Azure网络安全组NSG

上一篇博文中我们了解了Azure中的终结点访问控制列表,在安全方面,微软在Azure中还提供了另外一个解决方案,那就是本文我们要来了解的网络安全组NSG。网络安全组 (NSG) 包含一系列安全规则,这些规则可以允许或拒绝流向连接到 Azure 虚拟网络 (VNet) 的资源的网络流量。 可以将 NSG 关联到子网、单个 VM(经典)或附加到 VM 的单个网络接口 (NIC) (Resource Manager)。 将 NSG 关联到子网时,规则适用于连接到该子网的所有资源。 也可通过将 NSG 关联到 VM 或 NIC 来进一步限制流量。NSG 包含两组规则:入站规则和出站规则。 在每组中,规则的优先级必须保持唯一。

下图显示如何处理 NSG 规则

NSG 资源

NSG 包含以下属性:


属性


说明


约束


注意事项


名称


NSG 的名称


必须在区域内唯一。
可以包含字母、数字、下划线、句点和连字符。
必须以字母或数字开头。
必须以字母、数字或下划线结尾。
不能超过 80 个字符。


由于可能需要创建多个 NSG,因此请确保设置命名约定,以便轻松标识 NSG 的功能。


区域


在其中创建 NSG 的 Azure 区域。


只能将多个 NSG 关联到该 NSG 所在区域中的资源。


若要了解一个区域可以有多少 NSG,请阅读 Azure 限制


资源组


NSG 所在的资源组。


虽然 NSG 存在于一个资源组中,但可将其关联到任意资源组中的资源,只要该资源与 NSG 属于同一 Azure 区域。


资源组用于以部署单元的形式集中管理多个资源。
可以考虑将 NSG 与相关联的资源组合在一起。


规则


入站或出站规则,用于定义允许或拒绝的具体流量。


请参阅本文的 NSG 规则部分。

需要注意的是:不支持将基于终结点的 ACL 和网络安全组置于相同 VM 实例上。 如果想要使用 NSG,但已有了终结点 ACL,则请先删除该终结点 ACL。

NSG 规则

NSG 规则包含以下属性:


属性


说明


约束


注意事项


名称


规则的名称。


必须在区域内唯一。
可以包含字母、数字、下划线、句点和连字符。
必须以字母或数字开头。
必须以字母、数字或下划线结尾。
不能超过 80 个字符。


一个 NSG 中可以有多个规则,因此请确保遵循命名约定,以便标识规则的功能。


协议


要与规则匹配的协议。


TCP、UDP 或 *


使用 * 作为协议时,会包括 ICMP(仅限东西通信),以及 UDP 和 TCP,可能会减少所需规则的数量。
同时,使用 * 可能是过于宽泛的方法,因此建议只在必要时使用 *。


源端口范围


要与规则匹配的源端口范围。


单个端口号(从 1 到 65535)、端口范围(示例:1-65535)、或 *(表示所有端口)。


源端口可以是暂时的。 除非客户端程序在使用特定端口,否则请在大多数情况下使用 *。
尽可能尝试使用端口范围,这样就不需使用多个规则。
不能使用逗号对多个端口或端口范围分组。


目标端口范围


要与规则匹配的目标端口范围。


单个端口号(从 1 到 65535)、端口范围(示例:1-65535)、或 *(表示所有端口)。


尽可能尝试使用端口范围,这样就不需使用多个规则。
不能使用逗号对多个端口或端口范围分组。


方向


要与规则匹配的流量方向。


入站或出站。


入站和出站规则会根据方向分别处理。


优先级


将按优先级顺序来检查规则。 一旦应用某个规则,不再检查其他规则的匹配情况。


介于 100 到 4096 之间的数字。


考虑以 100 为增量,为每个规则创建规则跳转优先级,为将来可能创建的新规则留出空间。


操作


规则匹配时要应用的访问类型。


允许或拒绝。


请记住,如果找不到某个数据包的允许规则,则会丢弃该数据包。

默认标记

默认标记是系统提供的针对某类 IP 地址的标识符。 可以使用任何规则的源地址前缀目标地址前缀属性中的默认标记。 有三个可使用的默认标记:

  • VirtualNetwork (Resource Manager)(如果是经典部署模型,则为 VIRTUAL_NETWORK):此标记包括虚拟网络地址空间(Azure 中定义的 CIDR 范围)、所有连接的本地地址空间,以及连接的 Azure VNet(本地网络)。
  • AzureLoadBalancer (Resource Manager)(如果是经典部署模型,则为 AZURE_LOADBALANCER):此标记表示 Azure 的基础结构负载均衡器。 此标记将转换为 Azure 数据中心 IP,Azure 负载均衡器的运行状况探测源于该 IP。
  • Internet (Resource Manager)(如果是经典部署模型,则为 INTERNET):此标记表示虚拟网络外部的 IP 地址空间,可以通过公共 Internet 进行访问。
默认规则

所有 NSG 都包含一组默认规则。 默认规则无法删除,但由于给它们分配的优先级最低,可以用创建的规则来重写它们。

默认规则允许和禁止的流量如下所示:

  • 虚拟网络:从方向上来说,在虚拟网络中发起和结束的通信可以是入站通信,也可以是出站通信。
  • Internet:允许出站通信,但阻止入站通信。
  • 负载均衡器:允许 Azure 负载均衡器探测 VM 和角色实例的运行状况。 如果重写此规则,Azure 负载均衡器运行状况探测会失败,这可能对服务造成影响。

入站默认规则


名称


Priority


Source IP


Source Port


Destination IP


Destination Port


协议


Access


AllowVNetInBound


65000


VirtualNetwork


*


VirtualNetwork


*


*


允许


AllowAzureLoadBalancerInBound


65001


AzureLoadBalancer


*


*


*


*


允许


DenyAllInBound


65500


*


*


*


*


*


拒绝

出站默认规则


名称


Priority


Source IP


Source Port


Destination IP


Destination Port


协议


Access


AllowVnetOutBound


65000


VirtualNetwork


*


VirtualNetwork


*


*


允许


AllowInternetOutBound


65001


*


*


Internet


*


*


允许


DenyAllOutBound


65500


*


*


*


*


*


拒绝

将 NSG 相关联

可以根据所使用的部署模型将 NSG 关联到 VM、NIC 和子网,如下所示:

  • VM(仅经典部署模型):安全规则适用于所有出入 VM 的流量。
  • NIC(仅 Resource Manager 部署模型):安全规则适用于所有与 NSG 关联的出入 NIC 的流量。 在多 NIC VM 中,可以为每个 NIC 单独应用不同(或相同)的 NSG。
  • 子网(资源管理器部署模型和经典部署模型):安全规则适用于出入任何连接到子网的资源的任何流量。

可以将不同的 NSG 关联到 VM(或 NIC,具体取决于部署模型)以及 NIC 或 VM 连接到的子网。 安全规则在每个 NSG 中按优先级参照以下顺序应用到流量:

  • 入站流量
    1. 应用到子网的 NSG:如果子网 NSG 存在相应的拒绝流量的规则,则会丢弃数据包。
    2. 应用到 NIC (Resource Manager) 或 VM(经典)的 NSG:如果 VM\NIC NSG 存在相应的拒绝流量的规则,则会丢弃 VM\NIC 上的数据包,即使子网 NSG 存在相应的允许流量的规则。
  • 出站流量
    1. 应用到 NIC (Resource Manager) 或 VM(经典)的 NSG:如果 VM\NIC NSG 存在相应的拒绝流量的规则,则会丢弃数据包。
    2. 应用到子网的 NSG:如果子网 NSG 存在相应的拒绝流量的规则,则会丢弃数据包,即使 VM\NIC NSG 存在相应的允许流量的规则。

使用Azure门户创建NSG

登录Azure门户,点击创建资源,选择网络,点击网络安全组--创建,如下图所示

输入名称,选择订阅,资源组可以新建也可以选择现有项,选择好位置,然后点击创建

资源组创建成功后,在其概述中可以看到默认的规则

在入站安全规则和出站安全规则中可以分别去添加所需的规则,如下图

下图所示为添加入站安全规则,需要填写源、源端口范围、目标、目标端口范围、优先级,选择协议和操作

还可以在说明中填写备注信息

原文地址:http://blog.51cto.com/fjcloud/2090528

时间: 2024-10-23 02:34:08

Azure网络安全组NSG的相关文章

关于Windows Azure 地缘组(Affinity Groups)

最近在和一些客户和朋友的沟通中,发现Windows Azure地缘组概念很少有了解.我的建议是使用地缘组来优化同一区域内的网络访问速度.如果我的说法有误,欢迎大家指正. 关于“地缘组”的概念(摘自MSDN): “地缘组 是一种对云服务进行分组的方式,通过使云服务在 Azure 数据中心内相互接近来实现最佳性能.你创建地缘组后,该地缘组会让 Azure 知道令属于你的地缘组的所有服务在物理上尽可能地接近.例如,如果你想要使服务一起运行你的数据和代码,则要为这些云服务指定相同的地缘组.然后,这些云服

2.Azure资源组迁移

在上一篇文章,我给大家介绍了Azure虚拟机创建的过程以及注意事项,希望为刚接触使用Azure的用户提供一些指导,当然在新的产品面前入坑是难免的,在这我就遇到了一个中文支持不好的坑,还记得上篇文章中,我创建了一个中文名称的"服务器资源组"吗?也正是这个中文资源组的名称,导致我虚拟机创建成功了,依然最后提示"失败"看看错误提示吧:貌似对中文支持不是很好导致的,OK,既然这样,我也不想重新再来创建一遍,那么怎么办呢?正好,我就给大家介绍Azure资源组的迁移,此方法简单

Microsoft Azure地缘组是什么

地缘组(Affinity Group)在Azure当中涉及比较多,除了常用的虚拟机服务以外,像存储,或者云服务都会包含地缘组的概念,那么地缘组到底是个什么意思?在用户初次登录Azure订阅时是没有任何地缘组的,需要在"设置"-"地缘组"中来手动添加,如下图: 首先要强调的是,地缘组可不仅仅是个修饰词,不是一个"别名"那么简单,以大陆版本的Azure为例,想要理解地缘组,先要知道区域,目前大陆只提供了两个区域,分别是"中国北部"

云网络安全组防护

旨在对宿主机和虚拟机的访问建立白名单,只允许公司指定IP的访问 创建IP地址白名单 ipset create whitelist hash:net ipset add whitelist 10.0.1.52 ipset add whitelist 10.0.1.142 把FORWARD和INPUT导入到自定义链 iptables -N custom 影响虚拟机 iptables -A FORWARD -m physdev --physdev-in em3 -j custom 影响宿主机 ipta

Azure NSG(安全组)

[在此处输入文章标题] 之前在Azure上,对于网络安全,用户自己可以配置VM终结点的ACL ,但是无法针对整个V-NET或定义一个组来配置ACL. 网络安全组 (NSG) 的出现解决了这个问题,可用于控制指向虚拟网络中一个或多个虚拟机 (VM) 实例的通信.在NSG中 包含了允许或拒绝指向 VM 实例的流量的访问控制规则,并且可以随时更改 NSG 的规则. 备注: NSG 需要区域 VNet,NSG 与关联到地缘组的 VNet 不兼容. 一个VM或子网只能关联一个NSG 目前每个NSG最多包含

LINUX ON AZURE 安全建议(上)

本文为个人原创,可以自由转载,转载请注明出处,多谢! 本文地址:http://www.cnblogs.com/taosha/p/6399554.html 1.1 概述介绍 Linux系统是全世界最流行的服务器操作系统之一,采用开源方式,灵活方便,版本更新快,但是因为分支较多,免费的社区版本非商业运作,缺少售后服务和安全保障,安全漏洞较多,这是困扰很多Linux用户的一大难题. 微软云计算平台----Windows Azure(简称Azure)运行了大量的Linux虚机,如何保障这些云端服务器的安

Azure 订阅和服务限制、配额和约束

最后更新时间:2016年10月24日 概述 本文档指定一些最常见的 Azure 限制.请注意,本文档目前未涵盖所有 Azure 服务.一段时间后,将展开并更新这些限制以包含多个平台. NOTE: 如果想要提高默认限制之上的限制,可以打开免费的联机客户支持请求.无法将这些限制提高到超过下表中的最大限制值.如果没有任何最大限制列,则指定的资源不具有可调整的限制. 限制和 Azure 资源管理器 现在可以将多个 Azure 资源合并到单个 Azure 资源组中.在使用资源组时,以前针对全局的限制会通过

配置NSG限制VM访问Internet

配置NSG限制VM访问Internet 什么是网络安全组 (NSG)? http://www.windowsazure.cn/documentation/articles/virtual-networks-nsg 新建一个安全组 New-AzureNetworkSecurityGroup-Name"DMZNSG"-Location"China East" 定义变量 $NSGGroup=Get-AzureNetworkSecurityGroup-NameDMZNSG

10.Azure应用程序网关(上)

应用程序网关这个功能主要又分2个子功能,一个叫"标准应用程序网关":一个叫"WEB应用程序防火墙(WAF)"."WEB应用程序防火墙(WAF)"是基于"标准应用程序网关"的升级版.Azure 应用程序网关是以服务形式提供应用程序传递控制的专用虚拟设备.提供七层的负载均衡功能.还提供其他第 7 层路由功能,包括传入流量的轮循机制分配.基于 Cookie 的会话相关性.基于 URL 路径的路由,以及在单个应用程序网关后面托管多个网