Создание правил группы безопасности сети

Завершено

Легко добавить правила безопасности для управления входящим и исходящим трафиком в портал Azure. Вы можете настроить параметры правила группы безопасности виртуальной сети и выбрать различные службы коммуникации, включая HTTPS, RDP, FTP и DNS.

Сведения о настройке правил безопасности

Рассмотрим некоторые свойства, которые необходимо указать для создания правил безопасности. При просмотре этих параметров думайте о правилах трафика, которые необходимо создать, и о том, какие службы могут выполнять требования к сети.

Снимок экрана, который показывает, как настроить параметры источника и назначения для создания правила безопасности в портале Azure.

  • Источник: определяет, как правило безопасности контролирует входящий трафик. Значение указывает определенный диапазон IP-адресов источника для разрешения или запрета. Исходный фильтр может быть любым ресурсом, диапазоном IP-адресов, группой безопасности приложения или тегом по умолчанию.

  • Назначение. Определяет, как правило безопасности управляет исходящим трафиком. Значение задает определенный диапазон IP-адресов назначения для разрешения или запрета. Значение целевого фильтра аналогично исходному фильтру. Это значение может быть любым ресурсом, диапазоном IP-адресов, группой безопасности приложения или тегом по умолчанию.

  • Служба: задает целевой протокол и диапазон портов для правила безопасности. Вы можете выбрать предопределенную службу, например RDP или SSH, или предоставить пользовательский диапазон портов. Существует большое количество служб для выбора.

    Снимок экрана, показывающий параметры правила службы для правила безопасности в портале Azure.

  • Приоритет: назначает значение порядка приоритета для правила безопасности. Правила обрабатываются в соответствии с приоритетом всех правил для группы безопасности сети, включая подсеть и сетевой интерфейс. Чем ниже значение приоритета, тем выше приоритет правила.

    Снимок экрана, на котором показано, как задать значение приоритета для правила безопасности в портал Azure.

Когда следует использовать расширенные правила безопасности

Одно правило группы безопасности сети может содержать несколько значений в полях источника, назначения и службы. Этот подход, называемый расширенными правилами безопасности, сокращает общее количество необходимых правил и упрощает управление группами безопасности сети.

Сведения о дополнениях к правилам безопасности

  • Несколько IP-адресов: объединение нескольких IP-адресов в одно правило.

  • Несколько диапазонов портов: укажите несколько портов и диапазонов в поле "Служба".

  • Теги служб и группы безопасности приложений: Сочетание тегов служб, групп безопасности приложений и IP-адресов в одном правиле.

  • Сокращенное число правил: вместо создания отдельных правил для каждого диапазона IP-адресов или порта объединяют их в меньшее, более управляемое правило.

В корпоративных средах с большим количеством диапазонов IP-адресов или служб расширенные правила предотвращают разрастание правил NSG. Например, вместо создания четырех отдельных правил для портов 80, 443, 8080 и 8090 создайте одно правило со всеми портами.

Подсказка

Расширьте свои знания с помощью учебного модуля безопасности и изоляции доступа к ресурсам Azure с использованием групп безопасности сети и конечных точек служб. Этот модуль включает песочницу, в которой можно практиковаться.