Bei der VM in diesem Beispiel sind zwei Netzwerkschnittstellen (myVMVMNic und myVMVMNic2) angefügt. Die effektiven Sicherheitsregeln können für jede Netzwerkschnittstelle unterschiedlich sein. Wählen Sie myVMVMNic2 aus, um die Regeln für diese Netzwerkschnittstelle anzuzeigen.
Im Gegensatz zur Netzwerkschnittstelle myVMVMNic ist die Netzwerkschnittstelle myVMVMNic2 nicht einer Netzwerksicherheitsgruppe zugeordnet. Jede Netzwerkschnittstelle und jedes Subnetz können optional einer NSG zugeordnet werden. Den einzelnen Netzwerkschnittstellen oder Subnetzen kann die gleiche oder eine andere NSG zugeordnet werden. Sie können dieselbe NSG beliebig vielen Netzwerkschnittstellen und Subnetzen zuordnen.
Hinweis
Sie können die geltenden Sicherheitsregeln nicht nur über die VM anzeigen, sondern auch jeweils einzeln über:
- Netzwerkschnittstelle: Erfahren Sie, wie Sie eine Netzwerkschnittstelle anzeigen.
- NSG: Erfahren Sie, wie Sie ein NSG anzeigen.
Informationen zum Ausführen der Befehle mithilfe von PowerShell finden Sie unter Diagnose mit PowerShell.
Informationen zum Ausführen der Befehle mit der Azure CLI finden Sie unter Diagnose über die Azure CLI.
So beheben Sie Verbindungsprobleme:
Um eingehenden Datenverkehr aus dem Internet zuzulassen, fügen Sie Sicherheitsregeln mit einer höheren Priorität als der Priorität der Standardregeln hinzu.
Um Probleme im Hinblick auf Peerings virtueller Netzwerke zu beheben, können Sie diese Präfixe in der Liste ExpandedAddressPrefix anzeigen.
Stellen Sie sicher, dass der Netzwerkschnittstelle und/oder dem Subnetz des virtuellen Computers eine NSG zugeordnet ist. Überprüfen Sie außerdem, ob sich der virtuelle Computer im ausgeführten Zustand befindet.
Wenn die VM eine öffentliche IP-Adresse aufweist, sollten Sie eine NSG auf das Subnetz der Netzwerkschnittstelle anwenden.
Zusätzliche Diagnose
Verwenden Sie die Funktion IP-Datenflussüberprüfung von Azure Network Watcher, um festzustellen, ob der Datenverkehr zu oder von einem virtuellen Computer zugelassen ist.
Wenn bei der Netzwerkkonnektivität einer VM nicht aufgrund von Sicherheitsregeln Fehler auftreten, kann das Problem folgende Ursachen haben:
Firewallsoftware, die im Betriebssystem des virtuellen Computers ausgeführt wird.
Routen, die für virtuelle Appliances oder lokalen Datenverkehr konfiguriert sind – siehe Erzwungene Tunnelung. Um zu erfahren, wie Sie Routingprobleme diagnostizieren, die möglicherweise den ausgehenden Datenverkehrsfluss der VM beeinträchtigen, lesen Sie auch Diagnostizieren eines Problems mit der Weiterleitung von Netzwerkdatenverkehr virtueller Computer.
Überprüfen und Interpretieren von NSG-Datenflussprotokollen
Einführung
Mit dem Feature „NSG-Datenflussprotokolle“ in Azure Network Watcher können Sie Informationen zum IP-Datenverkehr protokollieren, der eine NSG durchläuft. Die Flussdaten werden an Azure Storage-Konten gesendet. Von dort können Sie sie in beliebige Visualisierungstools, SIEM-Systeme oder IDS exportieren.
Gründe für die Verwendung von Datenflussprotokollen
Datenflussprotokolle sind entscheidend, wenn es darum geht, alle Netzwerkaktivitäten in Ihrer Cloudumgebung zu verwalten und zu überwachen. Sie können sie zur Optimierung des Netzwerkdatenflusses, zur Überwachung von Daten, zur Überprüfung der Compliance, zur Erkennung von Eindringversuchen und für vieles mehr verwenden.
Einige häufige Anwendungsfälle sind:
Netzwerküberwachung:
Identifizieren Sie unbekannten oder unerwünschten Datenverkehr.
Überwachen Sie die Datenverkehrsebenen und die Bandbreitennutzung.
Filtern Sie Datenflussprotokolle nach IP-Adresse und Port, um das Anwendungsverhalten zu verstehen.
Exportieren Sie Datenflussprotokolle in die von Ihnen ausgewählten Analyse- und Visualisierungstools, um Überwachungsdashboards einzurichten.
Nutzungsüberwachung und -optimierung:
Identifizieren Sie die Top Talker in Ihrem Netzwerk.
Kombinieren Sie Datenflüsse mit GeoIP-Daten, um regionsübergreifenden Datenverkehr zu identifizieren.
Verstehen Sie das Wachstum des Datenverkehrs, um Kapazitätsprognosen abgeben zu können.
Verwenden Sie Daten, um übermäßig restriktive Datenverkehrsregeln zu entfernen.
Compliance:
- Überprüfen Sie anhand von Datenflussdaten die Netzwerkisolation und die Konformität mit den Unternehmenszugriffsregeln.
Netzwerkforensik und Sicherheitsanalyse:
Analysieren Sie Netzwerkdatenflüsse von kompromittierten IPs und Netzwerkschnittstellen.
Exportieren Sie Datenflussprotokolle in ein beliebiges SIEM- oder IDS-Tool Ihrer Wahl.
Funktionsweise der Protokollierung
Datenflussprotokolle arbeiten auf Layer 4 (Transportschicht). Sie zeichnen alle IP-Datenflüsse auf, die eine NSG durchlaufen.
Protokolle werden in Intervallen von einer Minute über die Azure-Plattform gesammelt, ohne dass sich dies auf Kundenressourcen oder die Netzwerkleistung auswirkt.
Protokolle werden im JSON-Format geschrieben. Es werden ein- und ausgehende Datenflüsse auf NSG-Regelbasis angezeigt.
Jeder Protokolldatensatz enthält die Netzwerkschnittstelle (NIC). Der Datenfluss gilt für Fünf-Tupel-Informationen, die Datenverkehrsentscheidung und (nur Version 2) Durchsatzinformationen. Weitere Informationen finden Sie unter Protokollformat.
Datenflussprotokolle löschen die Protokolle bis zu einem Jahr nach der Erstellung.
Informationen zum Aktivieren der Datenflussprotokolle finden Sie unter Aktivieren von NSG-Datenflussprotokollen.
Überprüfen des IP-Flusses
Die IP-Datenflussüberprüfung überprüft, ob ein Paket an einen oder von einem virtuellen Computer übermittelt werden darf. Sie können die IP-Datenflussüberprüfung zum Diagnostizieren von Problemen bei eingehenden oder ausgehenden Verbindungen mit dem Internet oder der lokalen Umgebung verwenden. Sie liefert Informationen zu Richtung, Protokoll, lokaler IP-Adresse, IP-Remoteadresse, dem lokalen Port und dem Remoteport. Wenn eine Sicherheitsgruppe das Paket verweigert, wird der Name der verwendeten Regel zurückgegeben.
Die IP-Datenflussüberprüfung berücksichtigt die Regeln für alle NSGs, die auf die Netzwerkschnittstelle angewendet wurden (z. B. Subnetz oder VM-Netzwerkschnittstelle). Anschließend wird der Datenfluss zu oder von dieser Netzwerkschnittstelle basierend auf den konfigurierten Einstellungen überprüft.
Die IP-Datenflussüberprüfung überprüft, ob eine Regel in einer NSG eingehenden oder ausgehenden Datenverkehr eines virtuellen Computers blockiert. Außerdem werden die Azure Virtual Network Manager-Regeln und NSG-Regeln ausgewertet.
Weitere Informationen zur Problembehandlung von NSG-Datenflussprotokollen finden Sie unter Beheben häufig auftretender Probleme.
Bestimmen, ob eine VM oder eine Gruppe von VMs einer Anwendungssicherheitsgruppe (ASG) zugeordnet ist
Mit Anwendungssicherheitsgruppen können Sie VMs, die sich in einem virtuellen Azure-Netzwerk befinden, gruppieren und basierend auf diesen Gruppen Netzwerksicherheitsrichtlinien definieren. Dadurch wird der Wartungsaufwand expliziter IP-Adressen verringert. Betrachten Sie die folgende Abbildung, um ASGs besser zu verstehen:
| Anwendungssicherheitsgruppen |
|---|
|
In der Abbildung oben sind NIC1 und NIC2 Mitglieder der ASG „AsgWeb“. NIC3 ist Mitglied der ASG „AsgLogic“ und NIC4 ein Mitglied der ASG „AsgDb“. In diesem Beispiel ist jede Netzwerkschnittstelle ein Mitglied nur einer Netzwerksicherheitsgruppe. Eine Netzwerkschnittstelle kann jedoch Mitglied mehrerer Anwendungssicherheitsgruppen sein (innerhalb der Grenzwerte von Azure).
Keiner der Netzwerkschnittstellen ist eine Netzwerksicherheitsgruppe zugeordnet. NSG1 ist beiden Subnetzen zugeordnet und enthält die folgenden Regeln:
Allow-HTTP-Inbound-Internet
Diese Regel ist erforderlich, um Datenverkehr aus dem Internet an die Webserver zuzulassen. Da eingehender Datenverkehr aus dem Internet durch die Standardsicherheitsregel DenyAllInbound verweigert wird, ist keine zusätzliche Regel für die Anwendungssicherheitsgruppen AsgLogic oder AsgDb erforderlich.
| Priorität | `Source` | Quellports | Destination | Zielports | Protocol | Zugriff |
|---|---|---|---|---|---|---|
| 100 | Internet | * | AsgWeb | 80 | TCP | Allow |
Deny-Database-All
Da die Standardsicherheitsregel AllowVNetInBound die gesamte Kommunikation zwischen Ressourcen im gleichen virtuellen Netzwerk erlaubt, ist diese Regel erforderlich, um den Datenverkehr von allen Ressourcen zu verweigern.
| Priorität | `Source` | Quellports | Destination | Zielports | Protocol | Zugriff |
|---|---|---|---|---|---|---|
| 120 | * | * | AsgWeb | 1433 | Any | Verweigern |
Allow-Database-BusinessLogic
Diese Regel ermöglicht den Datenverkehr von der ASG „AsgLogic“ an die ASG „AsgDb“. Die Priorität für diese Regel ist höher als die Priorität für die Regel „Deny-Database-All“. Daher wird diese Regel vor der Regel Deny-Database-All verarbeitet, sodass Datenverkehr von den Anwendungssicherheitsgruppen AsgLogic zulässig ist, während der andere Datenverkehr blockiert wird.
| Priorität | `Source` | Quellports | Destination | Zielports | Protocol | Zugriff |
|---|---|---|---|---|---|---|
| 110 | AsgLogic | * | AsgDb | 1433 | TCP | Allow |
Die Regeln, die eine ASG als Quelle oder Ziel angeben, gelten nur für die Netzwerkschnittstellen, die zur ASG gehören. Wenn die Netzwerkschnittstelle nicht Mitglied einer ASG ist, gilt die Regel nicht für die Netzwerkschnittstelle, auch wenn die Netzwerksicherheitsgruppe mit dem Subnetz verbunden ist.
Für Anwendungssicherheitsgruppen gelten folgende Einschränkungen:
Es gibt mehrere Grenzwerte im Zusammenhang mit Anwendungssicherheitsgruppen. Eine dieser Grenzwerte ist die Anzahl der Anwendungssicherheitsgruppen, die in einem Abonnement erlaubt sind.
Sie können keine Netzwerkschnittstellen aus verschiedenen virtuellen Netzwerken derselben ASG hinzufügen. Wenn sich beispielsweise die erste einer ASG mit dem Namen AsgWeb zugewiesene Netzwerkschnittstelle im virtuellen Netz mit dem Namen VNet1 befindet, müssen alle nachfolgenden ASGWeb zugewiesenen Netzwerkschnittstellen im VNet1 vorhanden sein.
Alle Netzschnittstellen sowohl für die Quell- als auch für die Ziel-ASG müssen im selben virtuellen Netz vorhanden sein. Wenn also beispielsweise AsgLogic Netzwerkschnittstellen aus VNet1 und AsgDb Netzwerkschnittstellen aus VNet2 enthält, kann AsgLogic nicht als Quelle und AsgDb nicht als Ziel in einer Regel zugewiesen werden.