您好,登錄后才能下訂單哦!
1. 什么是NSG?
安全組Network Security Group(簡稱NSG)用來篩選 Azure 虛擬網(wǎng)絡(luò)(virtual network)中出入Azure 資源的網(wǎng)絡(luò)流量。
NSG 包含安全規(guī)則,安全規(guī)則是允許或拒絕入站/出站流量的規(guī)約。
安全規(guī)則可配置的項包含:
屬性 | 說明 |
名稱 | 網(wǎng)絡(luò)安全組中的唯一名稱。 |
優(yōu)先級 | 介于 100 和 4096 之間的數(shù)字。 規(guī)則按優(yōu)先順序進(jìn)行處理。先處理編號較小的規(guī)則,因為編號越小,優(yōu)先級越高。 一旦流量與某個規(guī)則匹配,處理即會停止。 因此,不會處理優(yōu)先級較低(編號較大)的、其屬性與高優(yōu)先級規(guī)則相同的所有規(guī)則。 |
源或目標(biāo) | 可以是任何值,也可以是單個 IP 地址、無類別域際路由 (CIDR) 塊(例如 10.0.0.0/24)、服務(wù)標(biāo)記或應(yīng)用程序安全組。 服務(wù)標(biāo)記代表給定 Azure 服務(wù)中的一組 IP 地址前綴。參見 https://docs.azure.cn/zh-cn/virtual-network/service-tags-overview 使用應(yīng)用程序安全組可將網(wǎng)絡(luò)安全性配置為應(yīng)用程序結(jié)構(gòu)的固有擴(kuò)展,從而可以基于這些組將虛擬機(jī)分組以及定義網(wǎng)絡(luò)安全策。 |
協(xié)議 | TCP、UDP、ICMP 或 Any。 |
方向 | 該規(guī)則是應(yīng)用到入站還是出站流量。 |
端口范圍 | 可以指定單個端口或端口范圍。 例如,可以指定 80 或 10000-10005。 |
操作 | 允許或拒絕 |
優(yōu)先級 | Source | 源端口 | 目標(biāo) | 目標(biāo)端口 | 協(xié)議 | 訪問 |
65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | 任意 | 允許 |
優(yōu)先級 | Source | 源端口 | 目標(biāo) | 目標(biāo)端口 | 協(xié)議 | 訪問 |
65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | 任意 | 允許 |
優(yōu)先級 | Source | 源端口 | 目標(biāo) | 目標(biāo)端口 | 協(xié)議 | 訪問 |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | 任意 | 拒絕 |
優(yōu)先級 | Source | 源端口 | 目標(biāo) | 目標(biāo)端口 | 協(xié)議 | 訪問 |
65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | 任意 | 允許 |
優(yōu)先級 | Source | 源端口 | 目標(biāo) | 目標(biāo)端口 | 協(xié)議 | 訪問 |
65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | 任意 | 允許 |
優(yōu)先級 | Source | 源端口 | 目標(biāo) | 目標(biāo)端口 | 協(xié)議 | 訪問 |
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | 任意 | 拒絕 |
Category | 服務(wù) |
計算 | 虛擬機(jī):Linux 或 Windows 虛擬機(jī)規(guī)模集 云服務(wù):僅限虛擬網(wǎng)絡(luò)(經(jīng)典) Azure Batch |
網(wǎng)絡(luò) | 應(yīng)用程序網(wǎng)關(guān) - WAF *** 網(wǎng)關(guān) Azure 防火墻 網(wǎng)絡(luò)虛擬設(shè)備 |
數(shù)據(jù) | RedisCache Azure SQL 數(shù)據(jù)庫托管實例 |
分析 | Azure HDInsight |
容器 | Azure Kubernetes 服務(wù) (AKS) |
Web | API 管理 應(yīng)用服務(wù)環(huán)境 |
受限于Azure 訂閱限制
網(wǎng)絡(luò)安全組 | 5,000 |
每個 NSG 的 NSG 規(guī)則數(shù) | 1,000 |
主機(jī)節(jié)點的虛擬 IP:基本的基礎(chǔ)結(jié)構(gòu)服務(wù)(例如 DHCP、DNS、IMDS和運(yùn)行狀況監(jiān)視)是通過虛擬化主機(jī) IP 地址 168.63.129.16 和 169.254.169.254 提供的。 這些 IP 地址屬于 Azure,是僅有的用于所有區(qū)域的虛擬化 IP 地址,沒有其他用途。
許可(密鑰管理服務(wù)) :在虛擬機(jī)中運(yùn)行的 Windows 映像必須獲得許可。 為了確保許可,會向處理此類查詢的密鑰管理服務(wù)主機(jī)服務(wù)器發(fā)送請求。 該請求是通過端口 1688 以出站方式提出的。 對于使用默認(rèn)路由 0.0.0.0/0 配置的部署,此平臺規(guī)則會被禁用。
負(fù)載均衡池中的虛擬機(jī):應(yīng)用的源端口和地址范圍來自源計算機(jī),而不是來自負(fù)載均衡器。 目標(biāo)端口和地址范圍是目標(biāo)計算機(jī)的,而不是負(fù)載均衡器的。
Azure 服務(wù)實例:在虛擬網(wǎng)絡(luò)子網(wǎng)中部署了多個 Azure 服務(wù)的實例,例如 HDInsight、應(yīng)用程序服務(wù)環(huán)境和虛擬機(jī)規(guī)模集。 在將網(wǎng)絡(luò)安全組應(yīng)用到部署了資源的子網(wǎng)之前,請確保熟悉每個服務(wù)的端口要求。 如果拒絕服務(wù)所需的端口,服務(wù)將無法正常工作。
發(fā)送出站電子郵件:Azure 建議利用經(jīng)過身份驗證的 SMTP 中繼服務(wù)(通常通過 TCP 端口 587 進(jìn)行連接,但也經(jīng)常使用其他端口)從 Azure 虛擬機(jī)發(fā)送電子郵件。在 Azure 中使用 SMTP 中繼服務(wù)絕不會受限制,不管訂閱類型如何。如果是在 2017 年 11 月 15 日之前創(chuàng)建的 Azure 訂閱,則除了能夠使用 SMTP 中繼服務(wù),還可以直接通過 TCP 端口 25 發(fā)送電子郵件。如果是在 2017 年 11 月 15 日之后創(chuàng)建的訂閱,則可能無法直接通過端口 25 發(fā)送電子郵件。經(jīng)端口 25 的出站通信行為取決于訂閱類型,如下所示:
企業(yè)協(xié)議:允許端口 25 的出站通信。 可以將出站電子郵件直接從虛擬機(jī)發(fā)送到外部電子郵件提供商,不受 Azure 平臺的限制。
標(biāo)準(zhǔn)預(yù)付費(fèi)套餐:默認(rèn)阻斷,需提工單解除,
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。