其他分享
首页 > 其他分享> > Azure安全系列(1)-Network Security Group(网络安全组)

Azure安全系列(1)-Network Security Group(网络安全组)

作者:互联网

 

Azure安全系列(1)-Network Security Group(网络安全组)

1. 什么是NSG?

2. NSG的相关概念;

3. 默认NSG 规则;

4. NSG适用于哪些产品;

5. NSG限制;

6. 其他注意事项(例如25端口);

7.  虚拟机NSG配置demo;

    为虚拟机配置允许所有IP的入站80端口以允许访问http站点;

    为虚拟及配置特定IP的入站 ICMP协议的入站;

    禁用虚拟机3389入站端口;

视频讲解

您可以在B站观看视频:https://www.bilibili.com/video/av91359930/

腾讯视频观看:

或在本站观看视频:

 

azure-network-security-group.mp4

 

 

图文内容:

1. 什么是NSG?

安全组Network Security Group(简称NSG)用来筛选 Azure 虚拟网络(virtual network)中出入Azure 资源的网络流量。

2. NSG的相关概念:

NSG 包含安全规则,安全规则是允许或拒绝入站/出站流量的规约。

安全规则可配置的项包含:

属性 说明
名称 网络安全组中的唯一名称。
优先级 介于 100 和 4096 之间的数字。 规则按优先顺序进行处理。先处理编号较小的规则,因为编号越小,优先级越高。 一旦流量与某个规则匹配,处理即会停止。 因此,不会处理优先级较低(编号较大)的、其属性与高优先级规则相同的所有规则。
源或目标

可以是任何值,也可以是单个 IP 地址、无类别域际路由 (CIDR) 块(例如 10.0.0.0/24)、服务标记应用程序安全组

服务标记代表给定 Azure 服务中的一组 IP 地址前缀。参见 https://docs.azure.cn/zh-cn/virtual-network/service-tags-overview

使用应用程序安全组可将网络安全性配置为应用程序结构的固有扩展,从而可以基于这些组将虚拟机分组以及定义网络安全策。

协议 TCP、UDP、ICMP 或 Any。
方向 该规则是应用到入站还是出站流量。
端口范围 可以指定单个端口或端口范围。 例如,可以指定 80 或 10000-10005。
操作 允许或拒绝

 

3. 默认的安全组规则:

入站

AllowVNetInBound
优先级 Source 源端口 目标 目标端口 协议 访问
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 任意 允许
AllowAzureLoadBalancerInBound
优先级 Source 源端口 目标 目标端口 协议 访问
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 任意 允许
DenyAllInbound
优先级 Source 源端口 目标 目标端口 协议 访问
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 任意 拒绝

出站

AllowVnetOutBound
优先级 Source 源端口 目标 目标端口 协议 访问
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 任意 允许
AllowInternetOutBound
优先级 Source 源端口 目标 目标端口 协议 访问
65001 0.0.0.0/0 0-65535 Internet 0-65535 任意 允许
DenyAllOutBound
优先级 Source 源端口 目标 目标端口 协议 访问
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 任意 拒绝

4. NSG 试用于哪些产品?

Category 服务
计算 虚拟机:Linux 或 Windows
虚拟机规模集
云服务:仅限虚拟网络(经典)
Azure Batch
网络 应用程序网关 - WAF
VPN 网关
Azure 防火墙
网络虚拟设备
数据 RedisCache
Azure SQL 数据库托管实例
分析 Azure HDInsight
容器 Azure Kubernetes 服务 (AKS)
Web API 管理
应用服务环境

5. NSG限制

受限于Azure 订阅限制

网络安全组 5,000
每个 NSG 的 NSG 规则数 1,000

6. 其他注意事项

标签:Group,Network,0.0,虚拟机,端口,NSG,Azure,65535
来源: https://www.cnblogs.com/shuzhenyu/p/12358767.html