探索 (NSG) 的網路安全性群組
您可以使用 網路安全性群組,在 azure 虛擬網路中的 azure 資源之間篩選網路流量。 網路安全性群組包含安全性規則,可允許或拒絕進出於多種 Azure 資源類型的輸入和輸出網路流量。 您可以為每個規則指定來源和目的地、連接埠及通訊協定。
您透過 Resource Manager 部署模型建立的 vm,可以使用直接指派給 vm 的公用 IP 位址,直接連線到網際網路。 只有在 Vm 內設定的主機防火牆可協助保護這些 Vm 的網際網路。
您使用傳統部署模型建立的 Vm,會透過指派公用 IP 位址的雲端服務(也稱為 VIP)與網際網路資源進行通訊。 位於雲端服務內的 Vm 會共用該 VIP,並使用端點與網際網路資源建立通訊。 如果您移除 VM 端點,將雲端服務的公用埠和公用 IP 位址對應至 VM 的私人埠和私人 IP 位址,則 VM 會透過公用 IP 位址變成無法從網際網路連線。
(nsg) 的網路安全性群組,可協助您透過部署模型 (Resource Manager 或傳統) ,為您建立的 vm 提供 advanced Security。 nsg 會透過 Resource Manager 部署模型中的網路介面卡 (來控制輸入和輸出流量) 、傳統部署模型) 中 (的 VM,或兩個部署模型 (中的子網) 。
網路安全性群組規則
Nsg 包含的規則會指定是否要核准或拒絕流量。 每個規則都是以來源 IP 位址、來源埠、目的地 IP 位址和目的地埠為基礎。 根據流量是否符合這種組合,規則會允許或拒絕流量。 每個規則都包含下列屬性:
-
名稱。 這是規則的唯一識別碼。
-
方向。 這會指定流量是否為輸入或輸出。
-
優先權。 如果有多個規則符合流量,則適用優先順序較高的規則。
-
存取。 這會指定是否允許或拒絕流量。
-
來源 IP 位址首碼。 這個前置詞會識別流量的來源。 它可以根據單一 IP 位址;無類別網域間路由選擇 (CIDR) 標記法中的 IP 位址範圍; 或星號 ( * ) ,也就是符合所有可能 IP 位址的萬用字元。
-
來源埠範圍。 這會使用從1到65535的單一端口號碼來指定來源埠;埠的範圍 (例如200– 400) ;或星號 ( * ) 表示所有可能的埠。
-
目的地 IP 位址首碼。 這會根據單一 IP 位址、CIDR 標記法中的 IP 位址範圍或星號 ( * ) 來識別流量目的地,以符合所有可能的 IP 位址。
-
目的地埠範圍。 這會使用從1到65535的單一端口號碼來指定目的地埠;埠的範圍 (例如200– 400) ;或星號 ( * ) 表示所有可能的埠。
-
通訊協定。 這會指定符合規則的通訊協定。 它可以是 UDP、TCP 或星號 ( * ) 。
自訂網路安全性群組規則
輸入和輸出流量都有預先定義的預設規則。 您無法刪除這些規則,但您可以覆寫它們,因為它們的優先順序最低。 預設規則可允許虛擬網路內的所有輸入和輸出流量、允許連往網際網路的輸出流量,以及允許 Azure 負載平衡器的輸入流量。 具有最低優先順序的預設規則也存在於拒絕所有網路通訊的輸入和輸出組規則中。
當您建立自訂規則時,您可以使用來源和目的地 IP 位址首碼中的預設標籤,來指定預先定義的 IP 位址類別。 這些預設標記為:
-
網際網路。 此標記代表網際網路 IP 位址。
-
Virtual_network。 此標記可識別虛擬網路的 IP 範圍所定義的所有 IP 位址。 當內部部署網路的 IP 位址範圍定義為虛擬網路的區域網路時,它也會包含 IP 位址範圍。
-
Azure_loadbalancer。 此標記會指定預設的 Azure 負載平衡器目的地。
規劃網路安全性群組
您可以設計 Nsg 來隔離安全性區域中的虛擬網路,例如內部部署基礎結構所使用的模型。 您可以將 Nsg 套用至子網,如此可讓您建立受保護的遮罩子網或 Dmz,以將流量限制在該子網內的所有機器。 使用傳統部署模型時,您也可以將 Nsg 指派給個別電腦,以控制目的地為和離開 VM 的流量。 使用 Resource Manager 部署模型,您可以將 nsg 指派給網路介面卡,讓 NSG 規則只控制流經該網路介面卡的流量。 如果 VM 有多張網路介面卡,NSG 規則將不會自動套用至指定給其他網路介面卡的流量。
您可以將 Nsg 建立為資源群組中的資源,但您可以與訂用帳戶中的其他資源群組共用。