使用 Windows Admin Center 配置网络安全组

适用于:Azure Stack HCI 版本 22H2 和 21H2;Windows Server 2022、Windows Server 2019、Windows Server 2016

本主题提供的分步说明介绍如何使用 Windows Admin Center 创建和配置网络安全组 (NSG),以管理使用数据中心防火墙的数据流量流。 还提供了有关如何管理软件定义网络 (SDN) 虚拟网络和逻辑网络上的网络安全组的说明。 可通过创建网络安全组并将其应用于子网或网络接口来启用和配置数据中心防火墙。 有关详细信息,请参阅什么是数据中心防火墙?若要使用 PowerShell 脚本来执行此操作,请参阅使用 PowerShell 配置网络安全组

在配置网络安全组之前,需要部署网络控制器。 若要了解网络控制器,请参阅什么是网络控制器? 若要使用 PowerShell 脚本部署网络控制器,请参阅部署 SDN 基础结构

此外,如果要将网络安全组应用于 SDN 逻辑网络,首先需要创建逻辑网络。 同样,如果要将网络安全组应用于 SDN 虚拟网络,首先需要创建虚拟网络。 若要了解更多信息,请参阅以下文章:

创建网络安全组

可在 Windows Admin Center 中创建网络安全组。

  1. 在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中创建网络安全组的群集。

  2. 在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。

  3. 在“网络安全组”下选择“清单”选项卡,然后选择“新建”。

  4. 在“网络安全组”窗格中,键入网络安全组的名称,然后选择“提交”。

    Windows Admin Center 主屏幕的屏幕截图,其中显示了“网络安全组名称”框。

  5. 在“网络安全组”下,验证新网络安全组的“预配状态”是否显示“成功”。

创建网络安全组规则

创建网络安全组后,即可创建网络安全组规则。 如果要将网络安全组规则应用于入站和出站流量,则需创建两个规则。

  1. 在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中创建网络安全组的群集。

  2. 在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。

  3. 在“网络安全组”下,选择“清单”选项卡,然后选择刚创建的网络安全组。

  4. 在“网络安全规则”下,选择“新建”。

    Windows Admin Center 的屏幕截图,其中显示了“网络安全规则”窗格。

  5. 在“网络安全规则”窗格中,提供以下信息:

    1. 规则的“名称”。
    2. 规则的“优先级”– 可接受的值为“101”到“65000” 。 值越小,表示优先级越高。
    3. “类型”– 可以是入站或出站。
    4. “协议”– 指定要与传入或传出数据包匹配的协议。 可接受的值为“全部”、“TCP”和“UDP” 。
    5. “源地址前缀”– 指定要与传入或传出数据包匹配的源地址前缀。 如果提供 *,则表示所有源地址。
    6. “源端口范围”– 指定要与传入或传出数据包匹配的源端口范围。 如果提供 *,则表示所有源端口。
    7. “目标地址前缀”– 指定要与传入或传出数据包匹配的目标地址前缀。 如果提供 *,则表示所有目标地址。
    8. “目标端口范围”– 指定要与传入或传出数据包匹配的目标端口范围。 如果提供 *,则表示所有目标端口。
    9. “操作”– 如果与上述条件匹配,则指定允许或阻止数据包。 可接受的值为“允许”和“拒绝” 。
    10. “日志记录”– 指定为规则启用或禁用日志记录。 如果启用了日志记录,则会在主机计算机上记录与此规则匹配的所有流量。
  6. 选择“提交”。

将网络安全组应用于虚拟网络

创建网络安全组及其规则后,需要将网络安全组应用于虚拟网络子网、逻辑网络子网或网络接口。

  1. 在“工具”下,向下滚动到“网络”区域,然后选择“虚拟网络” 。

  2. 选择“清单”选项卡,然后选择一个虚拟网络。 在随后的页面上,选择一个虚拟网络子网,然后选择“设置”。

    Windows Admin Center 的屏幕截图,其中显示“虚拟子网”窗格。

  3. 从下拉列表中选择一个网络安全组,然后选择“提交”。

    完成最后一个步骤会将网络安全组与虚拟网络子网相关联,并将其应用于连接到虚拟网络子网的所有计算机。

将网络安全组应用于逻辑网络

可以将网络安全组应用于逻辑网络子网。

  1. 在“工具”下,向下滚动到“网络”区域,然后选择“逻辑网络”。

  2. 选择“清单”选项卡,然后选择一个逻辑网络。 在随后的页面上,选择一个逻辑子网,然后选择“设置”。

  3. 从下拉列表中选择一个网络安全组,然后选择“添加”。

    完成最后一个步骤会将网络安全组与逻辑网络子网相关联,并将其应用于连接到逻辑网络子网的所有计算机。

将网络安全组应用于网络接口

创建虚拟机 (VM) 时或是在以后,可以将网络安全组应用于网络接口。

  1. 在“工具”下,向下滚动到“网络”区域,然后选择“虚拟机” 。

  2. 选择“清单”选项卡,选择一个 VM,然后选择“设置” 。

  3. 在“设置”页上,选择“网络”。

  4. 向下滚动到“网络安全组”,展开下拉列表,选择一个网络安全组,然后选择“保存网络设置”。

    Windows Admin Center 的屏幕截图,其中显示了将网络安全组与网络接口相关联的网络设置选项。

    完成最后一个步骤会将网络安全组与网络接口相关联,并将其应用于网络接口的所有传入和传出流量。

获取网络安全组列表

可以轻松地在列表中查看群集中的所有网络安全组。

  1. 在 Windows Admin Center 主屏幕中的“所有连接”下,选择查看网络安全组列表时要基于的群集。
  2. 在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。
  3. “清单”选项卡显示群集上可用的网络安全组列表,并提供可用于管理列表中各个网络安全组的命令。 您可以:
    • 查看网络安全组列表。

    • 查看每个网络安全组的规则数,以及应用于每个网络安全组的已应用子网和 NIC 数。

    • 查看每个网络安全组的“预配状态”(“成功”、“失败”)。

    • 删除网络安全组。

    • 在列表中选择一个网络安全组即可查看其规则。 然后可以添加、删除或修改网络安全组规则设置。

      Windows Admin Center 的屏幕截图,其中显示了“清单”选项卡中的网络安全组列表。

删除网络安全组

如果不再需要网络安全组,可以将其删除。

注意

从网络安全组列表中删除网络安全组后,请确保它不与子网或网络接口相关联。

  1. 在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。

  2. 选择“清单”选项卡,在列表中选择一个网络安全组,然后选择“删除”。

  3. 在“删除确认”提示下,选择“是” 。

    Windows Admin Center 的屏幕截图,其中显示了删除网络安全组的删除确认提示。

  4. 在搜索框旁,选择“刷新”以确保网络安全组已删除。

后续步骤

有关详细信息,请参阅: