Группы безопасности сети

Группа безопасности сети Azure позволяет фильтровать трафик между ресурсами Azure в виртуальной сети Azure. В этой группе содержатся правила безопасности, которые разрешают или запрещают исходящий и входящий трафик нескольких типов ресурсов Azure. Для каждого правила можно указать источник и назначение, порт и протокол.

В этой статье описываются свойства правила группы безопасности сети, применяемые правила безопасности по умолчанию и свойства правила, которые можно изменить для создания расширенного правила безопасности.

Правила безопасности

Группа безопасности сети содержит столько правил, сколько нужно, в пределах ограничений подписки Azure. В каждом правиле указываются следующие свойства:

Свойство Пояснение
Имя. Уникальное имя в пределах группы безопасности сети. Имя может содержать до 80 символов. Он должен начинаться с символа слова, и он должен заканчиваться словом или "_". Имя может содержать символы слов или ".", "-", "_".
Приоритет Значение в диапазоне от 100 до 4096. Правила обрабатываются в порядке приоритета. Числа обрабатываются по возрастанию, так как меньшие числа имеют более высокий приоритет. Если показатель трафика соответствует установленному в правиле, обработка останавливается. В результате все правила с более низким приоритетом (большие числа) и тем же атрибутом,что и правила с высоким приоритетом, не обрабатываются.
Правила безопасности По умолчанию Azure получают наибольшее число с самым низким приоритетом, чтобы гарантировать, что пользовательские правила всегда обрабатываются первым.
Источник или назначение Любой или конкретный IP-адрес, блок бесклассовой междоменной маршрутизации (CIDR) (например, 10.0.0.0/24), тег службы или группа безопасности приложений. При указании адреса ресурса Azure необходимо указать частный IP-адрес, назначенный ресурсу. Группы безопасности сети обрабатываются после того, как Azure преобразует общедоступный IP-адрес в частный для входящего трафика, и до того, как Azure преобразует частный IP-адрес в общедоступный для исходящего трафика. При указании диапазона, тега службы или группы безопасности приложений требуется меньше правил безопасности. Возможность указать несколько отдельных IP-адресов и диапазонов (нельзя указать несколько тегов служб или групп приложений) в правиле относится к расширенным правилам безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager. Нельзя одновременно задать несколько IP-адресов и их диапазонов в группах безопасности сети, созданных с помощью классической модели развертывания.
Если источник указывает на подсеть 10.0.1.0/24 (где находится виртуальная машина 1) и точек назначения в подсети 10.0.2.0/24 (где находится виртуальная машина2), это указывает на назначение группы безопасности сети для фильтрации сетевого трафика для VM2, а группа безопасности сети связана с сетевым интерфейсом VM2.
Протокол TCP, UDP, ICMP, ESP, AH или "Любой". Протоколы ESP и AH в настоящее время недоступны через портал Azure, но могут использоваться с помощью шаблонов ARM.
Направление Определяет тип трафика (входящий или исходящий), к которому применяется правило.
Диапазон портов Можно задать отдельный порт или их диапазон. Например, вы можете указать 80 или 10000–10005. Если указать диапазон, можно создавать меньше правил безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager. Нельзя задать несколько портов или их диапазонов в одном и том же правиле безопасности в группах безопасности сети, созданных с помощью классической модели развертывания.
Действие Разрешить или запретить доступ

Правила безопасности оцениваются и применяются на основе пяти кортежей (источник, исходный порт, назначение, целевой порт и протокол). Создать два правила безопасности с одинаковым приоритетом и направлением нельзя. Запись потока создается для имеющихся подключений. Обмен данными разрешен или запрещен в зависимости от состояния подключения записи потока. С помощью записи потока можно отслеживать состояние группы безопасности сети. Если вы задаете правило безопасности для исходящего трафика по любому адресу, например, через порт 80, устанавливать правило безопасности входящего трафика для ответа на исходящий трафик не обязательно. Если связь инициируется извне, достаточно задать правило безопасности для входящего трафика. Обратное также верно. Если через порт разрешено поступление входящего трафика, задавать правило безопасности исходящего трафика для ответа на трафик через порт не требуется.

Существующие подключения могут не прерываться при удалении правила безопасности, разрешающего подключение. Изменение правил группы безопасности сети влияет только на новые подключения. При создании нового правила или обновлении существующего правила в группе безопасности сети оно будет применяться только к новым подключениям. Существующие подключения не переоценены новыми правилами.

Количество правил безопасности, которые можно создать в группе безопасности сети, ограничено. Дополнительные сведения см. в разделе Ограничения сети.

Правила безопасности по умолчанию

Azure создает следующие правила по умолчанию в каждой создаваемой группе безопасности сети:

Входящий трафик

AllowVNetInBound
Приоритет Исходный код Исходные порты Назначение Конечные порты Протокол Открыть
65000 Виртуальная сеть 0-65535 Виртуальная сеть 0-65535 Любое Разрешить
AllowAzureLoadBalancerInBound
Приоритет Исходный код Исходные порты Назначение Конечные порты Протокол Открыть
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Любое Разрешить
DenyAllInbound
Приоритет Исходный код Исходные порты Назначение Конечные порты Протокол Открыть
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Любой Запрет

Исходящие

AllowVnetOutBound
Приоритет Исходный код Исходные порты Назначение Конечные порты Протокол Открыть
65000 Виртуальная сеть 0-65535 Виртуальная сеть 0-65535 Любое Разрешить
AllowInternetOutBound
Приоритет Исходный код Исходные порты Назначение Конечные порты Протокол Открыть
65001 0.0.0.0/0 0-65535 Интернет 0-65535 Любое Разрешить
DenyAllOutBound
Приоритет Исходный код Исходные порты Назначение Конечные порты Протокол Открыть
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Любой Запрет

В столбцах Источник и Место назначения значения VirtualNetwork, AzureLoadBalancer и Internet являются тегами служб, а не IP-адресами. В столбце протокола значение Любой включает в себя TCP, UDP и ICMP. При создании правила можно указать TCP, UDP, ICMP или "Любой". 0.0.0.0/0 в столбцах Источник и Назначение представляет все адреса. Такие клиенты, как портал Azure, Azure CLI или PowerShell, могут использовать для этого выражения * или "Любой".

Правила по умолчанию нельзя удалить, но их можно переопределить, создав правила с более высоким приоритетом.

Расширенные правила безопасности

Расширенные правила безопасности упрощают определение безопасности для виртуальных сетей, позволяя определять масштабные и комплексные политики безопасности сети с меньшим числом правил. Несколько портов, несколько явных IP-адресов и диапазонов можно объединить в одном простом правиле безопасности. Используйте расширенные правила в полях источника, назначения и порта для правила. Чтобы упростить поддержку для определения правила безопасности, объедините расширенные правила безопасности с тегами служб или группами безопасности приложений. Количество адресов, диапазонов и портов, которые можно указать в правиле, ограничено. Дополнительные сведения см. в разделе Ограничения сети.

Теги служб

Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Это помогает снизить сложность частого обновления правил сетевой безопасности.

Дополнительные сведения см. в разделе Теги служб Azure. Пример использования тега службы хранилища для ограничения доступа к сети см. в разделе Ограничение сетевого доступа к ресурсам PaaS.

Группы безопасности приложений

Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп. Вы можете повторно использовать политику безопасности в нужном масштабе без обслуживания явных IP-адресов вручную. Дополнительные сведения см. в разделе Группы безопасности приложений.

Сведения о платформе Azure

  • Виртуальный IP-адрес главного узла. Базовые службы инфраструктуры, такие как DHCP, DNS и служба мониторинга работоспособности, предоставляются через виртуальные IP-адреса 168.63.129.16 и 169.254.169.254. Эти IP-адреса принадлежат корпорации Майкрософт. Они являются единственными виртуализированными IP-адресами, которые используются для этих целей во всех регионах. По умолчанию эти службы не подпадают под действие настроенных групп безопасности сети, если только они не являются целевыми объектами тегов служб для каждой отдельной службы. Чтобы переопределить эту базовую связь с инфраструктурой, можно создать правило безопасности для запрета трафика, используя следующие теги служб в правилах группы безопасности сети: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Узнайте, как диагностировать фильтрацию сетевого трафика и диагностировать сетевую маршрутизацию.

  • Лицензирование (служба управления ключами). Для используемых на виртуальных машинах образов Windows требуется лицензия. Чтобы получить лицензию, на серверы узлов службы управления ключами отправляется соответствующий запрос. Для отправки запроса используется исходящий порт 1688. Для развертываний, в которых используется конфигурация маршрута по умолчанию 0.0.0.0/0, это правило платформы будет отключено.

  • Виртуальные машины в пулах с балансировкой нагрузки. Применяемые исходный порт и диапазон адресов относятся к исходному компьютеру, а не подсистеме балансировки нагрузки. Конечный порт и диапазон адресов относятся к целевому компьютеру, а не подсистеме балансировки нагрузки.

  • Экземпляры служб Azure. В подсетях виртуальной сети развертываются экземпляры нескольких служб Azure, таких как HDInsight, среды службы приложений и масштабируемые наборы виртуальных машин. Полный список служб, которые можно развернуть в виртуальной сети, см. в статье Интеграция виртуальной сети для служб Azure. Прежде чем применять группу безопасности сети к подсети, ознакомьтесь с требования к портам для каждой службы. Если запретить порты, которые требуются для службы, она будет работать неправильно.

  • Отправка исходящих сообщений электронной почты. Корпорация Майкрософт рекомендует использовать аутентифицированные службы ретрансляции SMTP (обычно подключаются через TCP-порт 587, но часто через другие порты) для отправки электронной почты с виртуальных машин Azure. Службы ретрансляции SMTP оптимизируют репутацию отправителя, чтобы минимизировать риск отклонения сообщений сторонними поставщиками почтовых служб. Такие службы ретрансляции SMTP включают, помимо прочего, Exchange Online Protection и SendGrid. Использование служб ретрансляции SMTP никак не ограничено в Azure независимо от типа подписки.

    Если вы создали подписку Azure до 15 ноября 2017 г., кроме возможности использовать службы ретрансляции SMTP, вы также можете отправлять электронную почту непосредственно через TCP-порт 25. Если вы создали подписку Azure после 15 ноября 2017 г., вам может быть недоступна отправка электронной почты непосредственно через порт 25. Поведение исходящего трафика через порт 25, зависит от типа вашей подписки, как показано ниже.

    • Соглашение Enterprise. Для виртуальных машин, развернутых в стандартных подписках Соглашение Enterprise, исходящие SMTP-подключения через TCP-порт 25 не будут заблокированы. Однако внешние домены не будут принимать входящие сообщения электронной почты из виртуальных машин. Если сообщения электронной почты отклоняются или фильтруются внешними доменами, необходимо обратиться к поставщикам услуг электронной почты внешних доменов, чтобы устранить эти проблемы. Эти проблемы не рассматриваются поддержка Azure.

      Для подписки "Enterprise — разработка и тестирование" по умолчанию заблокирован порт 25. Этот блок можно удалить. Чтобы запросить удаление блока, перейдите в раздел "Не удается отправить сообщение электронной почты (SMTP-порт 25) на странице параметров диагностики и решения для ресурса Azure виртуальная сеть в портал Azure и выполните диагностику. Это позволит автоматически исключать соответствующие подписки "Enterprise — разработка и тестирование".

      После того как подписка будет исключена из этого блока, а виртуальные машины остановлены и перезапущены, все виртуальные машины в этой подписке будут исключены. Исключение применяется только к запрошенной подписке и только к трафику виртуальной машины, который направляется непосредственно в Интернет.

    • Оплата по мере использования. Передача исходящих данных через порт 25 заблокирована для всех ресурсов. Запросы на снятие ограничения отправить невозможно. Если нужно отправить сообщение электронной почты с виртуальной машины, используйте службу ретрансляции SMTP.

    • MSDN, Azure Pass, Azure в Open, Education и Бесплатная пробная версия: исходящий порт 25 блокируется со всех ресурсов. Запросы на снятие ограничения отправить невозможно. Если нужно отправить сообщение электронной почты с виртуальной машины, используйте службу ретрансляции SMTP.

    • Поставщик облачных услуг. Связь через исходящий порт 25 заблокирована для всех ресурсов. Запросы на снятие ограничения отправить невозможно. Если нужно отправить сообщение электронной почты с виртуальной машины, используйте службу ретрансляции SMTP.

Следующие шаги