Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете использовать группу безопасности сети Azure для фильтрации сетевого трафика между ресурсами Azure в виртуальной сети Azure. Группа сетевой безопасности содержит правила безопасности, которые разрешают или запрещают входящий сетевой трафик к, или исходящий сетевой трафик от, нескольких типов ресурсов Azure. Для каждого правила вы можете указать источник и назначение, порт и протокол.
В этой статье описываются свойства правила группы безопасности сети и правила безопасности по умолчанию , применяемые Azure. В нем также описывается изменение свойств правила для создания дополненного правила безопасности.
Правила безопасности
Группа сетевой безопасности содержит столько правил, сколько требуется, в пределах лимитов подписки Azure. Каждое правило указывает следующие свойства:
| Собственность | Explanation |
|---|---|
| Name | Уникальное имя в группе безопасности сети. Длина имени может составлять до 80 символов. Он должен начинаться с символа слова, и он должен заканчиваться словом или символом _. Имя может содержать символы слова или ., -, \_. |
| Приоритет | Число между 100 и 4096. Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Once traffic matches a rule, processing stops. В результате все правила, существующие с более низким приоритетом (более высокие числа), которые имеют те же атрибуты, что и правила с более высоким приоритетом, не обрабатываются. Правила безопасности По умолчанию Azure получают наибольшее число с самым низким приоритетом, чтобы гарантировать, что пользовательские правила всегда обрабатываются первым. |
| Источник или назначение | Можно указать Любой, отдельный IP-адрес, блок CIDR (например, 10.0.0.0/24), тег службы или группу безопасности приложений. Для ресурсов Azure используйте частный IP-адрес, назначенный ресурсу. Группы безопасности сети обрабатывают трафик после перевода общедоступных IP-адресов в частные IP-адреса для входящего трафика. Они обрабатывают трафик перед преобразованием частных IP-адресов в общедоступные IP-адреса для исходящего трафика. Введите диапазон, тег службы или группу безопасности приложений, чтобы уменьшить количество необходимых правил безопасности. Расширенные правила безопасности позволяют указывать несколько отдельных IP-адресов и диапазонов в одном правиле. Однако нельзя указать несколько тегов служб или групп приложений в одном правиле. Расширенные правила безопасности доступны только в группах безопасности сети, созданных с помощью модели развертывания Resource Manager. В классической модели развертывания невозможно указать несколько IP-адресов и диапазонов в одном правиле.
Если источником является подсеть 10.0.1.0/24 (где находится виртуальная машина1), а назначение — подсеть 10.0.2.0/24 (где находится виртуальная машина2), группа безопасности сети фильтрует трафик для VM2. Это происходит, так как группа безопасности сети связана с сетевым интерфейсом VM2. |
| Протокол | TCP, UDP, ICMP, ESP, AH, or Any. Протоколы ESP и AH в настоящее время недоступны через портал Azure, но их можно использовать через шаблоны ARM. |
| Direction | Применяется ли правило к входящему или исходящему трафику? |
| Диапазон портов | You can specify an individual or range of ports. Например, можно указать 80 или 10000-10005. Specifying ranges enables you to create fewer security rules. Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Вы не можете указать несколько портов или диапазонов портов в одном правиле безопасности в группах безопасности сети, созданных через классическую модель развертывания. |
| Действие | Разрешить или запретить |
Правила безопасности оцениваются и применяются на основе пятёрки (источник, порт источника, назначение, порт назначения и протокол). Нельзя создать два правила безопасности с одинаковым приоритетом и направлением. Создается запись потока для существующих соединений. Разрешение или запрет на связь осуществляется в зависимости от состояния соединения записи потока. Запись потока позволяет группе сетевой безопасности быть состоянием. Если вы указываете исходящее правило безопасности для любого адреса через порт 80, например, то нет необходимости указывать входящее правило безопасности для ответа на исходящий трафик. Вам нужно указать входящее правило безопасности только в том случае, если общение инициируется извне. Правда и обратное. Если входящий трафик разрешен через порт, нет необходимости указывать правило безопасности для исходящего трафика, чтобы ответить на трафик через этот порт.
При удалении правила безопасности, разрешающего подключение, существующие подключения остаются непрерывными. Правила группы безопасности сети влияют только на новые подключения. Новые или обновленные правила в группе безопасности сети применяются исключительно к новым подключениям, оставляя существующие подключения не затронутыми изменениями.
В группе сетевой безопасности есть ограничения на количество создаваемых вами правил безопасности. For details, see Azure limits.
Правила безопасности по умолчанию
Azure создает следующие правила по умолчанию в каждой группе сетевой безопасности, которую вы создаете.
Входящий
AllowVNetInBound
| Приоритет | Источник | Source ports | Назначение | Destination ports | Protocol | Доступ |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Любой | Разрешить |
AllowAzureLoadBalancerInBound
| Приоритет | Source | Исходные порты | Destination | Destination ports | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer (служба балансировки нагрузки) | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Разрешить |
DenyAllInbound
| Приоритет | Список источников | Исходные порты | Место назначения | Порты назначения | Протокол | доступ |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Отказать |
исходящий
AllowVnetOutBound
| Приоритет | Источник | Исходные порты | Пункт назначения | Порты назначения | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Любой | Allow |
РазрешитьИсходящийИнтернетТрафик
| Priority | Source | исходные порты | Назначение | Порты назначения | Протокол | Access |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Любой | Allow |
DenyAllOutBound
| Приоритет | Источник | Source ports | Место назначения | Destination ports | Протокол | Access |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Отказать |
В столбцах Source и DestinationVirtualNetwork, AzureLoadBalancer и Internet являются тегами служб, а не IP-адресами. В столбце протокола Любой охватывает TCP, UDP и ICMP. При создании правила вы можете указать TCP, UDP, ICMP или Любой. 0.0.0.0/0 в столбцах Источник и Назначение обозначает все адреса. Такие клиенты, как Azure portal, Azure CLI или PowerShell, могут использовать * или любое значение для этого выражения.
You can't remove the default rules, but you can override them by creating rules with higher priorities.
Усиленные правила безопасности
Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Используйте расширенные правила в полях источника, назначения и порта правила. Чтобы упростить обслуживание вашей конфигурации правил безопасности, объедините расширенные правила безопасности с тегами служб или группами безопасности приложений. В правиле существуют ограничения на количество адресов, диапазонов и портов, которые вы можете указать. For details, see Azure limits.
Service tags
Служебный тег представляет собой группу префиксов IP-адресов из определённого облачного сервиса Azure. It helps to minimize the complexity of frequent updates on network security rules.
For more information, see Azure service tags. For an example on how to use the Storage service tag to restrict network access, see Restrict network access to PaaS resources.
Application security groups
Группы безопасности приложений позволяют настраивать сетевую безопасность как естественное расширение структуры приложения, позволяя группировать виртуальные машины и определять политики сетевой безопасности на основе этих групп. Вы можете повторно использовать свою политику безопасности в широком масштабе без необходимости в ручном обслуживании явных IP-адресов. Чтобы узнать больше, см. группы безопасности приложений.
Azure platform considerations
Виртуальный IP-адрес узла-хоста: Основные инфраструктурные сервисы, такие как DHCP, DNS, IMDS и мониторинг состояния, предоставляются через виртуализированные IP-адреса хоста 168.63.129.16 и 169.254.169.254. Эти IP-адреса принадлежат Microsoft и являются единственными виртуализированными IP-адресами, используемыми во всех регионах для этой цели. По умолчанию эти службы не подчиняются настроенным группам сетевой безопасности, если только они не нацелены служебными тегами, специфичными для каждой службы. Чтобы переопределить это базовое инфраструктурное общение, вы можете создать правило безопасности для запрета трафика, используя следующие теги служб в правилах вашей группы сетевой безопасности: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Узнайте, как диагностировать фильтрацию сетевого трафика и диагностировать маршрутизацию сети.
Лицензирование (Служба управления ключами): Изображения Windows, работающие в виртуальных машинах, должны иметь лицензию. Чтобы обеспечить лицензирование, запрос отправляется на хост-серверы службы управления ключами, которые обрабатывают такие запросы. The request is made outbound through port 1688. Для развертываний, использующих конфигурацию маршрута 0.0.0.0/0 по умолчанию , это правило платформы отключено.
Виртуальные машины в балансируемых пулах: Исходный порт и диапазон адресов применяются от исходного компьютера, а не от балансировщика нагрузки. Порт назначения и диапазон адресов предназначены для целевого компьютера, а не для балансировщика нагрузки.
Экземпляры служб Azure: Экземпляры нескольких служб Azure, таких как HDInsight, среда обслуживания приложений и группы масштабирования виртуальных машин, развертываются в подсетях виртуальной сети. Для получения полного списка служб, которые можно развернуть в виртуальных сетях, см. Виртуальная сеть для служб Azure. Прежде чем применять группу сетевой безопасности к подсети, ознакомьтесь с требованиями к портам для каждого сервиса. Если вы блокируете порты, необходимые для работы службы, она не функционирует должным образом.
Отправка исходящей почты: Microsoft рекомендует использовать аутентифицированные сервисы релейной SMTP (как правило, подключенные через TCP порт 587, но могут быть и другие), чтобы отправлять электронную почту с Виртуальных Машин Azure. Службы ретрансляции SMTP специализируются на репутации отправителя, чтобы свести к минимуму вероятность того, что поставщики электронной почты партнеров отклоняют сообщения. Такие хостинговые SMTP-услуги включают, но не ограничиваются, Exchange Online Protection и SendGrid. Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.
Если вы создали подписку Azure до 15 ноября 2017 г., помимо возможности использовать службы ретрансляции SMTP, вы можете отправлять электронную почту непосредственно через TCP-порт 25. Если вы создали подписку после 15 ноября 2017 г., возможно, вы не сможете отправлять электронную почту непосредственно через порт 25. Поведение исходящей связи через порт 25 зависит от типа вашей подписки следующим образом:
Соглашение Enterprise: для виртуальных машин, развернутых в стандартных подписках соглашения Enterprise, исходящие SMTP-подключения через TCP-порт 25 не блокируются. Однако нет гарантии, что внешние домены примут входящие электронные письма из виртуальных машин. Если внешние домены отклоняют или фильтруют сообщения электронной почты, обратитесь к поставщикам служб электронной почты внешних доменов, чтобы устранить проблемы. Эти проблемы не охватываются поддержкой Azure.
Для подписок Enterprise Dev/Test порт 25 по умолчанию заблокирован. Возможно удалить этот блок. Чтобы запросить удаление блокировки, перейдите в раздел Невозможно отправить электронную почту (SMTP-Порт 25) на странице настроек Диагностика и устранение проблем для ресурса виртуальной сети Azure в портале Azure и выполните диагностику. Эта процедура автоматически исключает квалифицированные подписки для разработки и тестирования предприятия.
После того, как подписка освобождена от этого блока, и виртуальные машины остановлены и перезапущены, все виртуальные машины в этой подписке будут освобождены впредь. Льгота применяется только к запрашиваемой подписке и только к трафику виртуальных машин, который направляется непосредственно в интернет.
Оплата по факту использования: Исходящая связь через порт 25 блокируется для всех ресурсов. Заявления на снятие ограничения не могут быть поданы, потому что такие заявления не удовлетворяются. Если вам нужно отправить электронное письмо с вашей виртуальной машины, вам необходимо использовать службу ретрансляции SMTP.
MSDN, Azure Pass, Azure in Open, Education и бесплатная пробная версия: Исходящая связь по порту 25 заблокирована для всех ресурсов. Запросы на снятие ограничения не могут быть отправлены, потому что запросы не принимаются. Если вам нужно отправлять электронные письма с вашей виртуальной машины, вам необходимо использовать службу реле SMTP.
Поставщик облачных услуг: Обмен данными через выходной порт 25 заблокирован для всех ресурсов. Запросы на снятие ограничения не могут быть сделаны, поскольку такие запросы не удовлетворяются. Если вам нужно отправлять электронные письма с вашей виртуальной машины, вам необходимо использовать сервис ретрансляции SMTP.
Следующие шаги
Узнайте, какие ресурсы Azure можно развернуть в виртуальной сети. Ознакомьтесь с интеграцией виртуальной сети для служб Azure, чтобы понять, как с ними могут быть связаны группы безопасности сети.
Чтобы узнать, как оценивается трафик с помощью групп безопасности сети, см. Как работают группы безопасности сети.
Создайте группу безопасности сети, следуя этому краткому руководству.
Если вы знакомы с группами безопасности сети и вам нужно их управлять, см. Управление группой безопасности сети.
Если у вас возникли проблемы с коммуникацией и необходимо устранить неполадки в группах безопасности сети, смотрите Диагностика проблемы с фильтром сетевого трафика виртуальной машины.
Узнайте, как включить журналы потоков групп безопасности сети, чтобы анализировать сетевой трафик, поступающий к ресурсам и от них, которые связаны с группой безопасности сети.