SicherheitsgruppenSecurity groups

Sie können Netzwerkdatenverkehr von und zu Azure-Ressourcen in einem virtuellen Azure-Netzwerk mithilfe einer Netzwerksicherheitsgruppe filtern.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen oder ausgehenden Netzwerkdatenverkehr von diesen zulassen oder verweigern.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Weitere Informationen über die Azure-Ressourcen, die in einem virtuellen Netzwerk bereitgestellt werden können und denen Netzwerksicherheitsgruppen zugeordnet sind, finden Sie unter Integration virtueller Netzwerke für Azure-Dienste.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Für jede Regel können Sie die Quelle, das Ziel, den Port und das Protokoll angeben.For each rule, you can specify source and destination, port, and protocol.

In diesem Artikel werden Konzepte für Netzwerksicherheitsgruppen erklärt, damit Sie diese effektiv verwenden können.This article explains network security group concepts, to help you use them effectively. Wenn Sie noch nie eine Netzwerksicherheitsgruppe erstellt haben, gehen Sie dieses kurze Tutorial durch, um sich mit dem Erstellen von Netzwerksicherheitsgruppen vertraut zu machen.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Wenn Sie sich mit Netzwerksicherheitsgruppen auskennen und diese verwalten müssen, finden Sie unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe weitere Informationen.If you're familiar with network security groups and need to manage them, see Manage a network security group. Wenn Kommunikationsschwierigkeiten auftreten und Sie Probleme mit Netzwerksicherheitsgruppen beheben müssen, finden Sie unter Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers weitere Informationen.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Sie können Netzwerksicherheitsgruppen-Flussprotokolle zum Analysieren des Netzwerkdatenverkehrs zu und von Ressourcen verwenden, denen eine Netzwerksicherheitsgruppe zugeordnet ist.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

SicherheitsregelnSecurity rules

Eine Netzwerksicherheitsgruppe kann – innerhalb der Grenzwerte des Azure-Abonnements – null oder mehr Regeln enthalten.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Für jede Regel werden die folgenden Eigenschaften angegeben:Each rule specifies the following properties:

EigenschaftProperty ErklärungExplanation
NAMEName Ein eindeutiger Name in der Netzwerksicherheitsgruppe.A unique name within the network security group.
PrioritätPriority Eine Zahl zwischen 100 und 4.096.A number between 100 and 4096. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet. Regeln mit niedrigeren Zahlen werden vor Regeln mit höheren Zahlen verarbeitet, weil die Priorität für niedrigere Zahlen höher ist.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Nachdem sich für den Datenverkehr eine Übereinstimmung mit einer Regel ergibt, wird die Verarbeitung angehalten.Once traffic matches a rule, processing stops. Daher werden alle Regeln mit niedrigerer Priorität (höherer Zahl), die über die gleichen Attribute wie Regeln mit höheren Prioritäten verfügen, nicht verarbeitet.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Quelle oder ZielSource or destination Beliebiges Element oder eine einzelne IP-Adresse, ein CIDR-Block (klassenloses domänenübergreifendes Routing, z.B. 10.0.0.0/24), ein Diensttag oder eine Anwendungssicherheitsgruppe.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Wenn Sie eine Adresse für eine Azure-Ressource angeben, geben Sie die private IP-Adresse an, die der Ressource zugewiesen ist.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Netzwerksicherheitsgruppen werden verarbeitet, nachdem Azure eine öffentliche IP-Adresse in eine private IP-Adresse für eingehenden Datenverkehr übersetzt hat und bevor Azure eine private IP-Adresse in eine öffentliche IP-Adresse für ausgehenden Datenverkehr übersetzt.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Erfahren Sie mehr über Azure-IP-Adressen.Learn more about Azure IP addresses. Durch das Angeben eines Bereichs, eines Diensttags oder einer Anwendungssicherheitsgruppe haben Sie die Möglichkeit, weniger Sicherheitsregeln zu erstellen.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. Die Option zum Angeben mehrerer einzelner IP-Adressen und Bereiche (die Angabe mehrerer Diensttags oder Anwendungsgruppen ist nicht zulässig) in einer Regel wird als Ergänzte Sicherheitsregeln bezeichnet.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Ergänzte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die mit dem Resource Manager-Bereitstellungsmodell erstellt wurden.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Es ist nicht möglich, mehrere IP-Adressen und IP-Adressbereiche in Netzwerksicherheitsgruppen anzugeben, die mit dem klassischen Bereitstellungsmodell erstellt wurden.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Erfahren Sie mehr über Azure-Bereitstellungsmodelle.Learn more about Azure deployment models.
ProtocolProtocol TCP, UDP oder „Any“ (Alle), also (aber nicht nur) z.B. TCP, UDP und ICMP.TCP, UDP, or Any, which includes (but not limited to) TCP, UDP, and ICMP. Das Angeben von ICMP allein ist unzulässig. Wenn Sie ICMP benötigen, müssen Sie also „Any“ (Alle) verwenden.You cannot specify ICMP alone, so if you require ICMP, use Any.
DirectionDirection Gibt an, ob die Regel für ein- oder ausgehenden Datenverkehr gilt.Whether the rule applies to inbound, or outbound traffic.
PortbereichPort range Sie können einen einzelnen Port oder einen Bereich mit Ports angeben.You can specify an individual or range of ports. Mögliche Angaben sind beispielsweise „80“ oder „10.000 - 10.005“.For example, you could specify 80 or 10000-10005. Das Angeben von Bereichen ermöglicht Ihnen die Erstellung von weniger Sicherheitsregeln.Specifying ranges enables you to create fewer security rules. Ergänzte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die mit dem Resource Manager-Bereitstellungsmodell erstellt wurden.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. In Netzwerksicherheitsgruppen, die mit dem klassischen Bereitstellungsmodell erstellt wurden, können Sie in derselben Sicherheitsregel nicht mehrere Ports oder Portbereiche angeben.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
AktionAction Zulassen oder VerweigernAllow or deny

Netzwerksicherheitsgruppen-Sicherheitsregeln werden nach Priorität anhand der 5-Tupel-Informationen (Quelle, Quellport, Ziel, Zielport und Protokoll) ausgewertet, um den Datenverkehr zuzulassen oder zu verweigern.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Für vorhandene Verbindungen wird ein Flussdatensatz erstellt.A flow record is created for existing connections. Die Kommunikation wird basierend auf dem Verbindungszustand der Flussdatensätze zugelassen oder verweigert.Communication is allowed or denied based on the connection state of the flow record. Der Flussdatensatz ermöglicht es, dass eine Netzwerksicherheitsgruppe zustandsbehaftet ist.The flow record allows a network security group to be stateful. Wenn Sie beispielsweise eine Sicherheitsregel für Datenverkehr in ausgehender Richtung an eine beliebige Adresse über Port 80 angeben, ist es nicht erforderlich, für die Antwort auf den ausgehenden Datenverkehr eine Sicherheitsregel für Datenverkehr in eingehender Richtung anzugeben.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Sie müssen nur dann eine Sicherheitsregel für Datenverkehr in eingehender Richtung angeben, wenn die Kommunikation extern initiiert wird.You only need to specify an inbound security rule if communication is initiated externally. Dies gilt auch für den umgekehrten Fall.The opposite is also true. Wenn eingehender Datenverkehr über einen Port zugelassen wird, ist es nicht erforderlich, für die Beantwortung des Datenverkehrs über den Port eine Sicherheitsregel für Datenverkehr in ausgehender Richtung anzugeben.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. Vorhandene Verbindungen können nicht unterbrochen werden, wenn Sie eine Sicherheitsregel entfernen, die den Datenfluss ermöglicht hat.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Datenverkehrsflüsse werden unterbrochen, wenn die Verbindungen beendet wurden und in beide Richtungen mindestens einige Minuten lang kein Datenverkehr besteht.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Es gibt Beschränkungen für die Anzahl von Sicherheitsregeln, die Sie in einer Netzwerksicherheitsgruppe erstellen können.There are limits to the number of security rules you can create in a network security group. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.For details, see Azure limits.

Ergänzte SicherheitsregelnAugmented security rules

Mit ergänzten Sicherheitsregeln wird die Sicherheitsdefinition für virtuelle Netzwerke vereinfacht, da Sie umfangreichere und komplexe Netzwerksicherheitsregeln mit weniger Regeln definieren können.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Sie können mehrere Ports und mehrere explizite IP-Adressen und Bereiche zu einer einzelnen Sicherheitsregel zusammenfassen, die leicht verständlich ist.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Verwenden Sie ergänzte Regeln in den Feldern für die Quelle, das Ziel und den Port einer Regel.Use augmented rules in the source, destination, and port fields of a rule. Kombinieren Sie ergänzte Sicherheitsregeln mit Diensttags oder Anwendungssicherheitsgruppen, um die Wartung Ihrer Sicherheitsregeldefinition zu vereinfachen.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Es gibt Beschränkungen für die Anzahl von Adressen, Bereichen und Ports, die Sie in einer Regel angeben können.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.For details, see Azure limits.

DiensttagsService tags

Ein Diensttag steht für eine Gruppe von IP-Adressen und hat die Aufgabe, bei der Erstellung von Sicherheitsregeln die Komplexität zu verringern.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Sie können kein eigenes Diensttag erstellen und auch nicht angeben, welche IP-Adressen in einem Tag enthalten sind.You cannot create your own service tag, nor specify which IP addresses are included within a tag. Microsoft verwaltet die Adresspräfixe, die mit dem Diensttag abgedeckt werden, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change. Sie können Diensttags anstelle von spezifischen IP-Adressen nutzen, wenn Sie Sicherheitsregeln erstellen.You can use service tags in place of specific IP addresses when creating security rules.

Die folgenden Diensttags können in Netzwerksicherheitsgruppen-Regeln verwendet werden.The following service tags are available for use in network security groups rules. Diensttags mit Sternchen am Ende (d. h. „AzureCloud*“) können auch in Azure Firewall-Netzwerkregeln verwendet werden.Service tags with asterisk at the end (i.e. AzureCloud*) can also be used in Azure Firewall network rules.

  • VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK für das klassische Bereitstellungsmodell): Dieses Tag enthält den VM-Adressraum (alle für das virtuelle Netzwerk definierten CIDR-Bereiche), alle verbundenen lokalen Adressräume und per Peering verknüpfte virtuelle Netzwerke oder virtuelle Netzwerke, die mit einem Gateway des virtuellen Netzwerks und Adresspräfixen verbunden sind, die für benutzerdefinierte Routen verwendet werden.VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (all CIDR ranges defined for the virtual network), all connected on-premises address spaces, peered virtual networks or virtual network connected to a virtual network gateway and address prefixes used on user defined routes. Denken Sie daran, dass dieses Tag die Standardroute enthalten kann.Be aware that this tag may contain default route.
  • AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER für das klassische Bereitstellungsmodell): Dieses Tag gibt den Lastenausgleich der Azure-Infrastruktur an.AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure's infrastructure load balancer. Das Tag wird in eine virtuelle IP-Adresse des Hosts (168.63.129.16) umgewandelt, die als Ausgangspunkt für die Integritätstests von Azure fungiert.The tag translates to the Virtual IP address of the host (168.63.129.16) where Azure's health probes originate. Sie können diese Regel außer Kraft setzen, wenn Sie den Lastenausgleich von Azure nicht verwenden.If you are not using the Azure load balancer, you can override this rule.
  • Internet (Resource Manager) (INTERNET für das klassische Bereitstellungsmodell): Dieses Tag gibt den IP-Adressraum an, der außerhalb des virtuellen Netzwerks liegt und über das öffentliche Internet erreichbar ist.Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by the public Internet. Der Adressbereich schließt den Azure-eigenen öffentlichen IP-Adressraum ein.The address range includes the Azure owned public IP address space.
  • AzureCloud* (nur Resource Manager): Dieses Tag gibt den IP-Adressraum für Azure an, einschließlich aller öffentlichen IP-Adressen für das Datencenter.AzureCloud* (Resource Manager only): This tag denotes the IP address space for Azure including all datacenter public IP addresses. Wenn Sie AzureCloud als Wert angeben, wird der Datenverkehr für öffentliche Azure-IP-Adressen zugelassen oder verweigert.If you specify AzureCloud for the value, traffic is allowed or denied to Azure public IP addresses. Falls Sie den Zugriff auf AzureCloud nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AzureCloud.[Name der Region].If you only want to allow access to AzureCloud in a specific region, you can specify the region in the following format AzureCloud.[region name]. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • AzureTrafficManager* (nur Resource Manager): Dieses Tag gibt den IP-Adressraum für die Test-IP-Adressen des Azure Traffic Manager an.AzureTrafficManager* (Resource Manager only): This tag denotes the IP address space for the Azure Traffic Manager probe IP addresses. Weitere Informationen zu Test-IP-Adressen von Traffic Manager finden Sie unter Häufig gestellte Fragen (FAQ) zu Traffic Manager.More information on Traffic Manager probe IP addresses can be found in the Azure Traffic Manager FAQ. Dieses Tag wird für eingehende Sicherheitsregeln empfohlen.This tag is recommended for inbound security rule.
  • Storage* (nur Resource Manager): Dieses Tag gibt den IP-Adressraum für den Azure Storage-Dienst an.Storage* (Resource Manager only): This tag denotes the IP address space for the Azure Storage service. Wenn Sie Storage als Wert angeben, wird der Datenverkehr für den Speicher zugelassen oder verweigert.If you specify Storage for the value, traffic is allowed or denied to storage. Falls Sie den Zugriff auf Speicher nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: Speicher.[Name der Region].If you only want to allow access to storage in a specific region, you can specify the region in the following format Storage.[region name]. Das Tag steht für den Dienst, aber nicht für bestimmte Instanzen des Diensts.The tag represents the service, but not specific instances of the service. Beispielsweise steht das Tag für den Azure Storage-Dienst, aber nicht für ein bestimmtes Azure Storage-Konto.For example, the tag represents the Azure Storage service, but not a specific Azure Storage account. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • Sql* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe der Azure SQL-Datenbank-, Azure Database for MySQL-, Azure Database for PostgreSQL- und Azure SQL Data Warehouse-Dienste an.Sql* (Resource Manager only): This tag denotes the address prefixes of the Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, and Azure SQL Data Warehouse services. Wenn Sie Sql als Wert angeben, wird der Datenverkehr für Sql zugelassen oder verweigert.If you specify Sql for the value, traffic is allowed or denied to Sql. Falls Sie den Zugriff auf Sql nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: Sql.[Name der Region].If you only want to allow access to Sql in a specific region, you can specify the region in the following format Sql.[region name]. Das Tag steht für den Dienst, aber nicht für bestimmte Instanzen des Diensts.The tag represents the service, but not specific instances of the service. Beispielsweise steht das Tag für den Azure SQL-Datenbank-Dienst, aber nicht für eine bestimmte SQL-Datenbank oder einen bestimmten SQL-Server.For example, the tag represents the Azure SQL Database service, but not a specific SQL database or server. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • AzureCosmosDB* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Azure Cosmos DB-Diensts an.AzureCosmosDB* (Resource Manager only): This tag denotes the address prefixes of the Azure Cosmos Database service. Wenn Sie AzureCosmosDB als Wert angeben, wird der Datenverkehr für AzureCosmosDB zugelassen oder verweigert.If you specify AzureCosmosDB for the value, traffic is allowed or denied to AzureCosmosDB. Falls Sie den Zugriff auf AzureCosmosDB nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AzureCosmosDB.[Name der Region].If you only want to allow access to AzureCosmosDB in a specific region, you can specify the region in the following format AzureCosmosDB.[region name]. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • AzureKeyVault* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Azure Key Vault-Diensts an.AzureKeyVault* (Resource Manager only): This tag denotes the address prefixes of the Azure KeyVault service. Wenn Sie AzureKeyVault als Wert angeben, wird der Datenverkehr für AzureKeyVault zugelassen oder verweigert.If you specify AzureKeyVault for the value, traffic is allowed or denied to AzureKeyVault. Falls Sie den Zugriff auf AzureKeyVault nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AzureKeyVault.[Name der Region].If you only want to allow access to AzureKeyVault in a specific region, you can specify the region in the following format AzureKeyVault.[region name]. Dieses Tag weist eine Abhängigkeit vom Tag AzureActiveDirectory auf.This tag has dependency on the AzureActiveDirectory tag. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • EventHub* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Azure Event Hub-Diensts an.EventHub* (Resource Manager only): This tag denotes the address prefixes of the Azure EventHub service. Wenn Sie EventHub als Wert angeben, wird der Datenverkehr für EventHub zugelassen oder verweigert.If you specify EventHub for the value, traffic is allowed or denied to EventHub. Falls Sie den Zugriff auf EventHub nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: EventHub.[Name der Region].If you only want to allow access to EventHub in a specific region, you can specify the region in the following format EventHub.[region name]. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • ServiceBus* (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des ServiceBus-Diensts von Azure bei Verwendung der Premium-Dienstebene angegeben.ServiceBus* (Resource Manager only): This tag denotes the address prefixes of the Azure ServiceBus service using the Premium service tier. Wenn Sie ServiceBus als Wert angeben, wird der Datenverkehr für ServiceBus zugelassen oder verweigert.If you specify ServiceBus for the value, traffic is allowed or denied to ServiceBus. Falls Sie den Zugriff auf ServiceBus nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: ServiceBus.[Name der Region].If you only want to allow access to ServiceBus in a specific region, you can specify the region in the following format ServiceBus.[region name]. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • MicrosoftContainerRegistry* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Microsoft Container Registry-Diensts an.MicrosoftContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Microsoft Container Registry service. Wenn Sie MicrosoftContainerRegistry als Wert angeben, wird der Datenverkehr für MicrosoftContainerRegistry zugelassen oder verweigert.If you specify MicrosoftContainerRegistry for the value, traffic is allowed or denied to MicrosoftContainerRegistry. Falls Sie den Zugriff auf MicrosoftContainerRegistry nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: MicrosoftContainerRegistry.[Name der Region].If you only want to allow access to MicrosoftContainerRegistry in a specific region, you can specify the region in the following format MicrosoftContainerRegistry.[region name]. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • AzureContainerRegistry* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Azure Container Registry-Diensts an.AzureContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Azure Container Registry service. Wenn Sie AzureContainerRegistry als Wert angeben, wird der Datenverkehr für AzureContainerRegistry zugelassen oder verweigert.If you specify AzureContainerRegistry for the value, traffic is allowed or denied to AzureContainerRegistry. Falls Sie den Zugriff auf AzureContainerRegistry nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AzureContainerRegistry.[Name der Region].If you only want to allow access to AzureContainerRegistry in a specific region, you can specify the region in the following format AzureContainerRegistry.[region name]. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • AppService* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Azure App Service-Diensts an.AppService* (Resource Manager only): This tag denotes the address prefixes of the Azure AppService service. Wenn Sie AppService als Wert angeben, wird der Datenverkehr für AppService zugelassen oder verweigert.If you specify AppService for the value, traffic is allowed or denied to AppService. Falls Sie den Zugriff auf AppService nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AppService.[Name der Region].If you only want to allow access to AppService in a specific region, you can specify the region in the following format AppService.[region name]. Dieses Tag wird für ausgehende Sicherheitsregeln zu WebApps-Front-Ends empfohlen.This tag is recommended for outbound security rule to WebApps frontends.
  • AppServiceManagement* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Verwaltungsdatenverkehrs für dedizierte App Service-Umgebungsbereitstellungen an.AppServiceManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for App Service Environment dedicated deployments. Wenn Sie AppServiceManagement als Wert angeben, wird der Datenverkehr für AppServiceManagement zugelassen oder verweigert.If you specify AppServiceManagement for the value, traffic is allowed or denied to AppServiceManagement. Dieses Tag wird für ein-/ausgehende Sicherheitsregeln empfohlen.This tag is recommended for inbound/outbound security rule.
  • ApiManagement* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Verwaltungsdatenverkehrs für dedizierte APIM-Bereitstellungen an.ApiManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for APIM dedicated deployments. Wenn Sie ApiManagement als Wert angeben, wird der Datenverkehr für ApiManagement zugelassen oder verweigert.If you specify ApiManagement for the value, traffic is allowed or denied to ApiManagement. Dieses Tag wird für ein-/ausgehende Sicherheitsregeln empfohlen.This tag is recommended for inbound/outbound security rule.
  • AzureConnectors* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe der Logic Apps-Connectors für Test-/Back-End-Verbindungen an.AzureConnectors* (Resource Manager only): This tag denotes the address prefixes of the Logic Apps connectors for probe/backend connections. Wenn Sie AzureConnectors als Wert angeben, wird der Datenverkehr für AzureConnectors zugelassen oder verweigert.If you specify AzureConnectors for the value, traffic is allowed or denied to AzureConnectors. Falls Sie den Zugriff auf AzureConnectors nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AzureConnectors.[Name der Region].If you only want to allow access to AzureConnectors in a specific region, you can specify the region in the following format AzureConnectors.[region name]. Dieses Tag wird für eingehende Sicherheitsregeln empfohlen.This tag is recommended for inbound security rule.
  • GatewayManager (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Verwaltungsdatenverkehrs für dedizierte VPN-/App Gateway-Bereitstellungen an.GatewayManager (Resource Manager only): This tag denotes the address prefixes of the management traffic for VPN/App Gateways dedicated deployments. Wenn Sie GatewayManager als Wert angeben, wird der Datenverkehr für GatewayManager zugelassen oder verweigert.If you specify GatewayManager for the value, traffic is allowed or denied to GatewayManager. Dieses Tag wird für eingehende Sicherheitsregeln empfohlen.This tag is recommended for inbound security rule.
  • AzureDataLake* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Azure Data Lake-Diensts an.AzureDataLake* (Resource Manager only): This tag denotes the address prefixes of the Azure Data Lake service. Wenn Sie AzureDataLake als Wert angeben, wird der Datenverkehr für AzureDataLake zugelassen oder verweigert.If you specify AzureDataLake for the value, traffic is allowed or denied to AzureDataLake. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • AzureActiveDirectory* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Azure Active Directory-Diensts an.AzureActiveDirectory* (Resource Manager only): This tag denotes the address prefixes of the AzureActiveDirectory service. Wenn Sie AzureActiveDirectory als Wert angeben, wird der Datenverkehr für AzureActiveDirectory zugelassen oder verweigert.If you specify AzureActiveDirectory for the value, traffic is allowed or denied to AzureActiveDirectory. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • AzureMonitor* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe der Log Analytics-, App Insights-, AzMon- und benutzerdefinierter Metriken (GiG-Endpunkte) an.AzureMonitor* (Resource Manager only): This tag denotes the address prefixes of the Log Analytics, App Insights, AzMon, and custom metrics (GiG endpoints). Wenn Sie AzureMonitor als Wert angeben, wird der Datenverkehr für AzureMonitor zugelassen oder verweigert.If you specify AzureMonitor for the value, traffic is allowed or denied to AzureMonitor. Für Log Analytics weist dieses Tag eine Abhängigkeit von dem Tag Storage auf.For Log Analytics, this tag has dependency on the Storage tag. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • ServiceFabric* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des ServiceFabric-Diensts an.ServiceFabric* (Resource Manager only): This tag denotes the address prefixes of the ServiceFabric service. Wenn Sie ServiceFabric als Wert angeben, wird der Datenverkehr für ServiceFabric zugelassen oder verweigert.If you specify ServiceFabric for the value, traffic is allowed or denied to ServiceFabric. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • AzureMachineLearning* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des AzureMachineLearning-Diensts an.AzureMachineLearning* (Resource Manager only): This tag denotes the address prefixes of the AzureMachineLearning service. Wenn Sie AzureMachineLearning als Wert angeben, wird der Datenverkehr für AzureMachineLearning zugelassen oder verweigert.If you specify AzureMachineLearning for the value, traffic is allowed or denied to AzureMachineLearning. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag is recommended for outbound security rule.
  • BatchNodeManagement* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Verwaltungsdatenverkehrs für dedizierte Azure Batch-Bereitstellungen an.BatchNodeManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Batch dedicated deployments. Wenn Sie als Wert BatchNodeManagement angeben, wird Datenverkehr vom Batch-Dienst zu den Computeknoten zugelassen oder verweigert.If you specify BatchNodeManagement for the value, traffic is allowed or denied from the Batch service to compute nodes. Dieses Tag wird für ein-/ausgehende Sicherheitsregeln empfohlen.This tag is recommended for inbound/outbound security rule.
  • AzureBackup* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des AzureBackup-Diensts an.AzureBackup* (Resource Manager only): This tag denotes the address prefixes of the AzureBackup service. Wenn Sie AzureBackup als Wert angeben, wird der Datenverkehr für AzureBackup zugelassen oder verweigert.If you specify AzureBackup for the value, traffic is allowed or denied to AzureBackup. Dieses Tag weist eine Abhängigkeit von den Tags Storage und AzureActiveDirectory auf. Dieses Tag wird für ausgehende Sicherheitsregeln empfohlen.This tag has dependency on the Storage and AzureActiveDirectory tag.This tag is recommended for outbound security rule.
  • AzureActiveDirectoryDomainServices* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Verwaltungsdatenverkehrs für dedizierte Azure Active Directory Domain Services-Bereitstellungen an.AzureActiveDirectoryDomainServices* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Active Directory Domain Services dedicated deployments. Wenn Sie AzureActiveDirectoryDomainServices als Wert angeben, wird der Datenverkehr für AzureActiveDirectoryDomainServices zugelassen oder verweigert.If you specify AzureActiveDirectoryDomainServices for the value, traffic is allowed or denied to AzureActiveDirectoryDomainServices. Dieses Tag wird für ein-/ausgehende Sicherheitsregeln empfohlen.This tag is recommended for inbound/outbound security rule.
  • SqlManagement* (nur Resource Manager): Dieses Tag gibt die Adresspräfixe des Verwaltungsdatenverkehrs für dedizierte SQL-Bereitstellungen an.SqlManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for SQL dedicated deployments. Wenn Sie SqlManagement als Wert angeben, wird der Datenverkehr für SqlManagement zugelassen oder verweigert.If you specify SqlManagement for the value, traffic is allowed or denied to SqlManagement. Dieses Tag wird für ein-/ausgehende Sicherheitsregeln empfohlen.This tag is recommended for inbound/outbound security rule.

Hinweis

Mit Diensttags von Azure-Diensten werden die Adresspräfixe der spezifischen verwendeten Cloud angegeben.Service tags of Azure services denotes the address prefixes from the specific cloud being used.

Hinweis

Wenn Sie einen VNET-Dienstendpunkt für einen Dienst implementieren, z. B. Azure Storage oder Azure SQL-Datenbank, fügt Azure eine Route zu einem Subnetz des virtuellen Netzwerks für den Dienst hinzu.If you implement a virtual network service endpoint for a service, such as Azure Storage or Azure SQL Database, Azure adds a route to a virtual network subnet for the service. Die Adresspräfixe für die Route sind die gleichen Adresspräfixe bzw. CIDR-Bereiche wie für das entsprechende Diensttag.The address prefixes in the route are the same address prefixes, or CIDR ranges, as the corresponding service tag.

Diensttags in lokalen FirewallsService tags in on-premises

Sie können die Liste mit den Diensttags mit Präfixdetails über die folgenden wöchentlichen Veröffentlichungen für Azure-Clouds herunterladen und in eine lokale Firewall integrieren: öffentlich, US Government, China und Deutschland.You can download and integrate with an on-premises firewall the list of service tags with prefix details on the following weekly publications for Azure Public, US government, China, and Germany clouds.

Sie können diese Informationen auch mithilfe der Diensttagermittlungs-API (öffentliche Vorschau) – REST, Azure PowerShell, und Azure CLI programmgesteuert abrufen.You can also programmatically retrieve this information using the Service Tag Discovery API (Public Preview) - REST, Azure PowerShell, and Azure CLI.

Hinweis

Die folgenden wöchentlichen Veröffentlichungen (alte Version) für die Azure-Clouds Öffentlich, China und Deutschland werden am 30. Juni 2020 eingestellt.Following weekly publications (old version) for Azure Public, China, and Germany clouds will be deprecated by June 30, 2020. Beginnen Sie bitte mit der Verwendung der aktualisierten Veröffentlichungen wie oben beschrieben.Please start using the updated publications as described above.

StandardsicherheitsregelnDefault security rules

Azure erstellt in jeder von Ihnen erstellten Netzwerksicherheitsgruppe die folgenden Standardregeln:Azure creates the following default rules in each network security group that you create:

EingehendInbound

AllowVNetInBoundAllowVNetInBound

PrioritätPriority SourceSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtocolProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0 - 655350-65535 VirtualNetworkVirtualNetwork 0 - 655350-65535 AlleAll ZULASSENAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PrioritätPriority SourceSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtocolProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0 - 655350-65535 0.0.0.0/00.0.0.0/0 0 - 655350-65535 AlleAll ZULASSENAllow

DenyAllInboundDenyAllInbound

PrioritätPriority SourceSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtocolProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0 - 655350-65535 0.0.0.0/00.0.0.0/0 0 - 655350-65535 AlleAll VerweigernDeny

AusgehendOutbound

AllowVnetOutBoundAllowVnetOutBound

PrioritätPriority SourceSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtocolProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0 - 655350-65535 VirtualNetworkVirtualNetwork 0 - 655350-65535 AlleAll ZULASSENAllow

AllowInternetOutBoundAllowInternetOutBound

PrioritätPriority SourceSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtocolProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0 - 655350-65535 InternetInternet 0 - 655350-65535 AlleAll ZULASSENAllow

DenyAllOutBoundDenyAllOutBound

PrioritätPriority SourceSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtocolProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0 - 655350-65535 0.0.0.0/00.0.0.0/0 0 - 655350-65535 AlleAll VerweigernDeny

In den Spalten Quelle und Ziel handelt es sich bei VirtualNetwork, AzureLoadBalancer und Internet um Diensttags und nicht um IP-Adressen.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. In der Protokollspalte steht Alle für TCP, UDP und ICMP.In the protocol column, All encompasses TCP, UDP, and ICMP. Beim Erstellen einer Regel können Sie „TCP“, „UDP“ oder „Alle“ angeben, aber das Angeben von ICMP allein ist nicht möglich.When creating a rule, you can specify TCP, UDP, or All, but you cannot specify ICMP alone. Falls für Ihre Regel ICMP benötigt wird, müssen Sie als Protokoll daher Alle auswählen.Therefore, if your rule requires ICMP, select All for protocol. 0.0.0.0/0 in den Spalten Quelle und Ziel steht für alle Adressen.0.0.0.0/0 in the Source and Destination columns represents all addresses. Clients wie Azure-Portal, Azure-Befehlszeilenschnittstelle oder PowerShell können „*“ oder „any“ für diesen Ausdruck verwenden.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Sie können die Standardregeln nicht entfernen, aber Sie können sie außer Kraft setzen, indem Sie Regeln mit höheren Prioritäten erstellen.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

AnwendungssicherheitsgruppenApplication security groups

Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Die Plattform übernimmt die komplexe Verarbeitung von expliziten IP-Adressen und mehreren Regelsätzen, damit Sie sich auf Ihre Geschäftslogik konzentrieren können.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Das folgende Beispiel bietet Ihnen ein besseres Verständnis von Anwendungssicherheitsgruppen:To better understand application security groups, consider the following example:

Anwendungssicherheitsgruppen

In der Abbildung oben sind NIC1 und NIC2 Mitglieder der Anwendungssicherheitsgruppe AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 ist ein Mitglied der Anwendungssicherheitsgruppe AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 ist ein Mitglied der Anwendungssicherheitsgruppe AsgDb.NIC4 is a member of the AsgDb application security group. Obwohl jede Netzwerkschnittstelle in diesem Beispiel Mitglied von nur einer Anwendungssicherheitsgruppe ist, kann eine Netzwerkschnittstelle Mitglied mehrerer Anwendungssicherheitsgruppen sein. Dabei gelten die Einschränkungen für Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Keiner der Netzwerkschnittstellen ist eine Netzwerksicherheitsgruppe zugeordnet.None of the network interfaces have an associated network security group. NSG1 ist beiden Subnetzen zugeordnet und enthält die folgenden Regeln:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Diese Regel ist erforderlich, um Datenverkehr aus dem Internet an die Webserver zuzulassen.This rule is needed to allow traffic from the internet to the web servers. Da eingehender Datenverkehr aus dem Internet durch die Standardsicherheitsregel DenyAllInbound verweigert wird, ist keine zusätzliche Regel für die Anwendungssicherheitsgruppen AsgLogic oder AsgDb erforderlich.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PrioritätPriority SourceSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtocolProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP ZULASSENAllow

Deny-Database-AllDeny-Database-All

Da die Standardsicherheitsregel AllowVNetInBound die gesamte Kommunikation zwischen Ressourcen im gleichen virtuellen Netzwerk erlaubt, ist diese Regel erforderlich, um den Datenverkehr von allen Ressourcen zu verweigern.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PrioritätPriority SourceSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtocolProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 AlleAll VerweigernDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Diese Regel lässt Datenverkehr von der Anwendungssicherheitsgruppe AsgLogic zur Anwendungssicherheitsgruppe AsgDb zu.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. Die Priorität für diese Regel ist höher als die Priorität für die Regel Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Daher wird diese Regel vor der Regel Deny-Database-All verarbeitet, sodass Datenverkehr von den Anwendungssicherheitsgruppen AsgLogic zulässig ist, während der andere Datenverkehr blockiert wird.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PrioritätPriority SourceSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtocolProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP ZULASSENAllow

Regeln, in denen eine Anwendungssicherheitsgruppe als Quelle oder Ziel angegeben ist, werden nur auf Netzwerkschnittstellen angewendet, bei denen es sich um Mitglieder der Anwendungssicherheitsgruppe handelt.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Wenn die Netzwerkschnittstelle nicht Mitglied einer Anwendungssicherheitsgruppe ist, wird die Regel nicht auf die Netzwerkschnittstelle angewendet, auch wenn die Netzwerksicherheitsgruppe dem Subnetz zugeordnet ist.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Für Anwendungssicherheitsgruppen gelten folgende Einschränkungen:Application security groups have the following constraints:

  • Es gibt Beschränkungen für die Anzahl von Anwendungssicherheitsgruppen in einem Abonnement sowie in Bezug auf Anwendungssicherheitsgruppen.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.For details, see Azure limits.
  • Sie können eine einzelne Anwendungssicherheitsgruppe als Quelle und Ziel in einer Sicherheitsregel angeben.You can specify one application security group as the source and destination in a security rule. Sie können in der Quelle und im Ziel nicht mehrere Anwendungssicherheitsgruppen angeben.You cannot specify multiple application security groups in the source or destination.
  • Alle Netzwerkschnittstellen, die einer Anwendungssicherheitsgruppe zugewiesen sind, müssen in selben virtuellen Netzwerk vorhanden sein, in dem sich die erste Netzwerkschnittstelle befindet, die der Anwendungssicherheitsgruppe zugewiesen wurde.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Wenn sich die erste Netzwerkschnittstelle, die einer Anwendungssicherheitsgruppe mit dem Namen AsgWeb zugewiesen ist, im virtuellen Netzwerk VNet1 befindet, müssen alle nachfolgenden Netzwerkschnittstellen, die ASGWeb zugewiesen werden, in VNet1 enthalten sein.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Einer Anwendungssicherheitsgruppe können keine Netzwerkschnittstellen aus verschiedenen virtuellen Netzwerken hinzugefügt werden.You cannot add network interfaces from different virtual networks to the same application security group.
  • Wenn Sie eine Anwendungssicherheitsgruppe als Quelle und Ziel in einer Sicherheitsregel angeben, müssen sich die Netzwerkschnittstellen in beiden Anwendungssicherheitsgruppen im gleichen virtuellen Netzwerk befinden.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Wenn also beispielsweise AsgLogic Netzwerkschnittstellen aus VNet1 und AsgDb Netzwerkschnittstellen aus VNet2 enthält, kann AsgLogic nicht als Quelle und AsgDb nicht als Ziel in einer Regel zugewiesen werden.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Alle Netzwerkschnittstellen für die Quell- und Ziel-Anwendungssicherheitsgruppen müssen im selben virtuellen Netzwerk vorhanden sein.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Tipp

Planen Sie die erforderlichen Anwendungssicherheitsgruppen, und erstellen Sie Regeln nach Möglichkeit mithilfe von Diensttags oder Anwendungssicherheitsgruppen anstelle von individuellen IP-Adresse oder IP-Adressbereichen, um die Anzahl der erforderlichen Sicherheitsregeln und die Notwendigkeit von Regeländerungen zu minimieren.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Auswertung des DatenverkehrsHow traffic is evaluated

Sie können Ressourcen von mehreren Azure-Diensten in einem virtuellen Azure-Netzwerk bereitstellen.You can deploy resources from several Azure services into an Azure virtual network. Eine vollständige Liste finden Sie unter Dienste, die in einem virtuellen Netzwerk bereitgestellt werden können.For a complete list, see Services that can be deployed into a virtual network. Sie können jedem Subnetz eines virtuellen Netzwerks und jeder Netzwerkschnittstelle eines virtuellen Computers keine oder eine Netzwerksicherheitsgruppe zuordnen.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Sie können dieselbe Netzwerksicherheitsgruppe beliebig vielen Subnetzen und Netzwerkschnittstellen zuordnen.The same network security group can be associated to as many subnets and network interfaces as you choose.

Die folgende Abbildung veranschaulicht verschiedene Szenarien dazu, wie Netzwerksicherheitsgruppen bereitgestellt werden können, um Netzwerkdatenverkehr zum und aus dem Internet über TCP-Port 80 zuzulassen:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

NSG-Verarbeitung

Sehen Sie sich die Abbildung oben zusammen mit dem folgenden Text an, um weitere Informationen dazu zu erhalten, wie Azure ein- und ausgehende Regeln für Netzwerksicherheitsgruppen verarbeitet:Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Eingehender DatenverkehrInbound traffic

Für eingehenden Datenverkehr verarbeitet Azure zuerst die Regeln in einer Netzwerksicherheitsgruppe, die einem Subnetz (sofern vorhanden) zugeordnet sind, und anschließend die Regeln in einer Netzwerksicherheitsgruppe, die der Netzwerkschnittstelle (sofern vorhanden) zugeordnet sind.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: Die Sicherheitsregeln in NSG1 werden verarbeitet, da diese Netzwerksicherheitsgruppe Subnet1 zugeordnet ist und VM1 sich in Subnet1 befindet.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. Sofern Sie keine Regel erstellt haben, die Port 80 als eingehenden Port zulässt, wird der Datenverkehr von der Standardsicherheitsregel DenyAllInbound abgelehnt und von NSG2 nicht ausgewertet, da NSG2 der Netzwerkschnittstelle zugeordnet ist.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Wenn NSG1 über eine Sicherheitsregel verfügt, die Port 80 zulässt, wird der Datenverkehr von NSG2 verarbeitet.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Damit Port 80 für den virtuellen Computer zulässig ist, müssen sowohl NSG1 als auch NSG2 über eine Regel verfügen, die Port 80 aus dem Internet zulässt.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: Die Regeln in NSG1 werden verarbeitet, da VM2 sich auch in Subnet1 befindet.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Da VM2 über keine Netzwerksicherheitsgruppe verfügt, die seiner Netzwerkschnittstelle zugeordnet ist, empfängt er den gesamten zulässigen Datenverkehr über NSG1, oder der gesamte Datenverkehr wird durch NSG1 verweigert.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Datenverkehr wird für alle Ressourcen im selben Subnetz entweder zugelassen oder verweigert, wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: Da Subnet2 keine Netzwerksicherheitsgruppe zugeordnet ist, ist Datenverkehr in das Subnetz zulässig und wird von NSG2 verarbeitet, da NSG2 der Netzwerkschnittstelle zugeordnet ist, die VM3 angefügt ist.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: Datenverkehr für VM4 ist zulässig, da Subnet3 oder der Netzwerkschnittstelle in der VM keine Netzwerksicherheitsgruppe zugeordnet ist.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Der gesamte Netzwerkdatenverkehr ist über ein Subnetz und eine Netzwerkschnittstelle zulässig, wenn diesen keine Netzwerksicherheitsgruppe zugeordnet ist.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Ausgehender DatenverkehrOutbound traffic

Für ausgehenden Datenverkehr verarbeitet Azure zuerst die Regeln in einer Netzwerksicherheitsgruppe, die einer Netzwerkschnittstelle (sofern vorhanden) zugeordnet sind, und anschließend die Regeln in einer Netzwerksicherheitsgruppe, die dem Subnetz (sofern vorhanden) zugeordnet sind.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: Die Sicherheitsregeln in NSG2 werden verarbeitet.VM1: The security rules in NSG2 are processed. Sofern Sie keine Sicherheitsregel erstellen, die Port 80 als ausgehenden Port zum Internet zulässt, wird der Datenverkehr von der Standardsicherheitsregel AllowInternetOutbound in NSG1 sowie NSG2 zugelassen.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Wenn NSG2 über eine Sicherheitsregel verfügt, die Port 80 ablehnt, wird der Datenverkehr abgelehnt und nicht von NSG1 ausgewertet.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Zum Verweigern von Port 80 vom virtuellen Computer oder beiden Netzwerksicherheitsgruppen ist eine Regel erforderlich, die Port 80 für das Internet verweigert.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: Der gesamte Datenverkehr wird über die Netzwerkschnittstelle an das Subnetz gesendet, da der Netzwerkschnittstelle, die an VM2 angefügt ist, keine Netzwerksicherheitsgruppe zugeordnet ist.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Die Regeln in NSG1 werden verarbeitet.The rules in NSG1 are processed.
  • VM3: Wenn NSG2 über eine Sicherheitsregel verfügt, die Port 80 verweigert, wird der Datenverkehr verweigert.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Wenn NSG2 über eine Sicherheitsregel verfügt, die Port 80 zulässt, dann ist Port 80 als ausgehender Port für das Internet zulässig, da Subnet2 keine Netzwerksicherheitsgruppe zugeordnet ist.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: Der gesamte Netzwerkdatenverkehr von VM4 ist zulässig, da der Netzwerkschnittstelle, die an die VM angefügt ist, oder Subnet3 keine Netzwerksicherheitsgruppe zugeordnet ist.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Sie können die Aggregatregeln, die auf eine Netzwerkschnittstelle angewendet werden, leicht prüfen, indem Sie die effektiven Sicherheitsregeln für eine Netzwerkschnittstelle anzeigen.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Sie können auch in Azure Network Watcher die Funktion Überprüfen des IP-Flusses verwenden, um zu ermitteln, ob die Kommunikation für eine Netzwerkschnittstelle in ein- oder ausgehender Richtung zulässig ist.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. Die IP-Datenflussüberprüfung gibt an, ob die Kommunikation zugelassen oder verweigert wird und für welche Netzwerksicherheitsregel Datenverkehr zugelassen ist oder verweigert wird.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Hinweis

Netzwerksicherheitsgruppen sind bei der Bereitstellung im klassischen Bereitstellungsmodell Subnetzen oder virtuellen Computern und Clouddiensten zugeordnet sowie Subnetzen oder Netzwerkschnittstellen gemäß dem Resource Manager-Bereitstellungsmodell.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Weitere Informationen zu den Azure-Bereitstellungsmodellen finden Sie unter Azure Resource Manager-Bereitstellung im Vergleich zur klassischen Bereitstellung: Grundlegendes zu Bereitstellungsmodellen und zum Status von Ressourcen.To learn more about Azure deployment models, see Understand Azure deployment models.

Tipp

Wir empfehlen Ihnen, eine Netzwerksicherheitsgruppe einem Subnetz oder einer Netzwerkschnittstelle zuzuordnen, aber nicht beiden, sofern kein zwingender Grund dafür vorliegt.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Da Regeln in einer Netzwerksicherheitsgruppe, die einem Subnetz zugeordnet ist, unter Umständen mit Regeln in einer Netzwerksicherheitsgruppe, die einer Netzwerkschnittstelle zugeordnet sind, in Konflikt stehen, können unerwartete Kommunikationsprobleme auftreten, die behoben werden müssen.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Aspekte der Azure PlatformAzure platform considerations

  • Virtuelle IP des Hostknotens: Grundlegende Infrastrukturdienste wie DHCP, DNS, IMDS und die Systemüberwachung werden über die virtualisierten Host-IP-Adressen 168.63.129.16 und 169.254.169.254 bereitgestellt.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Diese IP-Adressen gehören Microsoft und sind die einzigen virtuellen IP-Adressen, die in allen Regionen zu diesem Zweck verwendet werden.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Lizenzierung (Key Management Service) : Die auf VMs ausgeführten Windows-Images müssen lizenziert werden.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Zum Sicherstellen der Lizenzierung wird eine entsprechende Anforderung an die Hostserver des Schlüsselverwaltungsdiensts gesendet, die solche Abfragen verarbeiten.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. Die Anforderung wird in ausgehender Richtung über Port 1688 gesendet.The request is made outbound through port 1688. Für Bereitstellungen mit einer Konfiguration der Standardroute 0.0.0.0/0 wird diese Plattformregel deaktiviert.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • VMs in Pools mit Lastenausgleich: Der angewendete Quellport und -adressbereich stammen vom Ausgangscomputer, nicht vom Lastenausgleich.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. Der Zielport und -adressbereich sind für den Zielcomputer bestimmt, nicht für den Lastenausgleich.The destination port and address range are for the destination computer, not the load balancer.

  • Azure-Dienstinstanzen: Instanzen mehrerer Azure-Dienste (z. B. HDInsight, App Service-Umgebungen und Virtual Machine Scale Sets) werden in Subnetzen des virtuellen Netzwerks bereitgestellt.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Eine vollständige Liste mit den Diensten, die Sie in virtuellen Netzwerken bereitstellen können, finden Sie unter Virtuelles Netzwerk für Azure-Dienste.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Machen Sie sich auf jeden Fall mit den Portanforderungen für die einzelnen Dienste vertraut, bevor Sie eine Netzwerksicherheitsgruppe auf das Subnetz anwenden, in dem die Ressource bereitgestellt wurde.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Wenn Sie den Datenverkehr für Ports verweigern, die für den Dienst benötigt werden, funktioniert der Dienst nicht richtig.If you deny ports required by the service, the service doesn't function properly.

  • Senden von E-Mails in ausgehender Richtung: Microsoft empfiehlt die Nutzung von authentifizierten SMTP-Relaydiensten (normalerweise über TCP-Port 587 verbunden, aber auch über andere Ports), um E-Mails von Azure Virtual Machines zu senden.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. SMTP-Relaydienste sind auf Absenderzuverlässigkeit ausgelegt, um die Wahrscheinlichkeit zu verringern, dass Nachrichten von E-Mail-Drittanbietern abgelehnt werden.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Zu diesen SMTP-Relaydiensten gehören u.a. auch Exchange Online Protection und SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Die Nutzung von SMTP-Relaydiensten ist in Azure unabhängig von Ihrem Abonnementtyp auf keinerlei Weise eingeschränkt.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Wenn Sie Ihr Azure-Abonnement vor dem 15. November 2017 erstellt haben, können Sie nicht nur die SMTP-Relaydienste nutzen, sondern auch E-Mails direkt über TCP-Port 25 senden.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Falls Sie Ihr Abonnement nach dem 15. November 2017 erstellt haben, ist es unter Umständen nicht möglich, E-Mails direkt über Port 25 zu senden.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Das Verhalten der ausgehenden Kommunikation über Port 25 hängt wie folgt vom Typ Ihres Abonnements ab:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Enterprise Agreement: Die Kommunikation in ausgehender Richtung über Port 25 ist zulässig.Enterprise Agreement: Outbound port 25 communication is allowed. Sie können ausgehende E-Mails direkt von virtuellen Computern an externe E-Mail-Anbieter senden, ohne dass Einschränkungen der Azure Platform bestehen.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Nutzungsbasierte Bezahlung: Die Kommunikation in ausgehender Richtung über Port 25 wird für alle Ressourcen blockiert.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Wenn Sie E-Mails von einem virtuellen Computer direkt an externe E-Mail-Anbieter senden müssen (ohne authentifiziertes SMTP-Relay), können Sie die Aufhebung der Einschränkung anfordern.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Anfragen dieser Art werden von Microsoft geprüft und erst nach Durchführung von Betrugsprüfungen genehmigt.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Erstellen Sie hierzu eine Supportanfrage mit einem Problemtyp der Art Technisch, Konnektivität virtueller Netzwerke, E-Mail senden nicht möglich (SMTP/Port 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). Fügen Sie in die Supportanfrage Details dazu ein, warum für Ihr Abonnement das direkte Senden von E-Mails an E-Mail-Anbieter erforderlich ist, anstatt ein authentifiziertes SMTP-Relay zu verwenden.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Wenn für Ihr Abonnement eine Ausnahmeregelung gewährt wird, können nur virtuelle Computer, die nach dem Startdatum der Ausnahmeregelung erstellt wurden, in ausgehender Richtung über Port 25 kommunizieren.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure in Open, Education, BizSpark und kostenlose Testversion: Die Kommunikation in ausgehender Richtung über Port 25 wird für alle Ressourcen blockiert.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Es können keine Anfragen zur Beseitigung der Einschränkungen gesendet werden, da keine Ausnahmen gewährt werden.No requests to remove the restriction can be made, because requests are not granted. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Cloud-Dienstanbieter: Kunden, die Azure-Ressourcen über einen Cloud-Dienstanbieter nutzen, können bei ihrem Cloud-Dienstanbieter eine Supportanfrage erstellen und anfordern, dass der Anbieter in ihrem Auftrag eine Anfrage zum Aufheben der Blockierung stellt, wenn ein sicheres SMTP-Relay nicht verwendet werden kann.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Wenn für Sie in Azure das Senden von E-Mails über Port 25 zugelassen wird, kann von Microsoft nicht garantiert werden, dass E-Mail-Anbieter eingehende E-Mails von Ihrem virtuellen Computer akzeptieren.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Falls ein bestimmter Anbieter E-Mails von Ihrem virtuellen Computer ablehnt, müssen Sie sich direkt an den Anbieter wenden, um Probleme mit der Nachrichtenzustellung oder Spamfilterung zu beheben, oder einen authentifizierten SMTP-Relaydienst verwenden.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Nächste SchritteNext steps