Säkerhetsadministratörsregler i Azure Virtual Network Manager (förhandsversion)
Azure Virtual Network Manager har två olika typer av konfigurationer som du kan distribuera i dina virtuella nätverk, där en av dem är en SecurityAdmin-konfiguration. En säkerhetsadministratörskonfiguration innehåller en uppsättning regelsamlingar. Varje regelsamling innehåller en eller flera säkerhetsadministratörsregler. Sedan associerar du regelsamlingen med de nätverksgrupper som du vill tillämpa säkerhetsadministratörsreglerna på.
Viktigt
Azure Virtual Network Manager är för närvarande i offentlig förhandsversion. Den här förhandsversionen tillhandahålls utan serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade. Mer information finns i Kompletterande villkor för användning av Microsoft Azure-förhandsversioner.
Säkerhetsadministratörsregler
Med en säkerhetsadministratörsregel kan du framtvinga säkerhetsprincipvillkor som matchar de villkor som angetts. Du kan bara definiera administrativa säkerhetsregler för resurser inom omfånget för Azure Virtual Network Manager-instansen. Dessa säkerhetsregler har högre prioritet än regler för nätverkssäkerhetsgrupp (NSG) och utvärderas före NSG-regler. Observera också att säkerhetsadministratörsregler inte ändrar dina NSG-regler. Se bilden nedan.
Säkerhetsadministratörsregler kan användas för att framtvinga säkerhetsregler. En administratör kan till exempel neka alla högriskportar eller protokoll från Internet med säkerhetsadministratörsregler eftersom dessa säkerhetsadministratörsregler utvärderas före alla NSG-regler.
Viktigt
Vissa tjänster har principer för nätverks avsikt för att säkerställa att nätverkstrafiken fungerar efter behov för sina tjänster. När du använder säkerhetsadministratörsregler kan du bryta de nätverksprinciper som skapats för dessa tjänster. Att till exempel skapa en neka-administratörsregel kan blockera viss trafik som tillåts av SQL hanterad instanstjänst, som definieras av deras nätverks avsiktsprincip. Se till att granska din miljö innan du tillämpar en säkerhetsadministratörskonfiguration. Mer information finns i Hur kan jag uttryckligen tillåta SQLMI-trafik innan jag nekar regler.
Följande fält kan du definiera i en säkerhetsadministratörsregel:
Obligatoriska fält
Prioritet
Prioriteten för säkerhetsregeln bestäms av ett heltal mellan 0 och 99. Ju lägre värde, desto högre prioritet för regeln. Till exempel åsidosätter en neka-regel med prioriteten 10 en tillåt-regel med prioriteten 20.
Åtgärd
Du kan definiera en av tre åtgärder för en säkerhetsregel:
- Tillåt: Tillåter trafik på den specifika porten, protokollet och källans/målets IP-prefix i den angivna riktningen.
- Neka: Blockera trafik på den angivna porten, protokollet och källans/målets IP-prefix i den angivna riktningen.
- Tillåt alltid: Oavsett andra regler med lägre prioritet eller användardefinierade NSG:er, tillåt trafik på den angivna porten, protokollet och källans/målets IP-prefix i den angivna riktningen.
Riktning
Du kan ange trafikriktningen som regeln gäller för. Du kan definiera antingen inkommande eller utgående.
Protokoll
Protokoll som för närvarande stöds med säkerhetsadministratörsregler är:
- TCP
- UDP
- ICMP
- ESP
- AH
- Alla protokoll
Valfria fält
Käll- och måltyper
- IP-adresser: Du kan ange IPv4- eller IPv6-adresser eller adressblock i CIDR-notation. Om du vill visa flera IP-adresser avgränsar du varje IP-adress med ett kommatecken.
- Tjänsttagg: Du kan definiera specifika tjänsttaggar baserat på regioner eller en hel tjänst. Se Tillgängliga tjänsttaggarför en lista över taggar som stöds.
Käll- och målportar
Du kan definiera specifika vanliga portar som ska blockeras från källan eller till målet. Nedan finns en lista över vanliga TCP-portar:
| Portar | Tjänstnamn |
|---|---|
| 20, 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
| 3389 | RDP |
Nästa steg
Lär dig hur du blockerar nätverkstrafik med en SecurityAdmin-konfiguration.