Как группы безопасности сети фильтруют сетевой трафик

Группа безопасности сети (NSG) Azure позволяет фильтровать входящий и исходящий сетевой трафик ресурсов Azure в виртуальной сети Azure. В этой группе содержатся правила безопасности, которые разрешают или запрещают исходящий и входящий трафик нескольких типов ресурсов Azure. Для каждого правила можно указать источник и назначение, порт и протокол.

В виртуальную сеть Azure можно развернуть ресурсы из нескольких сервисов Azure. Полный список см. в разделе Службы, которые можно развернуть в виртуальной сети. Вы можете связать либо ноль, либо одну группу безопасности сети с каждой подсетью виртуальной сети и сетевым интерфейсом на виртуальной машине. Одну и ту же группу безопасности сети можно связать с любым выбранным количеством подсетей или сетевых интерфейсов.

На следующем рисунке показаны различные сценарии развертывания групп безопасности сети для разрешения трафика, поступающего из Интернета и обратно через TCP-порт 80:

Ознакомьтесь с приведенной выше схемой, чтобы понять, как Azure обрабатывает правила для входящего и исходящего трафика. На рисунке показано, как группы безопасности сети обрабатывают фильтрацию трафика.

Входящий трафик

Для входящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с подсетью, если таковая имеется, а затем правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется. Этот процесс также включает в себя трафик внутри подсети.

• VM1: NSG1 обрабатывает правила безопасности, так как NSG1 связана с подсетью1, а vm1 находится в подсети1. Правило безопасности DenyAllInbound по умолчанию блокирует трафик, если правило явно не разрешает входящий порт 80. Сетевой интерфейс, связанный с NSG2 , не оценивает заблокированный трафик. Однако если NSG1 разрешает порт 80 в правиле безопасности, NSG2 оценивает трафик. Чтобы разрешить порт 80 виртуальной машине, NSG1 и NSG2 должны включать правило, разрешающее порт 80 из Интернета.

• VM2: правила в NSG1 обрабатываются, потому что VM2 также находится в Subnet1. Так как у VM2 нет группы безопасности сети, связанной с ее сетевым интерфейсом, она получает весь трафик, разрешенный NSG1, или не получает трафик, запрещенный NSG1. Если группа безопасности сети связана с подсетью, трафик разрешен или запрещен для всех ресурсов в одной и той же подсети.

• VM3: так как с Subnet2 не связана ни одна группа безопасности сети, трафик разрешен в подсеть и обрабатывается NSG2, потому что NSG2 связана с сетевым интерфейсом, подключенным к VM3.

• VM4: трафик блокируется на VM4, так как группа безопасности сети не связана с подсетью3 или сетевым интерфейсом в виртуальной машине. Весь сетевой трафик блокируется на уровне подсети и сетевого интерфейса, если с ними не связана группа безопасности сети.

Исходящий трафик

Для исходящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется, а затем правила в группе безопасности сети, связанной с подсетью, если таковая имеется. Этот процесс также включает в себя трафик внутри подсети.

• VM1: обрабатываются правила безопасности в NSG2. Правило безопасности AllowInternetOutbound по умолчанию в NSG1 и NSG2 разрешает трафик, если только не создается правило безопасности, которое запрещает исходящий порт 80 в Интернет. Если NSG2 запрещает порт 80 в своем правиле безопасности, он запрещает трафик, и NSG1 никогда не оценивает его. Чтобы запретить исходящий трафик через порт 80 на виртуальной машине, у одной из группы безопасности сети или у обеих должно быть правило, которое запрещает трафик, поступающий в Интернет через порт 80.

• VM2: весь трафик отправляется через этот сетевой интерфейс к подсети, так как с сетевым интерфейсом, подключенным к VM2, не связана группа безопасности сети. Обрабатываются правила в NSG1.

• VM3: если NSG2 запрещает порт 80 в правиле безопасности, он запрещает трафик. Если NSG2 не запрещает порт 80, правило безопасности AllowInternetOutbound по умолчанию в NSG2 разрешает трафик, так как нет группы безопасности сети, связанной с Subnet2.

• VM4: весь трафик разрешен из VM4, так как группа безопасности сети не связана с сетевым интерфейсом, подключенным к виртуальной машине или к Subnet3.

Трафик внутренней подсети

Важно отметить, что правила безопасности в группе NSG, связанной с подсетью, могут повлиять на подключение между виртуальными машинами в такой подсети. По умолчанию виртуальные машины в одной подсети могут обмениваться данными благодаря стандартному правилу NSG, разрешающему трафик внутри подсети. Если добавить правило в NSG1 , которое запрещает весь входящий и исходящий трафик, vm1 и VM2 не могут взаимодействовать друг с другом.

Все правила, применяемые к сетевому интерфейсу, можно просмотреть в списке действующих правил безопасности сетевого интерфейса. Кроме того, вы можете воспользоваться функцией Проверка IP-потока в службе "Наблюдатель за сетями Azure", чтобы определить, разрешен ли обмен данными с сетевым интерфейсом. Вы можете использовать IP-поток, чтобы определить, разрешено ли или запрещено подключение. Кроме того, используйте проверку IP-трафика, чтобы выявить правило безопасности сети, которое отвечает за разрешение или запрет трафика.

Следующие шаги

• Узнайте, какие ресурсы Azure можно развернуть в виртуальной сети. Ознакомьтесь с интеграцией виртуальной сети для служб Azure, чтобы найти ресурсы, поддерживающие группы безопасности сети.

• Чтобы получить опыт создания группы безопасности сети, выполните краткое руководство.

• Если вы ознакомлены с группами безопасности сети и вам нужно управлять ими, см. сведения в статье Создание, изменение и удаление группы безопасности сети.

• Если возникают проблемы с обменом данными и вам необходимо устранить неполадки с группами безопасности сети, см. сведения в статье Диагностика проблемы с фильтрацией трафика на виртуальной машине.

• Узнайте, как включить журналы потоков группы безопасности сети для анализа сетевого трафика к и от ресурсов, связанных с группой безопасности сети.