温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

NSG是什么?适用于哪些产品?

发布时间:2020-05-27 21:31:39 来源:亿速云 阅读:890 作者:鸽子 栏目:云计算

1. 什么是NSG?

安全组Network Security Group(简称NSG)用来筛选 Azure 虚拟网络(virtual network)中出入Azure 资源的网络流量。

2. NSG的相关概念:

NSG 包含安全规则,安全规则是允许或拒绝入站/出站流量的规约。

安全规则可配置的项包含:

属性说明
名称网络安全组中的唯一名称。
优先级介于 100 和 4096 之间的数字。 规则按优先顺序进行处理。先处理编号较小的规则,因为编号越小,优先级越高。 一旦流量与某个规则匹配,处理即会停止。 因此,不会处理优先级较低(编号较大)的、其属性与高优先级规则相同的所有规则。
源或目标

可以是任何值,也可以是单个 IP 地址、无类别域际路由 (CIDR) 块(例如 10.0.0.0/24)、服务标记或应用程序安全组。

服务标记代表给定 Azure 服务中的一组 IP 地址前缀。参见 https://docs.azure.cn/zh-cn/virtual-network/service-tags-overview

使用应用程序安全组可将网络安全性配置为应用程序结构的固有扩展,从而可以基于这些组将虚拟机分组以及定义网络安全策。

协议TCP、UDP、ICMP 或 Any。
方向该规则是应用到入站还是出站流量。
端口范围可以指定单个端口或端口范围。 例如,可以指定 80 或 10000-10005。
操作允许或拒绝

 

3. 默认的安全组规则:

入站

AllowVNetInBound
优先级Source源端口目标目标端口协议访问
65000VirtualNetwork0-65535VirtualNetwork0-65535任意允许
AllowAzureLoadBalancerInBound
优先级Source源端口目标目标端口协议访问
65001AzureLoadBalancer0-655350.0.0.0/00-65535任意允许
DenyAllInbound
优先级Source源端口目标目标端口协议访问
655000.0.0.0/00-655350.0.0.0/00-65535任意拒绝

出站

AllowVnetOutBound
优先级Source源端口目标目标端口协议访问
65000VirtualNetwork0-65535VirtualNetwork0-65535任意允许
AllowInternetOutBound
优先级Source源端口目标目标端口协议访问
650010.0.0.0/00-65535Internet0-65535任意允许
DenyAllOutBound
优先级Source源端口目标目标端口协议访问
655000.0.0.0/00-655350.0.0.0/00-65535任意拒绝

4. NSG 试用于哪些产品?

Category服务
计算虚拟机:Linux 或 Windows
虚拟机规模集
云服务:仅限虚拟网络(经典)
Azure Batch
网络应用程序网关 - WAF
*** 网关
Azure 防火墙
网络虚拟设备
数据RedisCache
Azure SQL 数据库托管实例
分析Azure HDInsight
容器Azure Kubernetes 服务 (AKS)
WebAPI 管理
应用服务环境

5. NSG限制

受限于Azure 订阅限制

网络安全组5,000
每个 NSG 的 NSG 规则数1,000

6. 其他注意事项

  • 主机节点的虚拟 IP:基本的基础结构服务(例如 DHCP、DNS、IMDS和运行状况监视)是通过虚拟化主机 IP 地址 168.63.129.16 和 169.254.169.254 提供的。 这些 IP 地址属于 Azure,是仅有的用于所有区域的虚拟化 IP 地址,没有其他用途。

  • 许可(密钥管理服务) :在虚拟机中运行的 Windows 映像必须获得许可。 为了确保许可,会向处理此类查询的密钥管理服务主机服务器发送请求。 该请求是通过端口 1688 以出站方式提出的。 对于使用默认路由 0.0.0.0/0 配置的部署,此平台规则会被禁用。

  • 负载均衡池中的虚拟机:应用的源端口和地址范围来自源计算机,而不是来自负载均衡器。 目标端口和地址范围是目标计算机的,而不是负载均衡器的。

  • Azure 服务实例:在虚拟网络子网中部署了多个 Azure 服务的实例,例如 HDInsight、应用程序服务环境和虚拟机规模集。  在将网络安全组应用到部署了资源的子网之前,请确保熟悉每个服务的端口要求。 如果拒绝服务所需的端口,服务将无法正常工作。

  • 发送出站电子邮件:Azure 建议利用经过身份验证的 SMTP 中继服务(通常通过 TCP 端口 587 进行连接,但也经常使用其他端口)从 Azure 虚拟机发送电子邮件。在 Azure 中使用 SMTP 中继服务绝不会受限制,不管订阅类型如何。如果是在 2017 年 11 月 15 日之前创建的 Azure 订阅,则除了能够使用 SMTP 中继服务,还可以直接通过 TCP 端口 25 发送电子邮件。如果是在 2017 年 11 月 15 日之后创建的订阅,则可能无法直接通过端口 25 发送电子邮件。经端口 25 的出站通信行为取决于订阅类型,如下所示:

    • 企业协议:允许端口 25 的出站通信。 可以将出站电子邮件直接从虚拟机发送到外部电子邮件提供商,不受 Azure 平台的限制。

    • 标准预付费套餐:默认阻断,需提工单解除,

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI