Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Użyj sieciowej grupy zabezpieczeń platformy Azure, aby filtrować ruch sieciowy do i z zasobów platformy Azure w sieci wirtualnej platformy Azure. Sieciowe grupy zabezpieczeń zapewniają podstawowe możliwości filtrowania ruchu, które pomagają zabezpieczyć infrastrukturę chmury, kontrolując, który ruch może przepływać między zasobami. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure. Dla każdej reguły można określić szczegóły źródła i miejsca docelowego, port i protokół.
W sieci wirtualnej platformy Azure można wdrożyć zasoby z kilku usług platformy Azure. Aby uzyskać pełną listę, zobacz Usługi, które można wdrożyć w sieci wirtualnej. W razie potrzeby można skojarzyć sieciową grupę zabezpieczeń z każdą podsiecią sieci wirtualnej i interfejsem sieciowym na maszynie wirtualnej. Ta sama sieciowa grupa zabezpieczeń może być skojarzona z dowolną liczbą podsieci i interfejsów sieciowych.
Na poniższym diagramie przedstawiono różne scenariusze wdrażania sieciowych grup zabezpieczeń w celu umożliwienia ruchu sieciowego do i z Internetu przez port TCP 80:
Zapoznaj się z powyższym diagramem, aby dowiedzieć się, jak platforma Azure przetwarza reguły ruchu przychodzącego i wychodzącego. Na diagramie przedstawiono sposób obsługi filtrowania ruchu przez sieciowe grupy zabezpieczeń.
Inbound traffic
W przypadku ruchu przychodzącego platforma Azure najpierw przetwarza reguły w sieciowej grupie zabezpieczeń skojarzonej z podsiecią, jeśli istnieje. Następnie platforma Azure przetwarza reguły w sieciowej grupie zabezpieczeń skojarzonej z interfejsem sieciowym, jeśli istnieje. Ta sama kolejność oceny dotyczy ruchu wewnątrz podsieci.
VM1: Reguły zabezpieczeń w sieciowej grupie zabezpieczeń1 są przetwarzane, ponieważ sieciowa grupa zabezpieczeń1 jest skojarzona z podsiecią Subnet1, a maszyna VM1 znajduje się w podsieci Subnet1. Domyślna reguła zabezpieczeń DenyAllInbound blokuje ruch, chyba że tworzysz regułę niestandardową, która jawnie zezwala na ruch przychodzący na porcie 80. NSG2, skojarzona z interfejsem sieciowym NIC1, nie oceniają zablokowanego ruchu. Jeśli jednak sieciowa grupa zabezpieczeń1 zezwala na port 80 w regule zabezpieczeń, sieciowa grupa zabezpieczeń 2 ocenia ruch. Aby zezwolić na dostęp do portu 80 maszyny wirtualnej, zarówno NSG1, jak i NSG2 muszą zawierać regułę, która zezwala na port 80 z Internetu.
VM2: Reguły zabezpieczeń w NSG1 są przetwarzane, ponieważ VM2 znajduje się również w Subnet1. Ponieważ maszyna wirtualna VM2 nie ma grupy zabezpieczeń sieci skojarzonej z interfejsem sieciowym, odbiera cały ruch dozwolony przez NSG1 i odrzuca cały ruch zablokowany przez NSG1. Ruch jest dozwolony albo blokowany dla wszystkich zasobów w tej samej podsieci, gdy grupa zabezpieczeń sieci jest skojarzona z podsiecią.
VM3: Ponieważ nie ma sieciowej grupy zabezpieczeń skojarzonej z Subnet2, ruch jest dozwolony do podsieci i przetwarzany przez NSG2, ponieważ NSG2 jest skojarzona z interfejsem sieciowym NIC1 dołączonym do VM3.
VM4: Ruch jest blokowany do maszyny wirtualnej VM4 , ponieważ sieciowa grupa zabezpieczeń nie jest skojarzona z podsiecią Subnet3 ani interfejsem sieciowym na maszynie wirtualnej. Cały ruch sieciowy jest blokowany za pośrednictwem podsieci i interfejsu sieciowego, jeśli nie ma skojarzonej sieciowej grupy zabezpieczeń. Maszyna wirtualna ze standardowym publicznym adresem IP jest domyślnie bezpieczna. W przypadku ruchu przychodzącego z Internetu sieciowa grupa zabezpieczeń musi być skojarzona z podsiecią lub interfejsem sieciowym maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Wersja adresu IP.
Outbound traffic
W przypadku ruchu wychodzącego platforma Azure przetwarza reguły sieciowej grupy zabezpieczeń w określonej kolejności. Platforma Azure ocenia reguły w dowolnej sieciowej grupie zabezpieczeń skojarzonej z interfejsem sieciowym. Następnie platforma Azure przetwarza reguły w dowolnej sieciowej grupie zabezpieczeń skojarzonej z podsiecią. To samo zamówienie przetwarzania dotyczy ruchu wewnątrz podsieci.
VM1: reguły zabezpieczeń w NSG2 są przetwarzane. Domyślna reguła zabezpieczeń AllowInternetOutbound w grupach zabezpieczeń sieciowych NSG1 i NSG2 zezwala na ruch, chyba że utworzysz regułę zabezpieczeń, która jawnie blokuje ruch wychodzący na porcie 80 do Internetu. Jeśli sieciowa grupa zabezpieczeń NSG2 blokuje port 80 w swojej regule zabezpieczeń, odrzuca ruch, a sieciowa grupa zabezpieczeń NSG1 nigdy nie odbiera tego ruchu i nie może go ocenić. Aby odmówić portu 80 z maszyny wirtualnej, jedna z lub obu sieciowych grup zabezpieczeń musi mieć regułę, która blokuje port 80 do Internetu.
VM2: cały ruch jest wysyłany przez interfejs sieciowy do podsieci, ponieważ interfejs sieciowy dołączony do VM2 nie ma przypisanej grupy zabezpieczeń sieciowych. Reguły w NSG1 są przetwarzane.
VM3: Jeśli NSG2 blokuje port 80 w regule zabezpieczeń, wstrzymuje ruch. Jeśli NSG2 nie blokuje portu 80, domyślna reguła zabezpieczeń AllowInternetOutbound w NSG2 zezwala na ruch, ponieważ nie ma sieciowej grupy zabezpieczeń skojarzonej z podsiecią Subnet2.
VM4: ruch przepływa swobodnie z maszyny wirtualnej VM4 , ponieważ żadna sieciowa grupa zabezpieczeń nie jest skojarzona z interfejsem sieciowym maszyny wirtualnej lub podsiecią Subnet3.
Intra-subnet traffic
Należy pamiętać, że reguły zabezpieczeń w sieciowej grupie zabezpieczeń skojarzonej z podsiecią mogą mieć wpływ na łączność między maszynami wirtualnymi w niej. Domyślnie maszyny wirtualne w tej samej podsieci mogą komunikować się na podstawie domyślnej reguły sieciowej grupy zabezpieczeń zezwalającej na ruch wewnątrz podsieci. Jeśli dodasz regułę do SGZ1 , która blokuje cały ruch przychodzący i wychodzący, VM1 i VM2 nie mogą komunikować się ze sobą.
Reguły agregacji stosowane do interfejsu sieciowego można łatwo wyświetlić, wyświetlając obowiązujące reguły zabezpieczeń dla interfejsu sieciowego. Funkcja weryfikowania przepływu adresów IP w usłudze Azure Network Watcher pomaga określić, czy komunikacja jest dozwolona do lub z interfejsu sieciowego. Weryfikacja przepływu adresów IP określa, czy komunikacja jest dozwolona, czy blokowana. Określa również, która reguła zabezpieczeń sieci jest odpowiedzialna za zezwalanie na ruch lub odmawianie go.
Weryfikator sieci usługi Azure Virtual Network Manager może również pomóc w rozwiązywaniu problemów z dostępnością między maszynami wirtualnymi a Internetem lub innymi zasobami platformy Azure. Weryfikator sieci zapewnia wgląd w reguły sieciowej grupy zabezpieczeń oraz inne reguły i zasady platformy Azure, które mogą mieć wpływ na łączność.
Tip
Aby uzyskać optymalną konfigurację zabezpieczeń, należy unikać kojarzenia sieciowych grup zabezpieczeń zarówno z podsiecią, jak i jej interfejsami sieciowymi jednocześnie. Wybierz skojarzenie sieciowej grupy zabezpieczeń z podsiecią lub interfejsem sieciowym, ale nie z obydwoma. W przypadku stosowania sieciowych grup zabezpieczeń na wielu poziomach reguły mogą powodować konflikt ze sobą. Te nakładające się reguły zabezpieczeń często prowadzą do nieoczekiwanych problemów z filtrowaniem ruchu, które są trudne do rozwiązania.
Next steps
Dowiedz się, które zasoby platformy Azure można wdrożyć w sieci wirtualnej. Zobacz Integracja sieci wirtualnej dla usług platformy Azure , aby znaleźć zasoby obsługujące sieciowe grupy zabezpieczeń.
Ukończ szybki samouczek , aby uzyskać doświadczenie w tworzeniu sieciowej grupy zabezpieczeń.
Jeśli znasz sieciowe grupy zabezpieczeń i musisz nimi zarządzać, zobacz Zarządzanie sieciową grupą zabezpieczeń.
Jeśli masz problemy z komunikacją i musisz rozwiązać problemy z sieciową grupą zabezpieczeń, zobacz Diagnozowanie problemu z filtrowaniem ruchu sieciowego maszyny wirtualnej.
Dowiedz się, jak włączyć dzienniki przepływu sieci wirtualnej w celu analizowania ruchu do i z sieci wirtualnej, która może przechodzić przez skojarzone sieciowe grupy zabezpieczeń.