文章

子網路、IP 位址、網路安全群組 (NSG)

發布於 更新於
作者 Ned Hsu 8 分鐘閱讀

在 Azure 虛擬網路 (VNet) 中,子網路、IP 位址和網路安全群組 (NSG) 是構建和管理網路的重要組件。這些元素共同決定了網路資源的隔離、通信方式以及安全性。以下是對這三個組件的詳細介紹:

一、子網路 (Subnet)

1. 什麼是子網路?

  • 定義:子網路 (Subnet) 是 Azure 虛擬網路 (VNet) 中的一個邏輯區域,擁有獨立的 IP 位址範圍。子網路允許您將 VNet 劃分為多個更小的網段,每個網段可以容納一定數量的資源(如虛擬機器、資料庫、負載平衡器等)。
  • 隔離與管理:子網路可以用來隔離不同類型的資源。例如,您可以將前端 Web 伺服器與後端資料庫放在不同的子網路中,以提高安全性和管理的靈活性。

2. 子網路的配置

  • IP 位址範圍:每個子網路都有一個 IP 位址範圍,該範圍必須是包含在 VNet IP 位址範圍內的一部分。配置時需考慮每個子網路所需的 IP 位址數量。
  • 子網路劃分:您可以根據應用程式架構和安全性需求來劃分子網路。例如,劃分一個 10.0.0.0/16 的 VNet 可以創建多個子網路,如:
    • 子網路1:10.0.1.0/24 (前端層)
    • 子網路2:10.0.2.0/24 (應用層)
    • 子網路3:10.0.3.0/24 (資料庫層)

3. 子網路的用途

  • 流量控制:通過將資源部署在不同的子網路中,並應用網路安全群組 (NSG) 或用戶定義路由 (UDR),您可以控制子網路之間的流量流向。
  • 資源隔離:不同子網路中的資源可以有不同的安全規則和流量控制措施,有助於減少安全風險。

二、IP 位址

1. 什麼是 IP 位址?

  • 定義:IP 位址是用於標識網路中每個資源的唯一位址。Azure 中的 IP 位址分為公共 IP 位址和私有 IP 位址。
  • 類型
    • 公共 IP 位址:用於與外部網路通信的 IP 位址,例如互聯網。公共 IP 位址通常分配給虛擬機器、負載平衡器或應用程式閘道。
    • 私有 IP 位址:僅在 VNet 或子網路內部使用,用於資源之間的通信。私有 IP 位址分配給 VNet 中的虛擬機器或其他資源。

2. IP 位址分配

  • 動態 IP 位址:Azure 可以自動為資源分配 IP 位址,這些位址在資源重啟或重新部署後可能會變更。
  • 靜態 IP 位址:您也可以手動分配靜態 IP 位址給資源,以確保 IP 位址在其生命周期內保持不變。這對於需要固定 IP 位址的應用程式非常有用。

3. IP 位址管理

  • IP 位址池:每個子網路都有一個 IP 位址池,資源從該池中獲取 IP 位址。配置時需考慮 IP 位址池的大小,以確保有足夠的位址分配給新資源。
  • DNS 設置:Azure 支持自動 DNS 配置,並且可以根據需要自定義 DNS 設置,以滿足特定的網路解析需求。

三、網路安全群組 (NSG)

1. 什麼是網路安全群組 (NSG)?

  • 定義:網路安全群組 (NSG) 是一組安全規則,用於控制進入和離開 Azure 資源的網路流量。NSG 可以應用於子網路或資源的網路介面 (NIC) 上。
  • 規則結構:每個 NSG 包含多條入站和出站規則。這些規則定義了允許或拒絕的流量類型,並按照優先順序進行處理。

2. NSG 的主要組成部分

  • 安全規則
    • 名稱:每個規則都有唯一的名稱,便於識別和管理。
    • 優先順序:規則的優先順序決定了它們的應用順序,優先順序數字越小,優先級越高。
    • 源與目的地:規則定義了流量的源位址、目的地位址,以及相應的端口範圍。
    • 協議:規則指定了適用的網路協議(例如 TCP、UDP)。
    • 操作:規則可以設置為允許或拒絕流量。

3. NSG 的應用場景

  • 保護子網路:將 NSG 應用於子網路,從而控制進出該子網路的所有流量。例如,您可以允許子網路中虛擬機器之間的通信,並阻止來自互聯網的非必要流量。
  • 保護個別資源:將 NSG 應用於資源的網路介面 (NIC),精確控制該資源的網路流量。例如,為虛擬機器設置 NSG 規則,僅允許特定 IP 位址的 SSH 連接。

4. NSG 的最佳實踐

  • 最小化開放端口:僅允許必要的端口開放,並且盡可能限制允許的源位址,以降低潛在攻擊風險。
  • 使用優先順序控制流量:合理設置規則的優先順序,確保更精確的流量控制,避免規則之間的衝突。
  • 定期審查和更新:定期檢查和更新 NSG 規則,確保它們符合最新的安全需求。

總結

子網路、IP 位址和網路安全群組 (NSG) 是 Azure VNet 中的重要組件,通過合理配置這些元素,您可以構建安全、高效且靈活的雲端網路環境。子網路負責劃分網路區域,IP 位址用於標識和通信,而 NSG 則保護資源免受未經授權的訪問。通過這些組件的組合使用,您可以在雲端中實現類似於內部網路的網路架構,同時享受 Azure 提供的可擴展性和靈活性。

Software, Azure
Azure Cloud Service
本文章以 CC BY 4.0 授權