Определение действующих правил групп безопасности сети

Завершено

Каждая группа безопасности сети и определенные правила безопасности оцениваются независимо. Azure обрабатывает условия в каждом правиле, определенном для каждой виртуальной машины в конфигурации.

  • Для входящего трафика Azure сначала обрабатывает правила безопасности группы безопасности сети для всех связанных подсетей, а затем все связанные сетевые интерфейсы.
  • Для исходящего трафика процесс будет отменен. Сначала Azure оценивает правила безопасности группы безопасности сети для всех связанных сетевых интерфейсов, за которыми следует все связанные подсети.
  • Для процесса оценки входящих и исходящих подключений Azure также проверяет, как применять правила для трафика внутри подсети. Трафик внутри подсети относится к виртуальным машинам в одной подсети.

Как Azure в конечном итоге применяет определенные правила безопасности для виртуальной машины, определяет общую эффективность правил.

Оценка группы безопасности сети

При применении групп безопасности сети к подсети и сетевому интерфейсу каждая группа безопасности сети оценивается независимо. Правила для входящих и исходящих подключений рассматриваются с учетом приоритета и порядка обработки.

Схема двух групп безопасности сети, применяемых к подсети.

Важные аспекты, которые следует учитывать при создании эффективных правил

Ознакомьтесь со следующими рекомендациями по созданию эффективных правил безопасности для компьютеров в виртуальной сети.

  • Рекомендуется разрешить весь трафик. Если вы размещаете виртуальную машину в подсети или используете сетевой интерфейс, вам не нужно связать подсеть или сетевой адаптер с группой безопасности сети. Этот подход позволяет всему сетевому трафику проходить через подсеть или сетевой интерфейс в соответствии с правилами безопасности Azure по умолчанию. Если вы не обеспокоены контролем трафика к ресурсу на определенном уровне, не свяжите ресурс на этом уровне с группой безопасности сети.

  • Учитывайте важность разрешающих правил. При создании группы безопасности сети необходимо определить правило разрешения как для подсети, так и сетевого интерфейса в группе, чтобы обеспечить передачу трафика. Если у вас есть подсеть или сетевой адаптер в группе безопасности сети, необходимо определить правило разрешения на каждом уровне. В противном случае трафик запрещен для любого уровня, который не предоставляет определение правила разрешения.

  • Рассмотрим трафик внутри подсети. Правила безопасности для группы безопасности сети, связанной с подсетью, могут повлиять на трафик между всеми виртуальными машинами в подсети. Вы можете запретить трафик внутри подсети, определив правило в группе безопасности сети, чтобы запретить весь входящий и исходящий трафик. Это правило предотвращает взаимодействие всех виртуальных машин в подсети друг с другом.

  • Рассмотрим приоритет правила. Правила безопасности для группы безопасности сети обрабатываются в порядке приоритета. Чтобы убедиться, что определенное правило безопасности всегда обрабатывается, назначьте наименьшее возможное значение приоритета правилу. Рекомендуется оставить пробелы в нумеровке приоритета, таких как 100, 200, 300 и т. е. Пробелы в нумеровке позволяют добавлять новые правила, не изменяя существующие правила.

Просмотр действующих правил безопасности

Если у вас есть несколько групп безопасности сети и не уверены, какие правила безопасности применяются, можно использовать ссылку "Действующие правила безопасности" в портал Azure. Вы можете использовать ссылку, чтобы проверить, какие правила безопасности применяются к компьютерам, подсетям и сетевым интерфейсам.

Снимок экрана: страница

Замечание

Наблюдатель за сетями предоставляет консолидированное представление правил инфраструктуры, включая правила NSG и правила администратора безопасности Диспетчера виртуальных сетей Azure. Функция проверки IP-потока оценивает трафик как в соответствии с правилами NSG, так и с любыми правилами администратора безопасности, которые могут действовать.