Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете использовать группу безопасности сети Azure для фильтрации сетевого трафика между ресурсами Azure в виртуальной сети Azure. Группа сетевой безопасности содержит правила безопасности, которые разрешают или запрещают входящий сетевой трафик к, или исходящий сетевой трафик от, нескольких типов ресурсов Azure. Для каждого правила вы можете указать источник и назначение, порт и протокол.
В этой статье описываются свойства правила группы безопасности сети и правила безопасности по умолчанию , применяемые Azure. В нем также описывается изменение свойств правила для создания дополненного правила безопасности.
Правила безопасности
Группа сетевой безопасности содержит столько правил, сколько требуется, в пределах лимитов подписки Azure. Каждое правило указывает следующие свойства:
| Собственность | Объяснение |
|---|---|
| Имя | Уникальное имя в группе безопасности сети. Длина имени может составлять до 80 символов. Он должен начинаться с символа слова, и он должен заканчиваться словом или символом _. Имя может содержать символы слова или ., -, \_. |
| Приоритет | Число между 100 и 4096. Правила обрабатываются в порядке приоритета, при этом более низкие числа обрабатываются до более высоких чисел, так как более низкие числа имеют более высокий приоритет. Когда трафик соответствует правилу, обработка останавливается. В результате все правила, существующие с более низким приоритетом (более высокие числа), которые имеют те же атрибуты, что и правила с более высоким приоритетом, не обрабатываются. Правила безопасности По умолчанию Azure получают наибольшее число с самым низким приоритетом, чтобы гарантировать, что пользовательские правила всегда обрабатываются первым. |
| Источник или назначение | Можно указать Любой, отдельный IP-адрес, блок CIDR (например, 10.0.0.0/24), тег службы или группу безопасности приложений. Для ресурсов Azure используйте частный IP-адрес, назначенный ресурсу. Группы безопасности сети обрабатывают трафик после перевода общедоступных IP-адресов в частные IP-адреса для входящего трафика. Они обрабатывают трафик перед преобразованием частных IP-адресов в общедоступные IP-адреса для исходящего трафика. Введите диапазон, тег службы или группу безопасности приложений, чтобы уменьшить количество необходимых правил безопасности. Расширенные правила безопасности позволяют указывать несколько отдельных IP-адресов и диапазонов в одном правиле. Однако нельзя указать несколько тегов служб или групп приложений в одном правиле. Расширенные правила безопасности доступны только в группах безопасности сети, созданных с помощью модели развертывания Resource Manager. В классической модели развертывания невозможно указать несколько IP-адресов и диапазонов в одном правиле.
Если источником является подсеть 10.0.1.0/24 (где находится виртуальная машина1), а назначение — подсеть 10.0.2.0/24 (где находится виртуальная машина2), группа безопасности сети фильтрует трафик для VM2. Это происходит, так как группа безопасности сети связана с сетевым интерфейсом VM2. |
| Протокол | TCP, UDP, ICMP, ESP, AH или Any. Протоколы ESP и AH в настоящее время недоступны через портал Azure, но их можно использовать через шаблоны ARM. |
| Направление | Применяется ли правило к входящему или исходящему трафику? |
| Диапазон портов | Можно указать отдельный или диапазон портов. Например, можно указать 80 или 10000-10005. Указание диапазонов позволяет создавать меньше правил безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, созданных с помощью модели развертывания Resource Manager. Вы не можете указать несколько портов или диапазонов портов в одном правиле безопасности в группах безопасности сети, созданных через классическую модель развертывания. |
| Действие | Разрешить или запретить |
Правила безопасности оцениваются и применяются на основе пятёрки (источник, порт источника, назначение, порт назначения и протокол). Нельзя создать два правила безопасности с одинаковым приоритетом и направлением. Создается запись потока для существующих соединений. Разрешение или запрет на связь осуществляется в зависимости от состояния соединения записи потока. Запись потока позволяет группе сетевой безопасности быть состоянием. Если вы указываете исходящее правило безопасности для любого адреса через порт 80, например, то нет необходимости указывать входящее правило безопасности для ответа на исходящий трафик. Вам нужно указать входящее правило безопасности только в том случае, если общение инициируется извне. Правда и обратное. Если входящий трафик разрешен через порт, нет необходимости указывать правило безопасности для исходящего трафика, чтобы ответить на трафик через этот порт.
При удалении правила безопасности, разрешающего подключение, существующие подключения остаются непрерывными. Правила группы безопасности сети влияют только на новые подключения. Новые или обновленные правила в группе безопасности сети применяются исключительно к новым подключениям, оставляя существующие подключения не затронутыми изменениями.
В группе сетевой безопасности есть ограничения на количество создаваемых вами правил безопасности. Дополнительные сведения см. в разделе об ограничениях Azure.
Правила безопасности по умолчанию
Azure создает следующие правила по умолчанию в каждой группе сетевой безопасности, которую вы создаете.
Входящий
AllowVNetInBound
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65000 | Виртуальная сеть | 0-65535 | Виртуальная сеть | 0-65535 | Любой | Разрешить |
AllowAzureLoadBalancerInBound
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer (служба балансировки нагрузки) | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Разрешить |
DenyAllInbound
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Отказать |
исходящий
Разрешить исходящий трафик Vnet
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65000 | Виртуальная сеть | 0-65535 | Виртуальная сеть | 0-65535 | Любой | Разрешить |
РазрешитьИсходящийИнтернетТрафик
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Интернет | 0-65535 | Любой | Разрешить |
DenyAllOutBound
| Приоритет | Источник | Исходные порты | Назначение | Конечные порты | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Отказать |
В столбцах Source и DestinationVirtualNetwork, AzureLoadBalancer и Internet являются тегами служб, а не IP-адресами. В столбце протокола Любой охватывает TCP, UDP и ICMP. При создании правила вы можете указать TCP, UDP, ICMP или Любой. 0.0.0.0/0 в столбцах Источник и Назначение обозначает все адреса. Такие клиенты, как Azure portal, Azure CLI или PowerShell, могут использовать * или любое значение для этого выражения.
Вы не можете удалить правила по умолчанию, но их можно переопределить, создав правила с более высокими приоритетами.
Усиленные правила безопасности
Расширенные правила безопасности упрощают определение безопасности для виртуальных сетей, позволяя определять более крупные и сложные политики безопасности сети с меньшим количеством правил. Вы можете объединить несколько портов и несколько явных IP-адресов и диапазонов в одно, легко понятное правило безопасности. Используйте расширенные правила в полях источника, назначения и порта правила. Чтобы упростить обслуживание вашей конфигурации правил безопасности, объедините расширенные правила безопасности с тегами служб или группами безопасности приложений. В правиле существуют ограничения на количество адресов, диапазонов и портов, которые вы можете указать. Дополнительные сведения см. в разделе об ограничениях Azure.
Теги сервиса
Служебный тег представляет собой группу префиксов IP-адресов из определённого облачного сервиса Azure. Это помогает свести к минимуму сложность частых обновлений правил безопасности сети.
Дополнительные сведения см. в разделе тегов службы Azure. Пример использования тега службы хранилища для ограничения доступа к сети см. в разделе "Ограничение сетевого доступа к ресурсам PaaS".
Группы безопасности приложений
Группы безопасности приложений позволяют настраивать сетевую безопасность как естественное расширение структуры приложения, позволяя группировать виртуальные машины и определять политики сетевой безопасности на основе этих групп. Вы можете повторно использовать свою политику безопасности в широком масштабе без необходимости в ручном обслуживании явных IP-адресов. Чтобы узнать больше, см. группы безопасности приложений.
Тайм-аут потока
Параметры времени ожидания потока определяют, сколько времени запись потока остается активной до истечения срока действия. Этот параметр можно настроить с помощью портала Azure или командной строки. Дополнительные сведения см. в обзоре журналов потоков NSG.
Рекомендации по платформе Azure
Виртуальный IP-адрес узла-хоста: Основные инфраструктурные сервисы, такие как DHCP, DNS, IMDS и мониторинг состояния, предоставляются через виртуализированные IP-адреса хоста 168.63.129.16 и 169.254.169.254. Эти IP-адреса принадлежат Microsoft и являются единственными виртуализированными IP-адресами, используемыми во всех регионах для этой цели. По умолчанию эти службы не подчиняются настроенным группам сетевой безопасности, если только они не нацелены служебными тегами, специфичными для каждой службы. Чтобы переопределить это базовое инфраструктурное общение, вы можете создать правило безопасности для запрета трафика, используя следующие теги служб в правилах вашей группы сетевой безопасности: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Узнайте, как диагностировать фильтрацию сетевого трафика и диагностировать маршрутизацию сети.
Лицензирование (Служба управления ключами): Изображения Windows, работающие в виртуальных машинах, должны иметь лицензию. Чтобы обеспечить лицензирование, запрос отправляется на хост-серверы службы управления ключами, которые обрабатывают такие запросы. Запрос отправляется наружу через порт 1688. Для развертываний, использующих конфигурацию маршрута 0.0.0.0/0 по умолчанию , это правило платформы отключено.
Виртуальные машины в балансируемых пулах: Исходный порт и диапазон адресов применяются от исходного компьютера, а не от балансировщика нагрузки. Порт назначения и диапазон адресов предназначены для целевого компьютера, а не для балансировщика нагрузки.
Экземпляры служб Azure: Экземпляры нескольких служб Azure, таких как HDInsight, среда обслуживания приложений и группы масштабирования виртуальных машин, развертываются в подсетях виртуальной сети. Для получения полного списка служб, которые можно развернуть в виртуальных сетях, см. Виртуальная сеть для служб Azure. Прежде чем применять группу сетевой безопасности к подсети, ознакомьтесь с требованиями к портам для каждого сервиса. Если вы блокируете порты, необходимые для работы службы, она не функционирует должным образом.
Отправка исходящей почты: Microsoft рекомендует использовать аутентифицированные сервисы релейной SMTP (как правило, подключенные через TCP порт 587, но могут быть и другие), чтобы отправлять электронную почту с Виртуальных Машин Azure. Службы ретрансляции SMTP специализируются на репутации отправителя, чтобы свести к минимуму вероятность того, что поставщики электронной почты партнеров отклоняют сообщения. Такие хостинговые SMTP-услуги включают, но не ограничиваются, Exchange Online Protection и SendGrid. Использование служб ретранслятора SMTP не ограничено в Azure независимо от типа подписки.
Если вы создали подписку Azure до 15 ноября 2017 г., помимо возможности использовать службы ретрансляции SMTP, вы можете отправлять электронную почту непосредственно через TCP-порт 25. Если вы создали подписку после 15 ноября 2017 г., возможно, вы не сможете отправлять электронную почту непосредственно через порт 25. Поведение исходящей связи через порт 25 зависит от типа вашей подписки следующим образом:
Соглашение Enterprise: для виртуальных машин, развернутых в стандартных подписках соглашения Enterprise, исходящие SMTP-подключения через TCP-порт 25 не блокируются. Однако нет гарантии, что внешние домены примут входящие электронные письма из виртуальных машин. Если внешние домены отклоняют или фильтруют сообщения электронной почты, обратитесь к поставщикам служб электронной почты внешних доменов, чтобы устранить проблемы. Эти проблемы не охватываются поддержкой Azure.
Для подписок Enterprise Dev/Test порт 25 по умолчанию заблокирован. Возможно удалить этот блок. Чтобы запросить удаление блокировки, перейдите в раздел Невозможно отправить электронную почту (SMTP-Порт 25) на странице настроек Диагностика и устранение проблем для ресурса виртуальной сети Azure в портале Azure и выполните диагностику. Эта процедура автоматически исключает квалифицированные подписки для разработки и тестирования предприятия.
После того, как подписка освобождена от этого блока, и виртуальные машины остановлены и перезапущены, все виртуальные машины в этой подписке будут освобождены впредь. Льгота применяется только к запрашиваемой подписке и только к трафику виртуальных машин, который направляется непосредственно в интернет.
Оплата по факту использования: Исходящая связь через порт 25 блокируется для всех ресурсов. Заявления на снятие ограничения не могут быть поданы, потому что такие заявления не удовлетворяются. Если вам нужно отправить электронное письмо с вашей виртуальной машины, вам необходимо использовать службу ретрансляции SMTP.
MSDN, Azure Pass, Azure in Open, Education и бесплатная пробная версия: Исходящая связь по порту 25 заблокирована для всех ресурсов. Заявления на снятие ограничения не могут быть поданы, потому что такие заявления не удовлетворяются. Если вам нужно отправить электронное письмо с вашей виртуальной машины, вам необходимо использовать службу ретрансляции SMTP.
Поставщик облачных услуг: Обмен данными через выходной порт 25 заблокирован для всех ресурсов. Заявления на снятие ограничения не могут быть поданы, потому что такие заявления не удовлетворяются. Если вам нужно отправить электронное письмо с вашей виртуальной машины, вам необходимо использовать службу ретрансляции SMTP.
Следующие шаги
Узнайте, какие ресурсы Azure можно развернуть в виртуальной сети. Ознакомьтесь с интеграцией виртуальной сети для служб Azure, чтобы понять, как с ними могут быть связаны группы безопасности сети.
Чтобы узнать, как оценивается трафик с помощью групп безопасности сети, см. Как работают группы безопасности сети.
Создайте группу безопасности сети, следуя этому краткому руководству.
Если вы знакомы с группами безопасности сети и вам нужно их управлять, см. Управление группой безопасности сети.
Если у вас возникли проблемы с коммуникацией и необходимо устранить неполадки в группах безопасности сети, смотрите Диагностика проблемы с фильтром сетевого трафика виртуальной машины.
Узнайте, как включить журналы потоков групп безопасности сети, чтобы анализировать сетевой трафик, поступающий к ресурсам и от них, которые связаны с группой безопасности сети.