Группы безопасности котлов Stout до 50 кВт в теплоизоляции. Цены, отзывы, описание > Каталог оборудования > Санкт-Петербург
Группы безопасности котлов Stout до 50 кВт в теплоизоляции. Цены, отзывы, описание > Каталог оборудования > Санкт-ПетербургКаталог Арматура Предохранительная Группы безопасности котлов Для отопления и водоснабжения Италия Stout Группы безопасности котлов до 50 кВт в теплоизоляции
Код товара:
70974
Артикул производителя:
SVS-0004-055032
Гарантия:
2 года
Страна-производитель:
Италия
Производитель:
Stout
0.
0
(оценок: 0)
Товар снят с продажи!
Напечатать
Добавить в закладки
Добавить в сравнения
Покупаете у официального дилера!
Посмотреть сертификат
Нужен совет? Позвоните нам!
+7 (812) 401-66-31 (многоканальный) или
+7 (800) 333-56-06 (бесплатный по России)
Заказать обратный звонок
Основные характеристики оборудования Группы безопасности котлов Stout до 50 кВт в теплоизоляции
Функция:
предохранительная
Вид оборудования:
группы безопасности котлов
Область применения:
для отопления и водоснабжения
Максимальная температура:
+110 °C
Происхождение бренда:
Италия
Давление :
3 бар
Диаметр D1 :
25 мм
Информация об оборудовании Группы безопасности котлов Stout до 50 кВт в теплоизоляции
- Описание
- Габаритный чертеж 0
- Документация 1
- Отзывы 0
до 50 кВт в теплоизоляции
Группа безопасности котла Stout до 50 кВт в теплоизоляции служит для защиты закрытых систем отопления до 50 кВт.
Включает в себя предохранительный клапан с порогом срабатывания 3 бара, автоматический воздухоотводчик (с запорным клапаном) MKV10R и манометр MHR6 3/4 — 3/8″, установленные на стальной консоли (с гальваническим покрытием).
Технические характеристики:
- Подключение: 1″
- Резьба: внутренняя
- Теплоизоляция: есть
- Класс огнезащиты: II
Габаритный чертеж временно отсутствует
Каталог
С этим товаром покупают
Вместе с этим товаром наши клиенты покупали данное оборудование, возможно оно понадобится и Вам.
Код товара: 70695
Артикул: SFC-0020-001620
Фитинги компрессионные для труб PE-X 16х2,0х3/4″ Stout
228
Купить в 1 клик
В наличии >500 шт
Код товара: 135431
Артикул: SAC-0030-000825
Крепления для мембранных баков Stout 8- 25
860
Купить в 1 клик
По запросу
Код товара: 114508
Артикул: SMS-1000-010001
Регулируемые концевые фитинги Stout с дренажным вентилем и автоматическим воздухоотводчиком
1 590
Купить в 1 клик
В наличии 70 шт
Код товара: 116615
Артикул: SMS-1000-030001
Комплекты прямых шаровых кранов с термометрами 1″ Stout
5 190
Купить в 1 клик
В наличии 42 шт
Код товара: 70922
Артикул: SVB-0004-000015
Краны шаровые полнопроходные BP-HP (бабочка) Stout 1/2″
451
Купить в 1 клик
По запросу
Код товара: 72791
Артикул: SFT-0004-000011
Ниппели НН никелированные 1″ Stout
246
Купить в 1 клик
По запросу
Код товара: 70928
Артикул: SVB-0007-000025
Краны шаровые с накидной гайкой полнопроходные ВР-НР (бабочка) Stout 1″
1 358
Купить в 1 клик
По запросу
Показано 7 из 9 товаров
Показать все
Код товара: 139398
Артикул: 16027RU
Расширительные баки Flamco Flexcon R 25/1,5 6 бар
2 480
Купить в 1 клик
По запросу
Код товара: 66991
Артикул: SPX-0002-001620
Трубы из сшитого полиэтилена PE-Xa Stout 16х2,0 бухта 200 м красные
121
Купить в 1 клик
В наличии >10 000 м
{{/if}} {{if IsHit}}
ХИТ
{{/if}} {{if IsNova}}
NEW
{{/if}}
{{/if}}${Name}
{{if RemovedAll || UnknownPriceAll}}
{{if RemovedAll}}
Снят с продажи
{{else}}
Стоимость по запросу
{{/if}}
{{else}}
{{if ModelPrice.
{{if StockMainEnable}} ✔ на складе {{/if}}
Принцип работы группы безопасности сети
Twitter LinkedIn Facebook Адрес электронной почты
- Статья
- Чтение занимает 4 мин
Группа безопасности сети Azure позволяет фильтровать входящий и исходящий сетевой трафик ресурсов Azure в виртуальной сети Azure.
В виртуальную сеть Azure можно развернуть ресурсы из нескольких служб Azure. Полный список см. в разделе Службы, которые можно развернуть в виртуальной сети. Вы можете связать не более одной группы безопасности сети с каждой подсетью виртуальной сети и сетевым интерфейсом на виртуальной машине. Одну и ту же группу безопасности сети можно связать с любым выбранным количеством подсетей или сетевых интерфейсов.
На следующем рисунке показаны различные сценарии развертывания групп безопасности сети для разрешения трафика, поступающего из Интернета и обратно через TCP-порт 80:
Чтобы понять, как Azure обрабатывает входящие и исходящие правила для групп безопасности сети, см. предыдущий рисунок, а также следующий текст.
Входящий трафик
Для входящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с подсетью, если таковая имеется, а затем правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется.
Сюда также входит трафик внутри подсети.
- VM1: обрабатываются правила безопасности в NSG1, так как она связана с Subnet1 и VM1 в Subnet1. Если вы не создали правило, разрешающее входящий трафик через порт 80, трафик будет запрещен правилом безопасности по умолчанию DenyAllInbound и никогда не будет вычислен группой NSG2, так как NSG2 связана с сетевым интерфейсом. Если в группе NSG1 есть правило безопасности, разрешающее трафик через порт 80, трафик будет обрабатываться группой NSG2. Чтобы разрешить трафик к виртуальной машине через порт 80, в NSG1 и NSG2 должно быть правило, разрешающее трафик из Интернета через порт 80.
- VM2: обрабатываются правила в NSG1, потому что VM2 также существует в Subnet1. Так как у VM2 нет группы безопасности сети, связанной с ее сетевым интерфейсом, она получает весь трафик, разрешенный NSG1, или не получает трафик, запрещенный NSG1.
Если группа безопасности сети связана с подсетью, трафик разрешен или запрещен для всех ресурсов в одной и той же подсети. - VM3: так как с Subnet2 не связана ни одна группа безопасности сети, трафик разрешен в подсеть и обрабатывается NSG2, потому что NSG2 связана с сетевым интерфейсом, подключенным к VM3.
- VM4: трафик разрешен в VM4,, так как группа безопасности сети не связана с Subnet3 или сетевым интерфейсом в виртуальной машине. Весь трафик пропускается через подсеть и сетевой интерфейс, если с ними не связана группа безопасности сети.
Если группа безопасности сети связана с подсетью, трафик разрешен или запрещен для всех ресурсов в одной и той же подсети.Исходящий трафик
Для исходящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется, а затем правила в группе безопасности сети, связанной с подсетью, если таковая имеется. Сюда также входит трафик внутри подсети.
- VM1: обрабатываются правила безопасности в NSG2. Если вы не создали правило безопасности, которое запрещает исходящий трафик в Интернет через порт 80, трафик разрешается правилом безопасности по умолчанию AllowInternetOutbound в NSG1 и NSG2. Если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещен и никогда не вычисляется NSG1. Чтобы запретить исходящий трафик через порт 80 на виртуальной машине, у одной из группы безопасности сети или у обеих должно быть правило, которое запрещает трафик, поступающий в Интернет через порт 80.
- VM2: весь трафик отправляется через этот сетевой интерфейс к подсети, так как с сетевым интерфейсом, подключенным к VM2, не связана группа безопасности сети. Обрабатываются правила в NSG1.
- VM3: если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещается. В противном случае трафик разрешен правилом безопасности AllowInternetOutbound по умолчанию в NSG2, так как группа безопасности сети не связана с подсетью 2.
- VM4: весь трафик разрешен из VM4, так как группа безопасности сети не связана с сетевым интерфейсом, подключенным к виртуальной машине или к Subnet3.
Если вы не создали правило безопасности, которое запрещает исходящий трафик в Интернет через порт 80, трафик разрешается правилом безопасности по умолчанию AllowInternetOutbound в NSG1 и NSG2. Если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещен и никогда не вычисляется NSG1. Чтобы запретить исходящий трафик через порт 80 на виртуальной машине, у одной из группы безопасности сети или у обеих должно быть правило, которое запрещает трафик, поступающий в Интернет через порт 80.
Трафик внутренней подсети
Важно отметить, что правила безопасности в группе NSG, связанной с подсетью, могут повлиять на подключение между виртуальными машинами в такой подсети. По умолчанию виртуальные машины в одной подсети могут обмениваться данными благодаря стандартному правилу NSG, разрешающему трафик внутри подсети. Если добавить в группу NSG1 правило, запрещающее весь входящий и исходящий трафик, виртуальные машины VM1 и VM2 не смогут обмениваться данными друг с другом.
Все правила, применяемые к сетевому интерфейсу, можно просмотреть в списке действующих правил безопасности сетевого интерфейса. Кроме того, вы можете воспользоваться функцией Проверка IP-потока в службе «Наблюдатель за сетями Azure», чтобы определить, разрешен ли обмен данными с сетевым интерфейсом.
Проверка IP-потока позволяет узнать, разрешен ли обмен данными и какие правила безопасности сети разрешают или запрещают трафик.
Примечание
Группы безопасности сети связаны с подсетями или виртуальными машинами и облачными службами, развернутыми в классической модели, и подсетями или сетевыми интерфейсами в модели развертывания Resource Manager. Дополнительные сведения о моделях развертывания Azure см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.
Совет
Если у вас нет особых причин сделать обратное, мы рекомендуем связать группу безопасности сети с подсетью или сетевым интерфейсом, но не обоими сразу. Так как правила в группе безопасности сети, связанной с подсетью, могут конфликтовать с правилами в группе безопасности сети, связанной с сетевым интерфейсом, могут возникнуть непредвиденные проблемы с обменом данными, требующие устранения неполадок.
Дальнейшие действия
- Дополнительные сведения о том, какие ресурсы Azure можно развернуть в виртуальной сети и какие группы безопасности сети можно связать с ними, см. в статье Интеграция виртуальной сети для служб Azure.
- Если вы еще не создавали группу безопасности сети, вы можете пройти краткое руководство, чтобы получить такой опыт создания.
- Если вы ознакомлены с группами безопасности сети и вам нужно управлять ими, см. сведения в статье Создание, изменение и удаление группы безопасности сети.
- Если возникают проблемы с обменом данными и вам необходимо устранить неполадки с группами безопасности сети, см. сведения в статье Диагностика проблемы с фильтрацией трафика на виртуальной машине.
- Познакомьтесь с анализом трафика, поступающего из ресурсов со связанной группой безопасности сети и обратно, с помощью журналов потоков группы безопасности сети.
в статье Интеграция виртуальной сети для служб Azure.Примеры политик Amazon VPC — Amazon Virtual Private Cloud
По умолчанию роли IAM не имеют разрешения на создание или изменение ресурсов VPC. Они
также не может выполнять задачи с помощью Консоли управления AWS, интерфейса командной строки AWS или API AWS.
IAM
администратор должен создать политики IAM, которые предоставляют ролям разрешение на выполнение определенных действий.
Операции API над указанными ресурсами, которые им нужны. Затем администратор должен прикрепить
эти политики к ролям IAM, которым требуются эти разрешения.
Чтобы узнать, как создать политику на основе удостоверений IAM, используя этот пример политики JSON. документы см. в разделе Создание политик на вкладке JSON в Руководство пользователя IAM .
Содержание
- Оптимальная политика практики
- Использовать консоль Amazon VPC
- Создать VPC с общедоступным подсеть
- Изменение и удаление ресурсов VPC
- Управление группами безопасности
- Управление правилами группы безопасности
- Запуск экземпляров в определенную подсеть
- Запуск экземпляров в определенное VPC
- Дополнительные примеры политики Amazon VPC
Лучшая политика практики
Политики на основе удостоверений определяют, может ли кто-либо создавать, получать доступ или удалять ресурсы Amazon VPC в вашем
счет.
Эти действия могут повлечь расходы для вашего аккаунта AWS. При создании или изменении политик на основе удостоверений следуйте этим рекомендациям и
рекомендаций:
Начните работу с политиками, управляемыми AWS, и перейдите к разрешениям с минимальными привилегиями – Чтобы приступить к предоставлению разрешений вашим пользователям и рабочим нагрузкам, используйте AWS управляемые политики , которые предоставляют разрешения для многих распространенных случаев использования. Они есть доступны в вашей учетной записи AWS. Мы рекомендуем вам еще больше уменьшить разрешения, определение политик, управляемых клиентами AWS, которые относятся к вашим вариантам использования. Для получения дополнительной информации см. Политики, управляемые AWS, или политики, управляемые AWS, для должностных функций в Руководство пользователя IAM .
Применить минимальные права доступа – При установке разрешений с помощью политик IAM предоставляйте только те разрешения, которые необходимы для выполнить задачу.
Вы делаете это, определяя действия, которые могут быть предприняты на определенных ресурсах.
при определенных условиях, также известных как разрешения с наименьшими привилегиями .
Дополнительные сведения об использовании IAM для применения разрешений см.
Политики и разрешения в IAM в версии Руководство пользователя IAM .Использование условий в политиках IAM для дальнейшего ограничения доступа – Вы можете добавить условие к своим политикам, чтобы ограничить доступ к действиям и ресурсам. Например, вы можете написать условие политики, чтобы указать, что все запросы должны быть отправлены с использованием SSL. Вы также можете использовать условия для предоставления доступа к сервисным действиям. если они используются через определенный сервис AWS, например AWS CloudFormation. Для получения дополнительной информации см. Элементы политики IAM JSON: условие в Руководство пользователя IAM .
Используйте анализатор доступа IAM для проверки политик IAM для обеспечения безопасных и функциональных разрешений – Анализатор доступа IAM проверяет новые и существующие политики, чтобы политики соответствовали языку политик IAM (JSON) и передовым практикам IAM. IAM Access Analyzer предоставляет более 100 проверок политик и практические рекомендации, которые помогут вы создаете безопасные и функциональные политики. Дополнительные сведения см. в разделе Проверка политики IAM Access Analyzer в разделе Руководство пользователя IAM .
Требовать многофакторную аутентификацию (MFA) – Если у вас есть сценарий, требующий пользователей IAM или пользователя root в вашей учетной записи AWS, включите MFA для дополнительной безопасности. Требовать MFA при вызове операций API добавьте условия MFA в свои политики. Для больше информации см.
Настройка доступа к API с защитой MFA в руководстве пользователя IAM .
Вы делаете это, определяя действия, которые могут быть предприняты на определенных ресурсах.
при определенных условиях, также известных как разрешения с наименьшими привилегиями .
Дополнительные сведения об использовании IAM для применения разрешений см.
Политики и разрешения в IAM в версии Руководство пользователя IAM .
Настройка доступа к API с защитой MFA в руководстве пользователя IAM .Дополнительные сведения о передовых методах работы с IAM см. в разделе Рекомендации по обеспечению безопасности в IAM в Руководстве пользователя IAM .
Использование консоли Amazon VPC
Для доступа к консоли Amazon VPC необходимо иметь минимальный набор разрешений. Эти разрешения должны позволять вам перечислять и просматривать сведения о ресурсах Amazon VPC в вашей учетной записи AWS. Если вы создаете политику на основе удостоверений, которая является более ограничительной чем минимальные необходимые разрешения, консоль не будет работать должным образом для сущности (роли IAM) с этой политикой.
Следующая политика предоставляет роли разрешение на перечисление ресурсов в VPC console, но не для их создания, обновления или удаления.
{
«Версия»: «2012-10-17»,
"Заявление": [
{
«Эффект»: «Разрешить»,
"Действие": [
"ec2:ОписатьАтрибутыАккаунта",
"ec2:ОписатьАдрес",
"ec2:Описать зоны доступности",
"ec2:Описать экземпляры ClassicLink",
"ec2: Описать конечные точки ClientVpn",
"ec2:ОписатьCustomerGateways",
"ec2:ОписатьDhcpOptions",
"ec2:ОписатьEgressOnlyInternetGateways",
"ec2:Описать журналы потоков",
"ec2:ОписатьInternetGateways",
"ec2:Описать списки управляемых префиксов",
"ec2:ОписатьMovingAddresses",
"ec2:ОписатьNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:ОписатьАтрибутСетевогоИнтерфейса",
"ec2: Описать разрешения сетевого интерфейса",
"ec2: Описать сетевые интерфейсы",
"ec2:Описать списки префиксов",
"ec2:ОписатьRouteTables",
"ec2:ОписатьСсылкиГруппыБезопасности",
"ec2:Описать группы безопасности",
"ec2:Описать правила группы безопасности",
"ec2:ОписатьStaleSecurityGroups",
"ec2:Описать подсети",
"ec2:Теги описания",
"ec2:Описатьтрафикзеркальные фильтры",
"ec2:Описать сеансы зеркала трафика",
"ec2:ОписатьTrafficMirrorTargets",
"ec2: Описать транзитные шлюзы",
"ec2:ОписатьTransitGatewayVpcAttachments",
"ec2: Описать TransitGatewayRouteTables",
"ec2:ОписатьАтрибутVpc",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:Описать конечные точки Vpc",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:ОписатьVpcEndpointConnections",
"ec2:ОписатьКонфигурацииVpcEndpointService",
"ec2:ОписатьVpcEndpointServicePermissions",
"ec2:ОписатьVpcEndpointServices",
"ec2:ОписатьVpcPeeringConnections",
"ec2:ОписатьVpcs",
"ec2:ОписатьVpnConnections",
"ec2:ОписатьVpnGateways",
"ec2: GetManagedPrefixListAssociations",
"ec2: GetManagedPrefixListEntries"
],
"Ресурс": "*"
}
]
} Вам не нужно разрешать минимальные разрешения консоли для ролей, которые создают
вызовы только к интерфейсу командной строки AWS или API AWS.
Вместо этого разрешите доступ только к действиям, которые
соответствуют операции API, которую должна выполнять роль.
Создать VPC с общедоступным subnet
В следующем примере роли позволяют создавать VPC, подсети, таблицы маршрутизации и
интернет-шлюзы. Роли также могут подключать интернет-шлюз к VPC и создавать
маршруты в таблицах маршрутов. Действие ec2:ModifyVpcAttribute включает роли
включить DNS-имена хостов для VPC, чтобы каждый экземпляр запускался в VPC
получает DNS-имя хоста.
{
«Версия»: «2012-10-17»,
"Заявление": [{
«Эффект»: «Разрешить»,
"Действие": [
"ec2:СоздатьVpc",
"ec2: Создать подсеть",
"ec2:Описать зоны доступности",
"ec2: СоздатьRouteTable",
"ec2:Создать маршрут",
"ec2: Создать Интернет-шлюз",
"ec2: Присоединить интернет-шлюз",
"ec2:AssociateRouteTable",
"ec2: изменить атрибут Vpc"
],
"Ресурс": "*"
}
]
} Предыдущая политика также позволяет ролям создавать VPC в облаке Amazon VPC.
консоль.
Изменение и удаление ресурсов VPC
Возможно, вы захотите контролировать ресурсы VPC, которые роли могут изменять или удалять. Для
Например, следующая политика позволяет ролям работать с таблицами маршрутов и удалять их.
иметь тег Purpose=Test . Политика также указывает, что роли могут
удаляйте только интернет-шлюзы с тегом Цель=Тест . Роли
не может работать с таблицами маршрутов или интернет-шлюзами, у которых нет этого тега.
{
«Версия»: «2012-10-17»,
"Заявление": [
{
«Эффект»: «Разрешить»,
"Действие": "ec2:DeleteInternetGateway",
"Ресурс": "arn:aws:ec2:*:*:интернет-шлюз/*",
"Состояние": {
"StringEquals": {
"ec2:ResourceTag/ Назначение ": " Тест "
}
}
},
{
«Эффект»: «Разрешить»,
"Действие": [
"ec2: УдалитьRouteTable",
"ec2:Создать маршрут",
"ec2: Заменить маршрут",
"ec2:удалить маршрут"
],
"Ресурс": "arn:aws:ec2:*:*:route-table/*",
"Состояние": {
"StringEquals": {
"ec2: тег ресурса/ Назначение ": " Тест "
}
}
}
]
} Управление группами безопасности
Следующая политика позволяет ролям управлять группами безопасности.
Первое заявление
позволяет ролям удалять любую группу безопасности с тегом Stack=test и
для управления правилами входящего и исходящего трафика для любой группы безопасности с тегом Стек=тест . Второе утверждение требует, чтобы роли помечали любую безопасность.
группы, которые они создают с тегом Стек=Тест . Третье утверждение
позволяет ролям создавать теги при создании группы безопасности. Четвертое утверждение
позволяет ролям просматривать любую группу безопасности и правило группы безопасности. Пятое утверждение
позволяет ролям создавать группу безопасности в VPC.
{
«Версия»: «2012-10-17»,
"Заявление": [
{
«Эффект»: «Разрешить»,
"Действие": [
"ec2:ОтозватьSecurityGroupIngress",
"ec2: АвторизоватьSecurityGroupEgress",
"ec2:авторизесекуритиграупингресс",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:ОтозватьSecurityGroupEgress",
"ec2: Удалить группу безопасности",
"ec2: изменить правила группы безопасности",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Ресурс": "arn:aws:ec2:*:*:группа безопасности/*",
"Состояние": {
"StringEquals": {
"ec2: ResourceTag/стек": "тест"
}
}
},
{
«Эффект»: «Разрешить»,
"Действие": "ec2:CreateSecurityGroup",
"Ресурс": "arn:aws:ec2:*:*:группа безопасности/*",
"Состояние": {
"StringEquals": {
"aws:RequestTag/Stack": "тест"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "Стек"
}
}
},
{
«Эффект»: «Разрешить»,
"Действие": "ec2:CreateTags",
"Ресурс": "arn:aws:ec2:*:*:группа безопасности/*",
"Состояние": {
"StringEquals": {
"ec2:CreateAction": "Создать группу безопасности"
}
}
},
{
«Эффект»: «Разрешить»,
"Действие": [
"ec2:Описать правила группы безопасности",
"ec2:ОписатьVpcs",
"ec2:Описать группы безопасности"
],
"Ресурс": "*"
},
{
«Эффект»: «Разрешить»,
"Действие": "ec2:CreateSecurityGroup",
"Ресурс": "arn:aws:ec2:*:*:vpc/*"
}
]
} Чтобы разрешить ролям изменять группу безопасности, связанную с экземпляром,
добавьте действие ec2:ModifyInstanceAttribute в свою политику.
Чтобы разрешить ролям изменять группы безопасности для сетевого интерфейса, добавьте ec2:ModifyNetworkInterfaceAttribute действие для вашей политики.
Управление правилами группы безопасности
Следующая политика предоставляет ролям разрешение на просмотр всех групп безопасности и
правила группы безопасности, добавлять и удалять входящие и исходящие правила для безопасности
группы для определенного VPC и изменять описания правил для указанного VPC.
первый оператор использует ec2:Vpc ключ условия для разрешения области
конкретного VPC.
Второй оператор предоставляет ролям разрешение на описание всех групп безопасности, правила группы безопасности и теги. Это позволяет ролям просматривать правила группы безопасности в для их модификации.
{
«Версия»: «2012-10-17»,
"Заявление":[{
«Эффект»: «Разрешить»,
"Действие": [
"ec2:авторизесекуритиграупингресс",
"ec2:ОтозватьSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress",
"ec2: АвторизоватьSecurityGroupEgress",
"ec2:ОтозватьSecurityGroupEgress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2: изменить правила группы безопасности"
],
"Ресурс": "arn:aws:ec2: регион : идентификатор учетной записи :группа безопасности/*",
"Состояние": {
"АрнЭкуалс": {
"ec2:Vpc": "arn:aws:ec2: регион : идентификатор учетной записи :vpc/ идентификатор vpc "
}
}
},
{
«Эффект»: «Разрешить»,
"Действие": [
"ec2:Описать группы безопасности",
"ec2:Описать правила группы безопасности",
"ec2: Описать теги"
],
"Ресурс": "*"
}
]
}
Запускать экземпляры в определенную подсеть
Следующая политика предоставляет ролям разрешение на запуск экземпляров в определенном
подсети и использовать в запросе определенную группу безопасности.
Политика делает это путем
указав ARN для подсети и ARN для группы безопасности. Если роли
попытаться запустить экземпляр в другой подсети или с использованием другого
группе, запрос не будет выполнен (если только другая политика или инструкция не предоставит роли
разрешение на это).
Политика также предоставляет разрешение на использование ресурса сетевого интерфейса. Когда
при запуске в подсеть запрос RunInstances создает первичный
сетевой интерфейс по умолчанию, поэтому роли требуется разрешение на создание этого ресурса
при запуске экземпляра.
{
«Версия»: «2012-10-17»,
"Заявление": [{
«Эффект»: «Разрешить»,
«Действие»: «ec2: RunInstances»,
"Ресурс": [
"arn:aws:ec2: регион ::image/ami-*",
"arn:aws:ec2: регион : учетная запись :экземпляр/*",
"arn:aws:ec2: регион : учетная запись : подсеть/ идентификатор подсети ",
"arn:aws:ec2: регион : учетная запись :сетевой-интерфейс/*",
"arn:aws:ec2: регион : аккаунт :том/*",
"arn:aws:ec2: регион : учетная запись :пара ключей/*",
"arn:aws:ec2: регион : учетная запись :группа безопасности/ sg-id "
]
}
]
} Запуск экземпляров в определенное VPC
Следующая политика предоставляет ролям разрешение на запуск экземпляров в любой подсети
внутри конкретного VPC.
Политика делает это, применяя ключ условия
( ec2:Vpc ) к ресурсу подсети.
Политика также предоставляет ролям разрешение на запуск экземпляров с использованием только тех AMI, которые
иметь тег « отдел=dev «.
{
«Версия»: «2012-10-17»,
"Заявление": [{
«Эффект»: «Разрешить»,
«Действие»: «ec2: RunInstances»,
"Ресурс": "arn:aws:ec2: регион : идентификатор учетной записи :подсеть/*",
"Состояние": {
"АрнЭкуалс": {
"ec2:Vpc": "arn:aws:ec2: регион : идентификатор учетной записи :vpc/ идентификатор vpc "
}
}
},
{
«Эффект»: «Разрешить»,
«Действие»: «ec2: RunInstances»,
"Ресурс": "arn:aws:ec2: регион ::image/ami-*",
"Состояние": {
"StringEquals": {
"ec2: ResourceTag/ отдел ": " dev "
}
}
},
{
«Эффект»: «Разрешить»,
«Действие»: «ec2: RunInstances»,
"Ресурс": [
"arn:aws:ec2: регион : учетная запись :экземпляр/*",
"arn:aws:ec2: регион : аккаунт :том/*",
"arn:aws:ec2: регион : учетная запись :сетевой-интерфейс/*",
"arn:aws:ec2: регион : аккаунт :пара ключей/*",
"arn:aws:ec2: регион : учетная запись : группа безопасности/*"
]
}
]
} Дополнительные примеры политик Amazon VPC
Дополнительные примеры политик IAM, связанных с Amazon VPC, можно найти в следующей документации:
Javascript отключен или недоступен в вашем браузере.
Чтобы использовать документацию Amazon Web Services, должен быть включен Javascript. Инструкции см. на страницах справки вашего браузера.
Обзор групп безопасности сети Azure
- Статья
- 10 минут на чтение
Группу безопасности сети Azure можно использовать для фильтрации сетевого трафика между ресурсами Azure в виртуальной сети Azure. Группа безопасности сети содержит правила безопасности, которые разрешают или запрещают входящий или исходящий сетевой трафик для нескольких типов ресурсов Azure. Для каждого правила можно указать источник и назначение, порт и протокол.
В этой статье описываются свойства правила группы безопасности сети, применяемые правила безопасности по умолчанию и свойства правила, которые можно изменить для создания расширенного правила безопасности.
Правила безопасности
Группа безопасности сети содержит ноль или любое количество правил в пределах подписки Azure. Каждое правило определяет следующие свойства:
| Свойство | Объяснение |
|---|---|
| Имя | Уникальное имя в группе безопасности сети. Имя может содержать до 80 символов. Он должен начинаться с символа слова и заканчиваться символом слова или символом «_». Имя может содержать символы слова или ‘.’, ‘-‘, ‘_’. |
| Приоритет | Число от 100 до 4096. Правила обрабатываются в порядке приоритета, при этом меньшие числа обрабатываются перед более высокими, поскольку меньшие числа имеют более высокий приоритет. Как только трафик соответствует правилу, обработка прекращается. В результате любые существующие правила с более низким приоритетом (более высокими номерами), которые имеют те же атрибуты, что и правила с более высоким приоритетом, не обрабатываются. |
| Источник или назначение | Любой или отдельный IP-адрес, блок бесклассовой междоменной маршрутизации (CIDR) (например, 10. 0.0.0/24), сервисный тег или группа безопасности приложения. Если вы указываете адрес для ресурса Azure, укажите частный IP-адрес, назначенный ресурсу. Группы безопасности сети обрабатываются после преобразования Azure общедоступного IP-адреса в частный IP-адрес для входящего трафика и перед преобразованием Azure частного IP-адреса в общедоступный IP-адрес для исходящего трафика. При указании диапазона, тега службы или группы безопасности приложения требуется меньше правил безопасности. Возможность указать в правиле несколько отдельных IP-адресов и диапазонов (нельзя указать несколько сервисных тегов или групп приложений) называется расширенными правилами безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, созданных с помощью модели развертывания Resource Manager. Вы не можете указать несколько IP-адресов и диапазонов IP-адресов в группах безопасности сети, созданных с помощью классической модели развертывания. |
| Протокол | TCP, UDP, ICMP, ESP, AH или любой другой. Протоколы ESP и AH в настоящее время недоступны на портале Azure, но их можно использовать с помощью шаблонов ARM. |
| Направление | Применяется ли правило к входящему или исходящему трафику. |
| Диапазон портов | Можно указать отдельный порт или диапазон портов. Например, вы можете указать 80 или 10000-10005. Указание диапазонов позволяет создавать меньше правил безопасности. Расширенные правила безопасности можно создавать только в группах безопасности сети, созданных с помощью модели развертывания Resource Manager. Вы не можете указать несколько портов или диапазонов портов в одном и том же правиле безопасности в группах безопасности сети, созданных с помощью классической модели развертывания. |
| Действие | Разрешить или запретить |
Правила безопасности оцениваются и применяются на основе информации из пяти кортежей (источник, порт источника, пункт назначения, порт назначения и протокол).
Вы не можете создать два правила безопасности с одинаковым приоритетом и направлением. Запись потока создается для существующих соединений. Связь разрешается или запрещается в зависимости от состояния соединения записи потока. Запись потока позволяет группе безопасности сети сохранять состояние. Если вы укажете правило безопасности для исходящего трафика, например, для любого адреса через порт 80, нет необходимости указывать правило безопасности для входящего трафика для ответа на исходящий трафик. Вам нужно указать правило безопасности для входящего трафика только в том случае, если связь инициируется извне. Обратное тоже верно. Если входящий трафик через порт разрешен, нет необходимости указывать правило безопасности для исходящего трафика, отвечающее на трафик через порт.
Существующие соединения не могут быть прерваны при удалении правила безопасности, разрешающего поток. Потоки трафика прерываются, когда соединение остановлено и трафик отсутствует в любом направлении в течение как минимум нескольких минут.
Изменение правил группы безопасности сети повлияет только на новые формируемые соединения. Когда создается новое правило или обновляется существующее правило в группе безопасности сети, оно будет применяться только к новым потокам и новым подключениям. Существующие соединения рабочего процесса не обновляются новыми правилами.
Количество правил безопасности, которые можно создать в группе безопасности сети, ограничено. Дополнительные сведения см. в разделе ограничения Azure.
Правила безопасности по умолчанию
Azure создает следующие правила по умолчанию в каждой созданной вами группе безопасности сети:
Входящий
AllowVNetInBound
| Приоритет | Источник | Исходные порты | Пункт назначения | Порты назначения | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65000 | Виртуальная сеть | 0-65535 | Виртуальная сеть | 0-65535 | Любой | Разрешить |
AllowAzureLoadBalancerInBound
| Приоритет | Источник | Исходные порты | Пункт назначения | Порты назначения | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65001 | Азурлоадбалансер | 0-65535 | 0. 0.0.0/0 | 0-65535 | Любой | Разрешить |
DenyAllInbound
| Приоритет | Источник | Исходные порты | Пункт назначения | Порты назначения | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Запретить |
Исходящие
AllowVnetOutBound
| Приоритет | Источник | Исходные порты | Пункт назначения | Порты назначения | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65000 | Виртуальная сеть | 0-65535 | Виртуальная сеть | 0-65535 | Любой | Разрешить |
AllowInternetOutBound
| Приоритет | Источник | Исходные порты | Пункт назначения | Порты назначения | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65001 | 0. 0.0.0/0 | 0-65535 | Интернет | 0-65535 | Любой | Разрешить |
Дениаллаутбаунд
| Приоритет | Источник | Исходные порты | Пункт назначения | Порты назначения | Протокол | Доступ |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Любой | Запретить |
В столбцах Source и Destination , VirtualNetwork , AzureLoadBalancer и Internet являются служебными тегами, а не IP-адресами. В столбце протокола Любой включает TCP, UDP и ICMP. При создании правила вы можете указать TCP, UDP, ICMP или Any. 0.0.0.0/0 в столбцах Source и Destination представляет все адреса. Такие клиенты, как портал Azure, Azure CLI или PowerShell, могут использовать * или any для этого выражения.
Вы не можете удалить правила по умолчанию, но можете переопределить их, создав правила с более высоким приоритетом.
Расширенные правила безопасности
Расширенные правила безопасности упрощают определение безопасности для виртуальных сетей, позволяя определять более крупные и сложные политики сетевой безопасности с меньшим количеством правил. Вы можете объединить несколько портов и несколько явных IP-адресов и диапазонов в одно понятное правило безопасности. Используйте расширенные правила в полях источника, назначения и порта правила. Чтобы упростить обслуживание определения правила безопасности, объедините расширенные правила безопасности с служебными тегами или группами безопасности приложений. Существуют ограничения на количество адресов, диапазонов и портов, которые можно указать в правиле. Дополнительные сведения см. в разделе ограничения Azure.
Теги службы
Тег службы представляет собой группу префиксов IP-адресов из данной службы Azure.
Это помогает свести к минимуму сложность частых обновлений правил сетевой безопасности.
Дополнительные сведения см. в разделе Теги службы Azure. Пример использования тега службы хранилища для ограничения доступа к сети см. в разделе Ограничение сетевого доступа к ресурсам PaaS.
Группы безопасности приложений
Группы безопасности приложений позволяют настраивать безопасность сети как естественное расширение структуры приложения, позволяя группировать виртуальные машины и определять политики безопасности сети на основе этих групп. Вы можете повторно использовать свою политику безопасности в масштабе без ручного обслуживания явных IP-адресов. Дополнительные сведения см. в разделе Группы безопасности приложений.
Рекомендации по платформе Azure
Виртуальный IP-адрес хост-узла : основные службы инфраструктуры, такие как DHCP, DNS, IMDS и мониторинг работоспособности, предоставляются через виртуализированные IP-адреса хоста 168.
63.129.16 и 169.254.169.254. Эти IP-адреса принадлежат Microsoft и являются единственными виртуальными IP-адресами, используемыми во всех регионах для этой цели. По умолчанию на эти службы не распространяются настроенные группы безопасности сети, если они не являются целевыми тегами службы, характерными для каждой службы. Чтобы переопределить эту базовую инфраструктурную связь, вы можете создать правило безопасности для запрета трафика, используя следующие теги службы в правилах группы безопасности сети: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Узнайте, как диагностировать фильтрацию сетевого трафика и диагностировать сетевую маршрутизацию.Лицензирование (служба управления ключами) : Образы Windows, работающие на виртуальных машинах, должны быть лицензированы. Для обеспечения лицензирования запрос отправляется на хост-серверы службы управления ключами, которые обрабатывают такие запросы. Запрос выполняется через порт 1688. Для развертываний, использующих конфигурацию маршрута по умолчанию 0.
0.0.0/0, это правило платформы будет отключено.Виртуальные машины в пулах с балансировкой нагрузки : Исходный порт и диапазон адресов относятся к исходному компьютеру, а не к балансировщику нагрузки. Порт назначения и диапазон адресов предназначены для конечного компьютера, а не для балансировщика нагрузки.
Экземпляры службы Azure : экземпляры нескольких служб Azure, таких как HDInsight, Application Service Environments и Virtual Machine Scale Sets, развернуты в подсетях виртуальной сети. Полный список служб, которые можно развернуть в виртуальных сетях, см. в разделе Виртуальная сеть для служб Azure. Прежде чем применять группу безопасности сети к подсети, ознакомьтесь с требованиями к портам для каждой службы. Если вы запретите порты, необходимые службе, служба не будет работать должным образом.
Отправка исходящей электронной почты : Microsoft рекомендует использовать службы ретрансляции SMTP с проверкой подлинности (обычно подключаемые через TCP-порт 587, но часто и другие) для отправки электронной почты с виртуальных машин Azure.
Службы ретрансляции SMTP специализируются на репутации отправителя, чтобы свести к минимуму вероятность того, что сторонние поставщики электронной почты отклонят сообщения. Такие службы ретрансляции SMTP включают, помимо прочего, Exchange Online Protection и SendGrid. Использование служб ретрансляции SMTP никоим образом не ограничено в Azure, независимо от типа вашей подписки.Если вы создали подписку Azure до 15 ноября 2017 г., помимо возможности использовать службы ретрансляции SMTP, вы можете отправлять электронную почту напрямую через TCP-порт 25. Если вы создали подписку после 15 ноября 2017 г., возможность отправлять электронную почту напрямую через порт 25. Поведение исходящей связи через порт 25 зависит от типа вашей подписки следующим образом:
Соглашение Enterprise : для виртуальных машин, развернутых в соответствии со стандартными подписками Соглашения Enterprise, исходящие SMTP-подключения через TCP-порт 25 не будут блокироваться.
Однако нет гарантии, что внешние домены будут принимать входящие электронные письма от виртуальных машин. Если ваши электронные письма отклоняются или фильтруются внешними доменами, вам следует связаться с поставщиками услуг электронной почты внешних доменов для решения проблем. Эти проблемы не покрываются поддержкой Azure.Для подписок Enterprise Dev/Test порт 25 заблокирован по умолчанию. Этот блок можно снять. Чтобы запросить снятие блокировки, перейдите к разделу Не удается отправить электронную почту (SMTP-порт 25) на странице параметров Диагностика и решение для ресурса виртуальной сети Azure на портале Azure и запустите диагностику. Это автоматически освобождает квалифицированные корпоративные подписки для разработки и тестирования.
После исключения подписки из этой блокировки, а также остановки и перезапуска виртуальных машин все виртуальные машины в этой подписке освобождаются в будущем. Исключение применяется только к запрошенной подписке и только к трафику виртуальных машин, направляемому непосредственно в Интернет.
Оплата по мере использования: Исходящий порт 25 заблокирован для всех ресурсов. Запросы на снятие ограничения не могут быть отправлены, поскольку запросы не выполняются. Если вам нужно отправить электронную почту с вашей виртуальной машины, вы должны использовать службу ретрансляции SMTP.
MSDN, Azure Pass, Azure in Open, Education, BizSpark и бесплатная пробная версия : исходящий порт 25 заблокирован для всех ресурсов. Запросы на снятие ограничения не могут быть отправлены, поскольку запросы не выполняются. Если вам нужно отправить электронную почту с вашей виртуальной машины, вы должны использовать службу ретрансляции SMTP.
Поставщик облачных услуг : Исходящий порт 25 заблокирован для всех ресурсов. Запросы на снятие ограничения не могут быть отправлены, поскольку запросы не выполняются. Если вам нужно отправить электронную почту с вашей виртуальной машины, вы должны использовать службу ретрансляции SMTP.
63.129.16 и 169.254.169.254. Эти IP-адреса принадлежат Microsoft и являются единственными виртуальными IP-адресами, используемыми во всех регионах для этой цели. По умолчанию на эти службы не распространяются настроенные группы безопасности сети, если они не являются целевыми тегами службы, характерными для каждой службы. Чтобы переопределить эту базовую инфраструктурную связь, вы можете создать правило безопасности для запрета трафика, используя следующие теги службы в правилах группы безопасности сети: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Узнайте, как диагностировать фильтрацию сетевого трафика и диагностировать сетевую маршрутизацию.
0.0.0/0, это правило платформы будет отключено.
Службы ретрансляции SMTP специализируются на репутации отправителя, чтобы свести к минимуму вероятность того, что сторонние поставщики электронной почты отклонят сообщения. Такие службы ретрансляции SMTP включают, помимо прочего, Exchange Online Protection и SendGrid. Использование служб ретрансляции SMTP никоим образом не ограничено в Azure, независимо от типа вашей подписки.
Однако нет гарантии, что внешние домены будут принимать входящие электронные письма от виртуальных машин. Если ваши электронные письма отклоняются или фильтруются внешними доменами, вам следует связаться с поставщиками услуг электронной почты внешних доменов для решения проблем. Эти проблемы не покрываются поддержкой Azure.
