ဒီနေ့ဆွေးနွေးချင်တဲ့အကြောင်းလေးကတော့ Network Security Group (NSG) in Microsoft Azure အကြောင်းလေးဘဲဖြစ်ပါတယ် NSG ရဲ့ အဓိကလုပ်ဆောင်ချက်တွေက layer 7 firewall ရဲ့function တွေနဲ့အနည်းငယ်တူပါတယ် ဘာကြောင့် layer 7 firewall နဲ့ ခပ်ဆင်ဆင်တူသလဲပြောရလဲဆိုရင် NSG က အဓိက inbound outbound traffic တွေကိုအဓိက ထိန်းချုပ်ပေးလို့ဘဲဖြစ်ပါတယ် Network Security Group (NSG)မှာအဓိက security rules တွေပါဝင်ပြီးတော့ ဘယ် connection တွေ ဘယ် port တွေကို allow လုပ်မှာလဲ deny လုပ်မှာလဲဆိုပြီး သူ့မှာပါဝင်တဲ့security rule တွေနဲ့တိုက်စစ်ပြီး match ဖြစ်ခဲ့မယ်ဆိုရင်တော့ဒီ connection ကို allow လုပ်ပြီး သူ့ ruleနဲ့မညီခဲ့ရင်တော့ connection ကို drop လုပ်ချမှာဘဲဖြစ်ပါတယ် အဲဒါဆိုရင် NSG ကိုသံုးတော့မယ်ဆိုရင် ကျွန်တော်တို့ create လုပ်ထားတဲ့subnet မှာထားပြီးသံုးနိုင်သလို virtual machine ရဲ့ NIC Level မှာလည်းသံုးစွဲနိုင်ပါတယ်
Virtual network level မှာထားပြီးအသံုးပြုတော့မယ်ဆိုရင်တော့ ပိုပြီးကောင်းမယ်လို့ထင်ပါတယ်ဘာလို့လဲဆိုတော့ Network Security Group (NSG)ကိုကိုယ်create လုပ်ထားတဲ့ virtual network အရှေ့မှာထားပြီးသံုးစွဲခြင်းကြောင့်ကိုယ့်subnetထဲမှာရှိတဲ့ virtual machinesတွေအားလံုးရဲ့ inbound နဲ့ outbound connections တွေကိုတစ်ခါတည်းတစ်နေရာတည်းထိန်းချုပ်ထားနိုင်မှာဘဲဖြစ်ပါတယ် ဒါပေမဲ့ တစ်ချို့ကြတော့လည်း subnet အရှေ့မှာNSG ကိုမထားပဲ virtual machine ရဲ့ NIC အရှေ့မှာထားပြီးသံုးစွဲကြပါတယ် တစ်ချို့ကလည်း virtual network အရှေ့မှာရော အဲဒီvirtual network ထဲမှာရှိတဲ့ virtual machines တွေရဲ့ NIC တစ်ခုချင်းဆီရဲ့အရှေ့မှာထားပြီးသံုးစွဲကြပါတယ်
NSG အကြောင်းကိုနည်းနည်းလောက်သဘောပေါက်လောက်ပြီးထင်ပါတယ် အဒါဆိုရင်တော့ NSG ရဲ့ security rules တွေအကြောင်းကိုအသေးစိပ်ဆက်လက်ဆွေးနွေးသွားမှာဘဲဖြစ်ပါတယ် Network Security Group (NSG) မှာရှိတဲ့ security rules တွေက azure virtual networ နဲ့ virtual machinesတွေရဲ့ NIC တွေထဲကိုဖြတ်ဝင်လာမယ့် inbound network traffic တွေ ဒါမှမဟုတ် virtual machines တွေကနေ တခြား network ထဲကိုသွားမယ့် outbound traffic တွေကို သူ့အထဲမှာရေးထားတဲ့security rulesတွေနဲ့တိုက်စစ်ပြီး traffic တွေကိုallow လုပ်မလား deny လုပ်မလားဆံုးဖြတ်ပေးမှာဘဲဖြစ်ပါတယ် ကျွန်တော်တို့ network security group (NSG)တစ်ခုကို ပထဆံုး createစတင်လုပ်လိုက်ပြီးဆိုတာနဲ့ သူ့အထဲမှာdefault security rules တွေပါလာမှာပဲဖြစ်တယ် အဲဒီ default rules တွေအပြင် ကျွန်တော်တို့သံုးချင်တဲ့ rule အသစ် ဥပမာအနေနဲ့ ဘယ်protocol ကိုသံုးမှာလဲTCP လားUDPလား ဘယ်port number တွေကို allow လုပ်မှာလဲ port 80 လား SSH Port 22 လား ဝင်လာတဲ့ traffic တွေကို ဘယ် destination network ကိုပေး သွားမှာလဲတွေထပ်မံcreate လုပ်ပြီးသံုးစွဲနိုင်ပါတယ် ပြီးရင် ကိုယ် create လုပ်လိုက်တဲ့ rule ကို အရင်ဆံုး အလုပ်လုပ်နိုင်ရန် higher priority ပေးပြီး အသံုးပြုနိုင်ပါတယ် အဓိက သတိထားရမဲ့အချက်ကတော့ NSG မှာပါလာတဲ့ default rulesတွေကို delete လုပ်ပိုင်ခွင့်မရှိပါဘူး အဲဒီdefault security rules တွေကိုမသံုးချင်ရင်တော့ ကိုယ်အသစ်create လုပ်လိုက်တဲ့ new rules တွေကိုdefault rules တွေထက်မြင့်တဲ့ higher priority တန်ဖိုးတွေပေးပြီး ကိိုယ် create လုပ်လိုက်တဲ့ rule အသစ်တွေကို အရင်ဆံုး သံုးစွဲနိုင်ပါတယ် ဥပမာဗျာ သူ့ရဲ့ default priority value က 1000 ဆိုရင် ကိုယ့် rule အသစ်ကို priority value 1001 ပေးပြီး default rule ကို override လုပ်သွားနိုင်ပါတယ်
Network security group မှာ inbound rules နဲ့outbound rule ဆိုပြီးနှစ်မျိုးရှိပါတယ် အဲတာဆိုရင် ရှေ့မှာပြောထားတဲ့အတိုင်း inbound rules မှာပါoင်တဲ့ default rules တွေကဘာတွေလဲဆိုပြီးနည်းနည်းလောက်မိတ်ဆက်ပေးပါရစေ အောက်ကpicture ထဲမှာ default rules တွေကိုဖော်ပြထားပါတယ် အောက်ကအပံုနဲ့တွဲပြီးဖတ်ပေးပါ
အဲဒီ picture အရ default inbound rules တွေရဲ့ priority values တွေက 65000 ကနေပြီးတော့ 65500တွေအထိရှိပါတယ် အဲဒီ priority values တွေအရ traffic တစ်ခုကဘယ် virtual network ကဘဲလာလာ ဘယ် protocol ဘယ် port ကိုသံုးပြီးတော့ ဘယ် destination virtual network ဆီပဲ သွားသွား action ကတော့ allow လုပ်မှာဘဲဖြစ်တယ်
ဒုတိယတစ်ခုလည်း traffic sourceက azure load balancer ကနေလာရင် ဘယ် protocol ကိုပဲသံုးသံုး ဘယ် port number ကိုဘဲသံုးသံုး ဘယ် destination ကို ပဲသွားသွား action က allow လုပ်မှာဘဲဖြစ်ပါတယ် နောက်ဆံုး rule ကတော့ ဝင်လာသမျှ traffic တွေ အကုန်လံုး deny လုပ်ချမှာဘဲဖြစ်ပါတယ် အဲဒါဆိုရင် ကိုယ့် organization ထဲမှာ webserverတစ်ခုရှိတယ်ဆိုပါတော့ ကိုယ့် webserver ကို အပြင်clients တွေကလှမ်းသံုးချင်ရန်အတွက် port number တွေ က80 မဟုတ်ရင် 8080 ကို ဖွင့်ပေးမှ NSG က webserver ဆီ ဝင်လာတဲ့ traffics တွေကိုအရောက်ပို့ပေးမှာဘဲ ဖြစ်ပါတယ် အဲလိုပို့ပေးဖို့ရန် NSG inbound rule အသစ်ရေးပေးရမှာဘဲဖြစ်ပါတယ် ဘယ်လိုရေးမလဲဆိုတော့ default priority values တွေဖြစ်တဲ့ 65000 နဲ့ 65500 ကြားက priority value တစ်ခုခု သံုးပြီးရေးနိုင်ပါတယ် inbound security rule အသစ်တစ်ခုဉပမာရေးပြပါ့မယ် priority 65001 , name= for web traffic,source=any,destination= webserver IP address,protocol=tcp,port=80,action=allow
အဓိပါယ်က webserver ဆီကို ဘယ် traffic ကပဲလာလာ port number 80 ကိုသံုးပြီး protocol. TCP နဲ့ ဝင်လာမဲ့ connection မှန်သမျှကို NSG က webserver ဆီ forward လုပ်ပေးမှာဘဲဖြစ်ပါတယ်
Default inbound rules တွေအကြောင်းကတော့ဒီလောက်ပဲဆွေးနွေးချင်ပါတယ်
out bound default rules တွေကတော့ azure virtual network ထဲမှာရှိတဲ့ app services တွေ virtual machines တွေနဲ့ တစ်ခြား resources တွေ က တစ်ခြားexternal network ကိုသွားချင်တယ် access လှမ်းလုပ်ချင်တယ်ဆိုရင် NSG ရဲ့ outbound rules တွေက အဓိကလုပ်ဆောင်ပေးပါတယ် default outbound rule တွေကတော့အောက်ကpictureမှာပြထားတဲ့အတိုင်းဘဲဖြစ်ပါတယ် သူ့rule တွေအလုပ်လုပ်ပံုကလည်းအပေါက inbound rule အတိုင်းဘဲ priority value အလိုက် တိုက်စစ်ပြီး ဘယ် resources တွေကို allow လုပ်မှာလဲ deny လုပ်မှာလဲ ဆံုးဖြတ်သွားမှာဘဲဖြစ်ပါတယ်
Network security group အကြောင်းကို ဆွေးနွေးချင်ရန်အောက်မှာ oင်ရောက်ဆွေးနွေးနိုင်ပါတယ်
လေးစားစွာဖြင့်
Author by
Phone Myint Myat Zaw
9.06.2020
8:50PM
Try with other languages
We want to discuss today about the network security group (Nsg) in Microsoft Azure, the main activity of nsg is a little similar to the function of the layer 7 Firewall, why the nsg is the main inbound outbound traffic, the network security group (Nsg) includes the main security rules and which connection. If you want to allow which ports to allow to allow and match against the security rule that includes it, then you will drop the connection if it doesn't comply with its rule, then you will drop the connection. If you're going to use nsg, we can use it on the subnet that we created or at the nic level of virtual machine.
Since Virtual Network is better, it's been a great sound that has been used in front of virtual network and outbound connections in front of them, we can control the inbound and outbound connections in front of subnet, but some of them don't putnsg in front of the nic of the virtual machine, some are in front of the virtual network and in front of the virtual machines in front of that virtual network, in front of that virtual network.
If we think about nsg a little bit, we will continue to talk about nsg's security group (Nsg), the security rules in the security group (Nsg) will continue to discuss the inbound network traffic or virtual machines, which will come through the inbound network traffic rules or virtual machines, which will go through other network, to another network, we will judge or deny whether we will judge traffic rules or deny or deny or deny. As we started creating a network security group (Nsg), there will be adefault security rules in it. Besides those default rules, we want to use the new rule, for example, whichprotocol are we going to allow, or whichport numbers will we allow port 80 or ssh port 22, which destination network will be given to the traffic that will be given to. If you don't want to be able to do it, you can create higher priority and make higher priority, the main notice is that you don't have the right to delete the default rules that come in nsg. If you don't want to understand the new rules that you make new rules higher priority value than thedefult rules, you can first use the new rules that you create higher priority value. For example, his default priority value is 1000 You can override default rule by giving your new rule priority value 1001
There are two types of default rules inbound group inbound rules, so let us introduce a little bit of the default rules that include inbound rules, as they say before. Read the default rules in the picture below to read it with the default inbound rules below. The priority values of the default inbound rules are from 65000 to 65500 to 65500 which traffic is virtual. The network comes out of any protocol port and goes to any destination virtual network, action will allow.
If a traffic source azure comes from a second load balancer, any port number will be used by any protocol number, action will allow any destination, and the next rule will allow all traffic that comes in, so that your organization has a weberver in your organization, the port number is 80 to offer your weberver from outsideclients. If not, nsg will only deliver traffics that enters to weberver, nsg inbound rule to send it so, you need to update nsg inbound rule to send it. How to write, you can write a new priority value between 65000 and 65500, which are default priority values will show a new inbound security rule priority 65001, name= for web traffic , source=any, Destination= Weberver IP address, protocol=tcp, port= 80, action=allow
That means, which traffic comes to weberver, to use port number 80 and protocol. Nsg will forward any connection that comes in with TCP.
This is how inbound rules we want to discuss the default bound rules out of the default bound rules, and others want to go to anotherexternal network, if you want to access, the outbound rules of nsg are mainly the default outbound rules, the default outbound rule is as shown in the picture below, itsrule works according to inbound rule. If you allow resources to deny the resources, it will be cut off.
You can log in below to discuss network security group
With respect
Author by
Phone Myint Myat Zaw
9.06.2020
8:50PM
