Настройка правил NSG для Бастиона Azure

Бастион Azure поддерживает группы безопасности сети в AzureBastionSubnet и целевых подсетях виртуальных машин. Применение групп безопасности сети позволяет обеспечивать сетевой доступ по принципу минимально необходимых привилегий, ограничивать трафик только портами и источниками, необходимыми для Bastion, и предотвращать несанкционированные боковые перемещения в виртуальной сети. При применении группы безопасности сети необходимо настроить все необходимые правила для входящего и исходящего трафика. Пропуск любого правила может помешать Бастиону получать обновления платформы и блокировать подключение виртуальной машины.

Дополнительные сведения о группах безопасности см. в разделе "Группы безопасности".

Группа безопасности сети (NSG)

На этой схеме:

Хост Bastion развернут в виртуальной сети.
Пользователь подключается к порталу Azure с помощью любого браузера HTML5.
Пользователь переходит на виртуальную машину Azure по протоколу RDP или SSH.
Интеграция подключения — установление сеанса RDP или SSH в браузере однократным щелчком
На виртуальной машине Azure не требуется общедоступный IP-адрес.

Настройка групп безопасности сети (NSG)

В этом разделе показан сетевой трафик между пользователем и Бастионом Azure, а также через целевые виртуальные машины в виртуальной сети.

Внимание

Если вы применяете группу безопасности сети к ресурсу Бастиона Azure, необходимо создать все следующие правила входящего и исходящего трафика для этого ресурса. Опустить любое правило блокирует узел Бастиона от получения обновлений платформы и открывает развертывание для будущих уязвимостей безопасности.

В следующей таблице перечислены все необходимые правила NSG.

Имя правила	Направление	Исходный материал	Место назначения	Порты	Протокол
Разрешить входящие HTTPS	Входящий трафик	Интернет	*	443	Протокол tcp
AllowGatewayManagerInbound	Входящий трафик	GatewayManager	*	443	Протокол tcp
РазрешитьСвязьЧерезBastionHost	Входящий трафик	Виртуальная сеть	Виртуальная сеть	8080, 5701	*
AllowAzureLoadBalancerInbound	Входящий трафик	Балансировщик нагрузки Azure	*	443	Протокол tcp
Разрешить SSH и RDP исходящие подключения	исходящий	*	Виртуальная сеть	22, 3389	*
РазрешитьAzureCloudOutbound	исходящий	*	AzureCloud	443	Протокол tcp
AllowBastionCommunication	исходящий	Виртуальная сеть	Виртуальная сеть	8080, 5701	*
AllowHttpOutbound	исходящий	*	Интернет	80	*

Вы можете настроить необходимые правила NSG с помощью портала Azure или PowerShell.

Портал
PowerShell

AzureBastionSubnet

Чтобы настроить правила NSG для AzureBastionSubnet, выполните следующие действия.

Войдите на портал Azure.
Перейдите в группы безопасности сети и выберите группу безопасности сети, связанную с AzureBastionSubnet.
Выберите правила безопасности для входящего трафика слева, а затем нажмите кнопку +Добавить , чтобы создать следующие правила входящего трафика:
- Входящий трафик из Интернета (порт 443): Включите порт 443 для входящего трафика из тега службы Интернета . Порты 3389 и 22 не требуются в AzureBastionSubnet. Источником может быть Интернет или набор определенных общедоступных IP-адресов, указанных вами.
- Входящий трафик из GatewayManager (порт 443): Включите порт 443 для входящего трафика из тега службы GatewayManager . Это позволяет плоскости контроля (менеджеру шлюза) взаимодействовать с вашим узлом Бастиона.
- Входящий трафик из VirtualNetwork (порты 8080, 5701): Включите порты 8080 и 5701, входящих из тега службы VirtualNetwork в тег службы VirtualNetwork . Это позволяет внутренним компонентам Бастиона Azure взаимодействовать друг с другом.
- Входящий трафик из AzureLoadBalancer (порт 443): Включите порт 443 для входящего трафика из тега службы AzureLoadBalancer . Это позволяет Azure Load Balancer обнаруживать подключение для проб работоспособности.
Выберите правила безопасности исходящего трафика слева, а затем нажмите кнопку +Добавить , чтобы создать следующие правила исходящего трафика:
- Исходящий трафик на целевые виртуальные машины (порты 3389, 22): Включите исходящий трафик для целевых подсетей виртуальной машины через порты 3389 и 22 по частному IP-адресу. Если вы используете функцию пользовательского порта вместе с SKU Standard, разрешите исходящий трафик для тега службы VirtualNetwork.
- Исходящий трафик в VirtualNetwork (порты 8080, 5701): Настройте исходящий трафик на порты 8080 и 5701 от тега службы VirtualNetwork к тегу службы VirtualNetwork. Это позволяет внутренним компонентам Бастиона Azure взаимодействовать друг с другом.
- Исходящий трафик в AzureCloud (порт 443): Включите исходящий порт 443 в тег службы AzureCloud . Это позволяет Бастиону подключаться к общедоступным конечным точкам Azure для хранения журналов диагностики и журналов измерения.
- Исходящий трафик в Интернет (порт 80): Включите исходящий порт 80 в Интернет для проверки сеанса, бастиона Shareable Link и проверки сертификатов.

Целевая подсеть виртуальной машины

Чтобы настроить правила NSG для подсети, содержащей целевую виртуальную машину, выполните следующие действия.

На портале Azure перейдите в группы безопасности сети и выберите группу безопасности сети, связанную с целевой подсетью виртуальной машины.
Выберите правила безопасности для входящего трафика, а затем нажмите кнопку +Добавить , чтобы создать следующее правило:
- Входящий трафик из AzureBastionSubnet (порты 3389, 22): Откройте порты RDP/SSH (3389 и 22 соответственно или пользовательские значения, если вы используете функцию пользовательского порта с номером SKU уровня "Стандартный" или "Премиум") входящего трафика в целевой подсети виртуальной машины через частный IP-адрес. Без этого правила Бастион не может достичь виртуальных машин даже при правильной настройке. Рекомендуется ограничить исходный диапазон IP-адресов AzureBastionSubnet, чтобы только Бастион смог открыть эти порты , а не более широкий Интернет.

Используйте следующий сценарий для создания всех необходимых правил NSG для Бастиона Azure.

# Connect to Azure Account
Connect-AzAccount
# Get the Network Security Group details
$resourceGroupName = Read-Host ("Enter the name of the Resource Group")
$nsgName = Read-Host ("Enter the name of the Network Security Group")
# Ingress and Egress rules
$rules = @(
    @{
        Name = "AllowHttpsInbound"
        Priority = 120
        Direction = "Inbound"
        Access = "Allow"
        SourceAddressPrefix = "Internet"
        SourcePortRange = "*"
        DestinationAddressPrefix = "*"
        DestinationPortRange = "443"
        Protocol = "TCP"
    },
    @{
        Name = "AllowGatewayManagerInbound"
        Priority = 130
        Direction = "Inbound"
        Access = "Allow"
        SourceAddressPrefix = "GatewayManager"
        SourcePortRange = "*"
        DestinationAddressPrefix = "*"
        DestinationPortRange = "443"
        Protocol = "TCP"
    },
    @{
        Name = "AllowAzureLoadBalancerInbound"
        Priority = 140
        Direction = "Inbound"
        Access = "Allow"
        SourceAddressPrefix = "AzureLoadBalancer"
        SourcePortRange = "*"
        DestinationAddressPrefix = "*"
        DestinationPortRange = "443"
        Protocol = "TCP"
    },
    @{
        Name = "AllowBastionHostCommunication"
        Priority = 150
        Direction = "Inbound"
        Access = "Allow"
        SourceAddressPrefix = "VirtualNetwork"
        SourcePortRange = "*"
        DestinationAddressPrefix = "VirtualNetwork"
        DestinationPortRange = 8080,5701
        Protocol = "Tcp"
    }
    @{
        Name = "AllowSshRdpOutbound"
        Priority = 100
        Direction = "Outbound"
        Access = "Allow"
        SourceAddressPrefix = "*"
        SourcePortRange = "*"
        DestinationAddressPrefix = "VirtualNetwork"
        DestinationPortRange = 22,3389
        Protocol = "Tcp"
    },
    @{
        Name = "AllowAzureCloudOutbound"
        Priority = 110
        Direction = "Outbound"
        Access = "Allow"
        SourceAddressPrefix = "*"
        SourcePortRange = "*"
        DestinationAddressPrefix = "AzureCloud"
        DestinationPortRange = "443"
        Protocol = "TCP"
    },
    @{
        Name = "AllowBastionCommunication"
        Priority = 120
        Direction = "Outbound"
        Access = "Allow"
        SourceAddressPrefix = "VirtualNetwork"
        SourcePortRange = "*"
        DestinationAddressPrefix = "VirtualNetwork"
        DestinationPortRange = 8080,5701
        Protocol = "Tcp"
    },
    @{
        Name = "AllowHttpOutbound"
        Priority = 130
        Direction = "Outbound"
        Access = "Allow"
        SourceAddressPrefix = "*"
        SourcePortRange = "*"
        DestinationAddressPrefix = "Internet"
        DestinationPortRange = "80"
        Protocol = "Tcp"
    }
 )
foreach ($rule in $rules) {
    $nsgRule = New-AzNetworkSecurityRuleConfig -Name $rule.Name `
        -Priority $rule.Priority `
        -Direction $rule.Direction `
        -Access $rule.Access `
        -SourceAddressPrefix $rule.SourceAddressPrefix `
        -SourcePortRange $rule.SourcePortRange `
        -DestinationAddressPrefix $rule.DestinationAddressPrefix `
        -DestinationPortRange $rule.DestinationPortRange `
        -Protocol $rule.Protocol
 # Get the details of the Network Security Group and Add rules to the group
    $nsg = Get-AzNetworkSecurityGroup -ResourceGroupName $resourceGroupName -Name $nsgName
    $nsg.SecurityRules.Add($nsgRule)
    Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
}

Следующие шаги

Узнайте, как защитить развертывание Бастиона Azure с помощью практических рекомендаций, согласованных с Microsoft Cloud Security Benchmark.
Узнайте о различных архитектурах развертывания, доступных в Бастионе Azure, в зависимости от выбранных конфигураций SKU и параметров.
Узнайте, как развернуть Бастион как частный, чтобы обеспечить безопасный доступ к виртуальным машинам без разрешения исходящего доступа за пределами виртуальной сети.
Узнайте, как отслеживать Бастион Azure с помощью Azure Monitor для сбора и анализа данных производительности и журналов.
Узнайте, как пиринг виртуальных сетей и Бастион Azure можно использовать вместе для подключения к виртуальным машинам, развернутым в одноранговой виртуальной сети без развертывания дополнительного узла бастиона.
Узнайте о часто задаваемых вопросах о Бастионе Azure.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-18