Konfigurowanie sieciowych grup zabezpieczeń przy użyciu tagów w Windows Admin Center
Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2
W tym artykule opisano sposób konfigurowania sieciowych grup zabezpieczeń przy użyciu tagów zabezpieczeń sieci w Windows Admin Center.
Za pomocą tagów zabezpieczeń sieci można tworzyć niestandardowe tagi zdefiniowane przez użytkownika, dołączać te tagi do interfejsów sieciowych maszyny wirtualnej i stosować zasady dostępu sieciowego (z sieciowymi grupami zabezpieczeń) na podstawie tych tagów.
Upraszczanie zabezpieczeń za pomocą tagów zabezpieczeń sieci
Sieciowe grupy zabezpieczeń umożliwiają konfigurowanie zasad dostępu na podstawie konstrukcji sieci, takich jak prefiksy sieci i podsieci. Jeśli na przykład chcesz ograniczyć komunikację między maszynami wirtualnymi serwera sieci Web i maszynami wirtualnymi bazy danych, musisz zidentyfikować odpowiednie podsieci sieciowe i utworzyć zasady w celu odmowy komunikacji między tymi podsieciami. Istnieją jednak pewne ograniczenia dotyczące tego podejścia:
Zasady zabezpieczeń są powiązane z konstrukcjami sieci, co oznacza, że musisz wiedzieć, które aplikacje znajdują się w określonych segmentach sieci. Zrozumienie infrastruktury sieci i architektury staje się kluczowe.
Podczas tworzenia zasad dla aplikacji warto użyć ich ponownie w różnych scenariuszach. Jeśli na przykład produkcyjna aplikacja internetowa może zostać osiągnięta tylko za pośrednictwem portu 80 z Internetu i nie może zostać osiągnięta przez inne aplikacje w środowisku produkcyjnym lub w innych środowiskach, będziesz mieć podobne zasady dla każdej nowej aplikacji. Jednak w przypadku segmentacji sieci ponowne tworzenie zasad staje się konieczne ze względu na unikatowe elementy sieciowe dla każdej aplikacji.
Jeśli zlikwidowasz starą aplikację i aprowizujesz nową w ramach tego samego segmentu sieci, wymagane są korekty zasad.
Dzięki funkcji tagów zabezpieczeń sieci nie trzeba już śledzić segmentów sieci, w których są hostowane aplikacje. Upraszcza to zarządzanie zasadami i pozwala uniknąć złożoności związanych z konstrukcjami sieci. Ponownie rozważmy przykład maszyn wirtualnych serwera sieci Web i bazy danych: oznaczaj odpowiednie maszyny wirtualne za pomocą tagów zabezpieczeń sieci "Web" i "Baza danych", a następnie utwórz regułę, aby ograniczyć komunikację między tagami "Sieć Web" i "Baza danych".
Tworzenie sieciowych grup zabezpieczeń opartych na tagach zabezpieczeń
Aby utworzyć sieciowe grupy zabezpieczeń oparte na tagach zabezpieczeń sieci, wykonaj następujące kroki:
Tworzenie tagów zabezpieczeń sieci
Na ekranie głównym Windows Admin Center w obszarze Wszystkie połączenia wybierz klaster, na którym chcesz utworzyć sieciowa grupa zabezpieczeń.
W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Sieciowe grupy zabezpieczeń.
W obszarze Sieciowe grupy zabezpieczeń wybierz kartę Sieciowe tagi zabezpieczeń , a następnie wybierz pozycję Nowy.
W okienku Tworzenie tagu zabezpieczeń sieci wprowadź nazwę tagu zabezpieczeń sieci w polu Nazwa .
(Opcjonalnie) W polu Typ wprowadź typ tagu. To pole jest przydatne, jeśli chcesz kategoryzować tagi w celu łatwego zarządzania. Na przykład można mieć różne tagi o tym samym typie "Aplikacja", na przykład SQL, Web, IOT, Sensor itp.
Wybierz pozycję Prześlij.
Przypisywanie tagu zabezpieczeń sieci do maszyny wirtualnej
Tag zabezpieczeń sieci można przypisać do maszyny wirtualnej podczas tworzenia nowej maszyny wirtualnej lub później podczas zmieniania właściwości istniejącej maszyny wirtualnej.
Przypisywanie tagu zabezpieczeń sieci podczas tworzenia maszyny wirtualnej
Aby uzyskać instrukcje krok po kroku dotyczące tworzenia nowej maszyny wirtualnej, zobacz Tworzenie nowej maszyny wirtualnej.
Aby przypisać tag zabezpieczeń sieci podczas tworzenia nowej maszyny wirtualnej:
Na ekranie głównym Windows Admin Center w obszarze Wszystkie połączenia wybierz serwer lub klaster, na którym chcesz utworzyć maszynę wirtualną.
W obszarze Narzędzia przewiń w dół i wybierz pozycję Maszyny wirtualne.
W obszarze Maszyny wirtualne wybierz kartę Spis , wybierz pozycję Dodaj, a następnie wybierz pozycję Nowy.
W obszarze Nowa maszyna wirtualna wprowadź nazwę maszyny wirtualnej.
Wprowadź inne właściwości maszyny wirtualnej.
W obszarze Sieć wybierz utworzony wcześniej tag zabezpieczeń sieci w obszarze Tworzenie tagu zabezpieczeń sieci.
Wybierz przycisk Utwórz.
Przypisywanie tagu zabezpieczeń sieci do istniejącej maszyny wirtualnej
Możesz przypisać tag zabezpieczeń sieci do istniejącej maszyny wirtualnej, zmieniając jego ustawienia. Aby uzyskać szczegółowe instrukcje dotyczące zmieniania ustawień maszyny wirtualnej, zobacz Zmienianie ustawień maszyny wirtualnej.
W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Maszyny wirtualne.
Wybierz kartę Spis , wybierz maszynę wirtualną, a następnie wybierz pozycję Ustawienia.
Na stronie Ustawienia wybierz pozycję Sieci.
W sekcji Tag zabezpieczeń sieci wybierz pozycję Dodaj tag zabezpieczeń sieci, wybierz utworzony wcześniej tag zabezpieczeń sieci w obszarze Tworzenie tagu zabezpieczeń sieci.
Wybierz pozycję Zapisz ustawienia sieciowe.
Tworzenie sieciowej grupy zabezpieczeń
Na ekranie głównym Windows Admin Center w obszarze Wszystkie połączenia wybierz klaster, na którym chcesz utworzyć sieciowa grupa zabezpieczeń.
W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Sieciowe grupy zabezpieczeń.
W obszarze Sieciowe grupy zabezpieczeń wybierz kartę Spis , a następnie wybierz pozycję Nowy.
W okienku Sieciowe grupy zabezpieczeń wpisz nazwę sieciowej grupy zabezpieczeń, a następnie wybierz pozycję Prześlij.
W obszarze Sieciowe grupy zabezpieczeń sprawdź, czy stan aprowizacji nowej sieciowej grupy zabezpieczeń ma wartość Powodzenie.
Tworzenie reguły sieciowej grupy zabezpieczeń
Po utworzeniu sieciowej grupy zabezpieczeń możesz utworzyć reguły sieciowej grupy zabezpieczeń. Jeśli chcesz zastosować reguły sieciowej grupy zabezpieczeń do ruchu przychodzącego i wychodzącego, musisz utworzyć dwie reguły.
Na ekranie głównym Windows Admin Center w obszarze Wszystkie połączenia wybierz klaster, na którym chcesz utworzyć sieciowa grupa zabezpieczeń.
W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Sieciowe grupy zabezpieczeń.
W obszarze Sieciowe grupy zabezpieczeń wybierz kartę Spis , a następnie wybierz utworzoną wcześniej sieciową grupę zabezpieczeń w sekcji Tworzenie sieciowej grupy zabezpieczeń.
W obszarze Reguła zabezpieczeń sieci wybierz pozycję Nowy.
W okienku Reguły zabezpieczeń sieci po prawej stronie podaj następujące informacje:
Pole Opis Nazwa Nazwa reguły. Priority Priorytet reguły. Dopuszczalne wartości to od 101 do 65000. Niższa wartość oznacza wyższy priorytet. Typy Typ reguły. Może to być ruch przychodzący lub wychodzący. Protokół Protokół pasujący do pakietu przychodzącego lub wychodzącego. Dopuszczalne wartości to Wszystkie, TCP i UDP. Element źródłowy Wybierz pozycję Network Security Tag (Tag zabezpieczeń sieci).
Uwaga: Możesz wybrać prefiks adresu lub tag zabezpieczeń sieci, ale nie oba.Źródłowy typ tagu zabezpieczeń (Opcjonalnie) Wybierz typ tagu. Źródłowy tag zabezpieczeń Wybierz utworzony wcześniej tag zabezpieczeń sieci w obszarze Tworzenie tagu zabezpieczeń sieci. Zakres portów źródłowych Określ zakres portów źródłowych, aby pasować do pakietu przychodzącego lub wychodzącego. Możesz wprowadzić polecenie , *aby określić wszystkie porty źródłowe.Element docelowy Wybierz pozycję Network Security Tag (Tag zabezpieczeń sieci).
Uwaga: Możesz wybrać prefiks adresu lub tag zabezpieczeń sieci, ale nie oba. Źródło i lokalizacja docelowa mogą być różne.Docelowy typ tagu zabezpieczeń (Opcjonalnie) Wybierz typ tagu. Docelowy tag zabezpieczeń Wybierz utworzony wcześniej tag zabezpieczeń sieci w obszarze Tworzenie tagu zabezpieczeń sieci. Zakres portów docelowych Określ zakres portów docelowych, aby był zgodny z pakietem przychodzącym lub wychodzącym. Możesz wprowadzić, *aby określić wszystkie porty docelowe.Akcje Jeśli powyższe warunki są zgodne, określ opcję zezwalania lub blokowania pakietu. Dopuszczalne wartości to Zezwalaj i Odmów. Rejestrowanie Określ, czy chcesz włączyć lub wyłączyć rejestrowanie dla reguły. Jeśli rejestrowanie jest włączone, cały ruch zgodny z tą regułą jest rejestrowany na komputerach hosta. Wybierz pozycję Prześlij.
Stosowanie sieciowej grupy zabezpieczeń
Możesz zastosować sieciową grupę zabezpieczeń do:
- Podsieć sieci wirtualnej
- Podsieć sieci logicznej
- Określony interfejs sieciowy
- Tag zabezpieczeń sieci
Stosowanie sieciowej grupy zabezpieczeń do tagu zabezpieczeń sieci
Po zastosowaniu sieciowej grupy zabezpieczeń do tagu zabezpieczeń sieci reguły sieciowej grupy zabezpieczeń mają zastosowanie do wszystkich interfejsów sieciowych maszyn wirtualnych skojarzonych z tym tagiem zabezpieczeń sieci.
Aby zastosować sieciową grupę zabezpieczeń do tagu zabezpieczeń sieci za pośrednictwem Windows Admin Center, wykonaj następujące kroki:
Na ekranie głównym Windows Admin Center w obszarze Wszystkie połączenia wybierz klaster, na którym ma zostać zastosowana sieciowa grupa zabezpieczeń.
W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Sieciowe grupy zabezpieczeń.
W obszarze Sieciowe grupy zabezpieczeń wybierz kartę Sieciowe tagi zabezpieczeń .
Wybierz tag zabezpieczeń sieci, który chcesz edytować, a następnie wybierz pozycję Ustawienia.
W okienku Edytowanie tagu zabezpieczeń sieci dla wybranego tagu wybierz sieciowa grupa zabezpieczeń, którą chcesz zastosować do tagu zabezpieczeń sieci.
Wybierz pozycję Prześlij.
Następne kroki
Aby uzyskać powiązane informacje, zobacz również:
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla