使用 Azure 门户创建网络安全组

可在虚拟网络中使用 NSG 控制流向一个或多个虚拟机 (VM)、角色实例、网络适配器 (NIC) 或子网的流量。 NSG 包含根据流量方向、协议、源地址和端口以及目标地址和端口允许或拒绝流量的访问控制规则。 可以随时更改 NSG 的规则,所做的更改适用于所有关联的实例。

有关 NSG 的详细信息,请访问什么是 NSG

Important

在使用 Azure 资源之前,请务必了解 Azure 当前使用两种部署模型:Azure Resource Manager 部署模型和经典部署模型。 在使用任何 Azure 资源之前,请确保了解 部署模型和工具 。 可以通过单击本文顶部的选项卡来查看不同工具的文档。

本文介绍 Resource Manager 部署模型。 还可在经典部署模型中创建 NSG

方案

为了更好地说明如何创建 NSG,本文档使用以下方案:

VNet 方案

在此方案中,需要为 TestVNet 虚拟网络中的每个子网创建 NSG,如下所述:

  • NSG-FrontEnd。 前端 NSG 应用于 FrontEnd 子网,并且包含以下两个规则:
    • rdp-rule。 允许将 RDP 流量传输到 FrontEnd 子网。
    • web-rule。 允许将 HTTP 流量传输到 FrontEnd 子网。
  • NSG-BackEnd。 后端 NSG 应用于 BackEnd 子网,并且包含以下两个规则:
    • sql-rule。 仅允许来自 FrontEnd 子网的 SQL 流量。
    • web-rule。 拒绝来自 BackEnd 子网的所有 Internet 入站流量。

将这些规则组合起来可创建一个与外围网络类似的方案,其中后端子网只能接收来自前端子网的 SQL 的传入流量且不能访问 Internet,而前端子网可以与 Internet 通信并只接收传入 HTTP 请求。

以下示例 PowerShell 命令需要基于以上方案创建的简单环境。 如果要运行本文档中所显示的命令,请首先通过部署此模板构建测试环境,单击“部署至 Azure”,根据需要替换默认参数值,并按照门户中的说明进行操作。 下面的步骤使用 RG-NSG 作为模板部署到的资源组的名称。

创建 NSG-FrontEnd NSG

若要如上述方案所示创建 NSG-FrontEnd NSG,请按照以下步骤进行操作。

  1. 在浏览器中导航到 http://portal.azure.cn,并在必要时使用 Azure 帐户登录。
  2. 单击“浏览” > “网络安全组”。

    Azure 门户 - NSG

  3. 在“网络安全组”边栏选项卡中,单击“添加”。

    Azure 门户 - NSG

  4. 在“创建网络安全组”边栏选项卡中,在 RG-NSG 资源组中创建名为 NSG-FrontEnd 的 NSG,然后单击“创建”。

    Azure 门户 - NSG

在现有 NSG 中创建规则

若要通过 Azure 门户在现有 NSG 中创建规则,请按照以下步骤进行操作。

  1. 单击“浏览” > “网络安全组”。
  2. 在 NSG 列表中,单击“NSG-FrontEnd” > “入站安全规则”

    Azure 门户 - NSG-FrontEnd

  3. 在“入站安全规则”列表中,单击“添加”。

    Azure 门户 - 添加规则

  4. 在“添加入站安全规则”边栏选项卡中创建一个名为 web-rule 的规则(优先级为 200),允许通过 TCP 访问任何源的任何 VM 的端口 80,然后单击“确定”。 请注意,这些设置中大多数已为默认值。

    Azure 门户 - 规则设置

  5. 几秒钟后可在 NSG 中看到新规则。

    Azure 门户 - 新建规则

  6. 重复执行步骤到步骤 6 以创建名为 rdp-rule 的入站规则(优先级为 250),允许通过 TCP 访问任何源的任何 VM 的端口 3389

将 NSG 关联到 FrontEnd 子网

  1. 单击“浏览” > “资源组” > “RG-NSG”。
  2. 在“RG-NSG”边栏选项卡中,单击“...” > “TestVNet”。

    Azure 门户 - TestVNet

  3. 在“设置”边栏选项卡中,单击“子网” > “FrontEnd” > “网络安全组” > “NSG-FrontEnd”。

    Azure 门户 - 子网设置

  4. 在“FrontEnd”边栏选项卡中,单击“保存”。

    Azure 门户 - 子网设置

创建 NSG-BackEnd NSG

若要创建 NSG-BackEnd NSG 并将它关联到 BackEnd 子网,请执行以下步骤。

  1. 重复执行创建 NSG-FrontEnd NSG 中的步骤以创建名为 NSG-BackEnd 的 NSG
  2. 重复执行在现有 NSG 中创建规则中的步骤以创建下表中的入站规则。

    入站规则 出站规则
    Azure 门户 - 入站规则 Azure 门户 - 出站规则
  3. 重复执行将 NSG 关联到 FrontEnd 子网中的步骤,将 NSG-Backend NSG 关联到 BackEnd 子网。

后续步骤