Определение действующих правил групп безопасности сети
Каждая группа безопасности сети и определенные правила безопасности оцениваются независимо. Azure обрабатывает условия в каждом правиле, определенном для каждой виртуальной машины в конфигурации.
- Для входящего трафика Azure сначала обрабатывает правила безопасности группы безопасности сети для всех связанных подсетей, а затем все связанные сетевые интерфейсы.
- Для исходящего трафика процесс будет отменен. Сначала Azure оценивает правила безопасности группы безопасности сети для всех связанных сетевых интерфейсов, за которыми следует все связанные подсети.
- Для процесса оценки входящих и исходящих подключений Azure также проверяет, как применять правила для трафика внутри подсети. Трафик внутри подсети относится к виртуальным машинам в одной подсети.
Как Azure в конечном итоге применяет определенные правила безопасности для виртуальной машины, определяет общую эффективность правил.
Оценка группы безопасности сети
При применении групп безопасности сети к подсети и сетевому интерфейсу каждая группа безопасности сети оценивается независимо. Правила для входящих и исходящих подключений рассматриваются с учетом приоритета и порядка обработки.
Важные аспекты, которые следует учитывать при создании эффективных правил
Ознакомьтесь со следующими рекомендациями по созданию эффективных правил безопасности для компьютеров в виртуальной сети.
Рекомендуется разрешить весь трафик. Если вы размещаете виртуальную машину в подсети или используете сетевой интерфейс, вам не нужно связать подсеть или сетевой адаптер с группой безопасности сети. Этот подход позволяет всему сетевому трафику проходить через подсеть или сетевой интерфейс в соответствии с правилами безопасности Azure по умолчанию. Если вы не обеспокоены контролем трафика к ресурсу на определенном уровне, не свяжите ресурс на этом уровне с группой безопасности сети.
Учитывайте важность разрешающих правил. При создании группы безопасности сети необходимо определить правило разрешения как для подсети, так и сетевого интерфейса в группе, чтобы обеспечить передачу трафика. Если у вас есть подсеть или сетевой адаптер в группе безопасности сети, необходимо определить правило разрешения на каждом уровне. В противном случае трафик запрещен для любого уровня, который не предоставляет определение правила разрешения.
Рассмотрим трафик внутри подсети. Правила безопасности для группы безопасности сети, связанной с подсетью, могут повлиять на трафик между всеми виртуальными машинами в подсети. Вы можете запретить трафик внутри подсети, определив правило в группе безопасности сети, чтобы запретить весь входящий и исходящий трафик. Это правило предотвращает взаимодействие всех виртуальных машин в подсети друг с другом.
Рассмотрим приоритет правила. Правила безопасности для группы безопасности сети обрабатываются в порядке приоритета. Чтобы убедиться, что определенное правило безопасности всегда обрабатывается, назначьте наименьшее возможное значение приоритета правилу. Рекомендуется оставить пробелы в нумеровке приоритета, таких как 100, 200, 300 и т. е. Пробелы в нумеровке позволяют добавлять новые правила, не изменяя существующие правила.
Просмотр действующих правил безопасности
Если у вас есть несколько групп безопасности сети и не уверены, какие правила безопасности применяются, можно использовать ссылку "Действующие правила безопасности" в портал Azure. Вы можете использовать ссылку, чтобы проверить, какие правила безопасности применяются к компьютерам, подсетям и сетевым интерфейсам.
Замечание
Наблюдатель за сетями предоставляет консолидированное представление правил инфраструктуры, включая правила NSG и правила администратора безопасности Диспетчера виртуальных сетей Azure. Функция проверки IP-потока оценивает трафик как в соответствии с правилами NSG, так и с любыми правилами администратора безопасности, которые могут действовать.