Создание правил группы безопасности сети
Легко добавить правила безопасности для управления входящим и исходящим трафиком в портал Azure. Вы можете настроить параметры правила группы безопасности виртуальной сети и выбрать различные службы коммуникации, включая HTTPS, RDP, FTP и DNS.
Сведения о настройке правил безопасности
Рассмотрим некоторые свойства, которые необходимо указать для создания правил безопасности. При просмотре этих параметров думайте о правилах трафика, которые необходимо создать, и о том, какие службы могут выполнять требования к сети.
Источник: определяет, как правило безопасности контролирует входящий трафик. Значение указывает определенный диапазон IP-адресов источника для разрешения или запрета. Исходный фильтр может быть любым ресурсом, диапазоном IP-адресов, группой безопасности приложения или тегом по умолчанию.
Назначение. Определяет, как правило безопасности управляет исходящим трафиком. Значение задает определенный диапазон IP-адресов назначения для разрешения или запрета. Значение целевого фильтра аналогично исходному фильтру. Это значение может быть любым ресурсом, диапазоном IP-адресов, группой безопасности приложения или тегом по умолчанию.
Служба: задает целевой протокол и диапазон портов для правила безопасности. Вы можете выбрать предопределенную службу, например RDP или SSH, или предоставить пользовательский диапазон портов. Существует большое количество служб для выбора.
Приоритет: назначает значение порядка приоритета для правила безопасности. Правила обрабатываются в соответствии с приоритетом всех правил для группы безопасности сети, включая подсеть и сетевой интерфейс. Чем ниже значение приоритета, тем выше приоритет правила.
Когда следует использовать расширенные правила безопасности
Одно правило группы безопасности сети может содержать несколько значений в полях источника, назначения и службы. Этот подход, называемый расширенными правилами безопасности, сокращает общее количество необходимых правил и упрощает управление группами безопасности сети.
Сведения о дополнениях к правилам безопасности
Несколько IP-адресов: объединение нескольких IP-адресов в одно правило.
Несколько диапазонов портов: укажите несколько портов и диапазонов в поле "Служба".
Теги служб и группы безопасности приложений: Сочетание тегов служб, групп безопасности приложений и IP-адресов в одном правиле.
Сокращенное число правил: вместо создания отдельных правил для каждого диапазона IP-адресов или порта объединяют их в меньшее, более управляемое правило.
В корпоративных средах с большим количеством диапазонов IP-адресов или служб расширенные правила предотвращают разрастание правил NSG. Например, вместо создания четырех отдельных правил для портов 80, 443, 8080 и 8090 создайте одно правило со всеми портами.
Подсказка
Расширьте свои знания с помощью учебного модуля безопасности и изоляции доступа к ресурсам Azure с использованием групп безопасности сети и конечных точек служб. Этот модуль включает песочницу, в которой можно практиковаться.