Azure安全系列(1)-Network Security Group(網絡安全組)
1. 什么是NSG?
2. NSG的相關概念;
3. 默認NSG 規則;
4. NSG適用於哪些產品;
5. NSG限制;
6. 其他注意事項(例如25端口);
7. 虛擬機NSG配置demo;
為虛擬機配置允許所有IP的入站80端口以允許訪問http站點;
為虛擬及配置特定IP的入站 ICMP協議的入站;
禁用虛擬機3389入站端口;
視頻講解
您可以在B站觀看視頻:https://www.bilibili.com/video/av91359930/
騰訊視頻觀看:
或在本站觀看視頻:
圖文內容:
1. 什么是NSG?
安全組Network Security Group(簡稱NSG)用來篩選 Azure 虛擬網絡(virtual network)中出入Azure 資源的網絡流量。
2. NSG的相關概念:
NSG 包含安全規則,安全規則是允許或拒絕入站/出站流量的規約。
安全規則可配置的項包含:
| 屬性 | 說明 |
| 名稱 | 網絡安全組中的唯一名稱。 |
| 優先級 | 介於 100 和 4096 之間的數字。 規則按優先順序進行處理。先處理編號較小的規則,因為編號越小,優先級越高。 一旦流量與某個規則匹配,處理即會停止。 因此,不會處理優先級較低(編號較大)的、其屬性與高優先級規則相同的所有規則。 |
| 源或目標 | 可以是任何值,也可以是單個 IP 地址、無類別域際路由 (CIDR) 塊(例如 10.0.0.0/24)、服務標記或應用程序安全組。 服務標記代表給定 Azure 服務中的一組 IP 地址前綴。參見 https://docs.azure.cn/zh-cn/virtual-network/service-tags-overview 使用應用程序安全組可將網絡安全性配置為應用程序結構的固有擴展,從而可以基於這些組將虛擬機分組以及定義網絡安全策。 |
| 協議 | TCP、UDP、ICMP 或 Any。 |
| 方向 | 該規則是應用到入站還是出站流量。 |
| 端口范圍 | 可以指定單個端口或端口范圍。 例如,可以指定 80 或 10000-10005。 |
| 操作 | 允許或拒絕 |
3. 默認的安全組規則:
入站
AllowVNetInBound
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | 任意 | 允許 |
AllowAzureLoadBalancerInBound
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | 任意 | 允許 |
DenyAllInbound
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | 任意 | 拒絕 |
出站
AllowVnetOutBound
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | 任意 | 允許 |
AllowInternetOutBound
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | 任意 | 允許 |
DenyAllOutBound
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | 任意 | 拒絕 |
4. NSG 試用於哪些產品?
| Category | 服務 |
| 計算 | 虛擬機:Linux 或 Windows 虛擬機規模集 雲服務:僅限虛擬網絡(經典) Azure Batch |
| 網絡 | 應用程序網關 - WAF VPN 網關 Azure 防火牆 網絡虛擬設備 |
| 數據 | RedisCache Azure SQL 數據庫托管實例 |
| 分析 | Azure HDInsight |
| 容器 | Azure Kubernetes 服務 (AKS) |
| Web | API 管理 應用服務環境 |
5. NSG限制
受限於Azure 訂閱限制
| 網絡安全組 | 5,000 |
| 每個 NSG 的 NSG 規則數 | 1,000 |
6. 其他注意事項
- 主機節點的虛擬 IP:基本的基礎結構服務(例如 DHCP、DNS、IMDS和運行狀況監視)是通過虛擬化主機 IP 地址 168.63.129.16 和 169.254.169.254 提供的。 這些 IP 地址屬於 Azure,是僅有的用於所有區域的虛擬化 IP 地址,沒有其他用途。
- 許可(密鑰管理服務) :在虛擬機中運行的 Windows 映像必須獲得許可。 為了確保許可,會向處理此類查詢的密鑰管理服務主機服務器發送請求。 該請求是通過端口 1688 以出站方式提出的。 對於使用默認路由 0.0.0.0/0 配置的部署,此平台規則會被禁用。
- 負載均衡池中的虛擬機:應用的源端口和地址范圍來自源計算機,而不是來自負載均衡器。 目標端口和地址范圍是目標計算機的,而不是負載均衡器的。
- Azure 服務實例:在虛擬網絡子網中部署了多個 Azure 服務的實例,例如 HDInsight、應用程序服務環境和虛擬機規模集。 在將網絡安全組應用到部署了資源的子網之前,請確保熟悉每個服務的端口要求。 如果拒絕服務所需的端口,服務將無法正常工作。
- 發送出站電子郵件:Azure 建議利用經過身份驗證的 SMTP 中繼服務(通常通過 TCP 端口 587 進行連接,但也經常使用其他端口)從 Azure 虛擬機發送電子郵件。在 Azure 中使用 SMTP 中繼服務絕不會受限制,不管訂閱類型如何。如果是在 2017 年 11 月 15 日之前創建的 Azure 訂閱,則除了能夠使用 SMTP 中繼服務,還可以直接通過 TCP 端口 25 發送電子郵件。如果是在 2017 年 11 月 15 日之后創建的訂閱,則可能無法直接通過端口 25 發送電子郵件。經端口 25 的出站通信行為取決於訂閱類型,如下所示:
- 企業協議:允許端口 25 的出站通信。 可以將出站電子郵件直接從虛擬機發送到外部電子郵件提供商,不受 Azure 平台的限制。
- 標准預付費套餐:默認阻斷,需提工單解除,