SicherheitsgruppenSecurity groups

Sie können Netzwerkdatenverkehr von und zu Azure-Ressourcen in einem virtuellen Azure-Netzwerk mithilfe einer Netzwerksicherheitsgruppe filtern.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen oder ausgehenden Netzwerkdatenverkehr von diesen zulassen oder verweigern.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Weitere Informationen über die Azure-Ressourcen, die in einem virtuellen Netzwerk bereitgestellt werden können und denen Netzwerksicherheitsgruppen zugeordnet sind, finden Sie unter Integration virtueller Netzwerke für Azure-Dienste.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Für jede Regel können Sie die Quelle, das Ziel, den Port und das Protokoll angeben.For each rule, you can specify source and destination, port, and protocol.

In diesem Artikel werden Konzepte für Netzwerksicherheitsgruppen erklärt, damit Sie diese effektiv verwenden können.This article explains network security group concepts, to help you use them effectively. Wenn Sie noch nie eine Netzwerksicherheitsgruppe erstellt haben, gehen Sie dieses kurze Tutorial durch, um sich mit dem Erstellen von Netzwerksicherheitsgruppen vertraut zu machen.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Wenn Sie sich mit Netzwerksicherheitsgruppen auskennen und diese verwalten müssen, finden Sie unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe weitere Informationen.If you're familiar with network security groups and need to manage them, see Manage a network security group. Wenn Kommunikationsschwierigkeiten auftreten und Sie Probleme mit Netzwerksicherheitsgruppen beheben müssen, finden Sie unter Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers weitere Informationen.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Sie können Netzwerksicherheitsgruppen-Flussprotokolle zum Analysieren des Netzwerkdatenverkehrs zu und von Ressourcen verwenden, denen eine Netzwerksicherheitsgruppe zugeordnet ist.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

SicherheitsregelnSecurity rules

Eine Netzwerksicherheitsgruppe kann – innerhalb der Grenzwerte des Azure-Abonnements – null oder mehr Regeln enthalten.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Für jede Regel werden die folgenden Eigenschaften angegeben:Each rule specifies the following properties:

EigenschaftProperty ErklärungExplanation
NAMEName Ein eindeutiger Name in der Netzwerksicherheitsgruppe.A unique name within the network security group.
PrioritätPriority Eine Zahl zwischen 100 und 4.096.A number between 100 and 4096. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet. Regeln mit niedrigeren Zahlen werden vor Regeln mit höheren Zahlen verarbeitet, weil die Priorität für niedrigere Zahlen höher ist.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Nachdem sich für den Datenverkehr eine Übereinstimmung mit einer Regel ergibt, wird die Verarbeitung angehalten.Once traffic matches a rule, processing stops. Daher werden alle Regeln mit niedrigerer Priorität (höherer Zahl), die über die gleichen Attribute wie Regeln mit höheren Prioritäten verfügen, nicht verarbeitet.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Quelle oder ZielSource or destination Beliebiges Element oder eine einzelne IP-Adresse, ein CIDR-Block (klassenloses domänenübergreifendes Routing, z.B. 10.0.0.0/24), ein Diensttag oder eine Anwendungssicherheitsgruppe.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Wenn Sie eine Adresse für eine Azure-Ressource angeben, geben Sie die private IP-Adresse an, die der Ressource zugewiesen ist.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Netzwerksicherheitsgruppen werden verarbeitet, nachdem Azure eine öffentliche IP-Adresse in eine private IP-Adresse für eingehenden Datenverkehr übersetzt hat und bevor Azure eine private IP-Adresse in eine öffentliche IP-Adresse für ausgehenden Datenverkehr übersetzt.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Erfahren Sie mehr über Azure-IP-Adressen.Learn more about Azure IP addresses. Durch das Angeben eines Bereichs, eines Diensttags oder einer Anwendungssicherheitsgruppe haben Sie die Möglichkeit, weniger Sicherheitsregeln zu erstellen.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. Die Option zum Angeben mehrerer einzelner IP-Adressen und Bereiche (die Angabe mehrerer Diensttags oder Anwendungsgruppen ist nicht zulässig) in einer Regel wird als Ergänzte Sicherheitsregeln bezeichnet.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Ergänzte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die mit dem Resource Manager-Bereitstellungsmodell erstellt wurden.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Es ist nicht möglich, mehrere IP-Adressen und IP-Adressbereiche in Netzwerksicherheitsgruppen anzugeben, die mit dem klassischen Bereitstellungsmodell erstellt wurden.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Erfahren Sie mehr über Azure-Bereitstellungsmodelle.Learn more about Azure deployment models.
ProtokollProtocol TCP, UDP oder „Any“ (Alle), also z.B. TCP, UDP und ICMP.TCP, UDP, or Any, which includes TCP, UDP, and ICMP. Das Angeben von ICMP allein ist unzulässig. Wenn Sie ICMP benötigen, müssen Sie also „Any“ (Alle) verwenden.You cannot specify ICMP alone, so if you require ICMP, use Any.
RichtungDirection Gibt an, ob die Regel für ein- oder ausgehenden Datenverkehr gilt.Whether the rule applies to inbound, or outbound traffic.
PortbereichPort range Sie können einen einzelnen Port oder einen Bereich mit Ports angeben.You can specify an individual or range of ports. Mögliche Angaben sind beispielsweise „80“ oder „10.000 - 10.005“.For example, you could specify 80 or 10000-10005. Das Angeben von Bereichen ermöglicht Ihnen die Erstellung von weniger Sicherheitsregeln.Specifying ranges enables you to create fewer security rules. Ergänzte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die mit dem Resource Manager-Bereitstellungsmodell erstellt wurden.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. In Netzwerksicherheitsgruppen, die mit dem klassischen Bereitstellungsmodell erstellt wurden, können Sie in derselben Sicherheitsregel nicht mehrere Ports oder Portbereiche angeben.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
AktionAction Zulassen oder VerweigernAllow or deny

Netzwerksicherheitsgruppen-Sicherheitsregeln werden nach Priorität anhand der 5-Tupel-Informationen (Quelle, Quellport, Ziel, Zielport und Protokoll) ausgewertet, um den Datenverkehr zuzulassen oder zu verweigern.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Für vorhandene Verbindungen wird ein Flussdatensatz erstellt.A flow record is created for existing connections. Die Kommunikation wird basierend auf dem Verbindungszustand der Flussdatensätze zugelassen oder verweigert.Communication is allowed or denied based on the connection state of the flow record. Der Flussdatensatz ermöglicht es, dass eine Netzwerksicherheitsgruppe zustandsbehaftet ist.The flow record allows a network security group to be stateful. Wenn Sie beispielsweise eine Sicherheitsregel für Datenverkehr in ausgehender Richtung an eine beliebige Adresse über Port 80 angeben, ist es nicht erforderlich, für die Antwort auf den ausgehenden Datenverkehr eine Sicherheitsregel für Datenverkehr in eingehender Richtung anzugeben.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Sie müssen nur dann eine Sicherheitsregel für Datenverkehr in eingehender Richtung angeben, wenn die Kommunikation extern initiiert wird.You only need to specify an inbound security rule if communication is initiated externally. Dies gilt auch für den umgekehrten Fall.The opposite is also true. Wenn eingehender Datenverkehr über einen Port zugelassen wird, ist es nicht erforderlich, für die Beantwortung des Datenverkehrs über den Port eine Sicherheitsregel für Datenverkehr in ausgehender Richtung anzugeben.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. Vorhandene Verbindungen können nicht unterbrochen werden, wenn Sie eine Sicherheitsregel entfernen, die den Datenfluss ermöglicht hat.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Datenverkehrsflüsse werden unterbrochen, wenn die Verbindungen beendet wurden und in beide Richtungen mindestens einige Minuten lang kein Datenverkehr besteht.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Es gibt Beschränkungen für die Anzahl von Sicherheitsregeln, die Sie in einer Netzwerksicherheitsgruppe erstellen können.There are limits to the number of security rules you can create in a network security group. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.For details, see Azure limits.

Ergänzte SicherheitsregelnAugmented security rules

Mit ergänzten Sicherheitsregeln wird die Sicherheitsdefinition für virtuelle Netzwerke vereinfacht, da Sie umfangreichere und komplexe Netzwerksicherheitsregeln mit weniger Regeln definieren können.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Sie können mehrere Ports und mehrere explizite IP-Adressen und Bereiche zu einer einzelnen Sicherheitsregel zusammenfassen, die leicht verständlich ist.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Verwenden Sie ergänzte Regeln in den Feldern für die Quelle, das Ziel und den Port einer Regel.Use augmented rules in the source, destination, and port fields of a rule. Kombinieren Sie ergänzte Sicherheitsregeln mit Diensttags oder Anwendungssicherheitsgruppen, um die Wartung Ihrer Sicherheitsregeldefinition zu vereinfachen.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Es gibt Beschränkungen für die Anzahl von Adressen, Bereichen und Ports, die Sie in einer Regel angeben können.There are limits the number of addresses, ranges, and ports that you can specify in a rule. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.For details, see Azure limits.

DiensttagsService tags

Ein Diensttag steht für eine Gruppe von IP-Adressen und hat die Aufgabe, bei der Erstellung von Sicherheitsregeln die Komplexität zu verringern.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Sie können kein eigenes Diensttag erstellen und auch nicht angeben, welche IP-Adressen in einem Tag enthalten sind.You cannot create your own service tag, nor specify which IP addresses are included within a tag. Microsoft verwaltet die Adresspräfixe, die mit dem Diensttag abgedeckt werden, und aktualisiert das Diensttag automatisch, wenn sich die Adressen ändern.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change. Sie können Diensttags anstelle von spezifischen IP-Adressen nutzen, wenn Sie Sicherheitsregeln erstellen.You can use service tags in place of specific IP addresses when creating security rules.

Sie können die Liste mit den Diensttags mit Präfixdetails über die folgenden wöchentlichen Veröffentlichungen für Azure-Clouds herunterladen und in eine lokale Firewall integrieren: öffentlich, US Government, China und Deutschland.You can download and integrate with an on premises firewall the list of service tags with prefix details on the following weekly publications for Azure Public, US government, China, and Germany clouds.

Die folgenden Diensttags können zum Definieren von Sicherheitsregeln verwendet werden.The following service tags are available for use in security rule definition. Ihre Namen unterscheiden sich je nach Azure-Bereitstellungsmodell leicht.Their names vary slightly between Azure deployment models.

  • VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK für klassisches Bereitstellungsmodell): Dieses Tag enthält den VM-Adressraum (alle für das virtuelle Netzwerk definierten CIDR-Bereiche), alle verbundenen lokalen Adressräume und per Peering verknüpfte virtuelle Netzwerke oder virtuelle Netzwerke, die mit einem Gateway des virtuellen Netzwerks verbunden sind.VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (all CIDR ranges defined for the virtual network), all connected on-premises address spaces, and peered virtual networks or virtual network connected to a virtual network gateway.
  • AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER für klassisch): Dieses Tag symbolisiert den Lastenausgleich der Azure-Infrastruktur.AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure's infrastructure load balancer. Das Tag wird in eine virtuelle IP-Adresse des Hosts (168.63.129.16) umgewandelt, die als Ausgangspunkt für die Integritätstests von Azure fungiert.The tag translates to the Virtual IP address of the host (168.63.129.16) where Azure's health probes originate. Sie können diese Regel außer Kraft setzen, wenn Sie den Lastenausgleich von Azure nicht verwenden.If you are not using the Azure load balancer, you can override this rule.
  • Internet (Resource Manager) (INTERNET klassisch): Dieses Tag stellt den IP-Adressraum dar, der außerhalb des virtuellen Netzwerks liegt und über das öffentliche Internet erreichbar ist.Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by the public Internet. Der Adressbereich schließt den Azure-eigenen öffentlichen IP-Adressraum ein.The address range includes the Azure owned public IP address space.
  • AzureCloud (nur Resource Manager): Mit diesem Tag wird der IP-Adressraum für Azure angegeben, einschließlich aller öffentlichen IP-Adressen für Datencenter.AzureCloud (Resource Manager only): This tag denotes the IP address space for Azure including all datacenter public IP addresses. Wenn Sie AzureCloud als Wert angeben, wird der Datenverkehr für öffentliche Azure-IP-Adressen zugelassen oder verweigert.If you specify AzureCloud for the value, traffic is allowed or denied to Azure public IP addresses. Falls Sie den Zugriff auf AzureCloud nur für eine bestimmte Region zulassen möchten, können Sie die Region angeben.If you only want to allow access to AzureCloud in a specific region, you can specify the region. Falls Sie den Zugriff auf AzureCloud von Azure beispielsweise nur für die Region „USA, Osten“ zulassen möchten, können Sie AzureCloud.EastUS als Diensttag angeben.For example, if you want to allow access only to Azure AzureCloud in the East US region, you could specify AzureCloud.EastUS as a service tag.
  • AzureTrafficManager (nur Resource Manager): Mit diesem Tag wird der IP-Adressraum für die Test-IP-Adressen des Azure Traffic Manager angegeben.AzureTrafficManager (Resource Manager only): This tag denotes the IP address space for the Azure Traffic Manager probe IP addresses. Weitere Informationen zu Test-IP-Adressen von Traffic Manager finden Sie unter Häufig gestellte Fragen (FAQ) zu Traffic Manager.More information on Traffic Manager probe IP addresses can be found in the Azure Traffic Manager FAQ.
  • Storage (nur Resource Manager): Mit diesem Tag wird der IP-Adressraum für den Azure Storage-Dienst angegeben.Storage (Resource Manager only): This tag denotes the IP address space for the Azure Storage service. Wenn Sie Storage als Wert angeben, wird der Datenverkehr für den Speicher zugelassen oder verweigert.If you specify Storage for the value, traffic is allowed or denied to storage. Falls Sie den Zugriff auf den Speicher nur für eine bestimmte Region zulassen möchten, können Sie die Region angeben.If you only want to allow access to storage in a specific region, you can specify the region. Wenn Sie den Zugriff auf Azure Storage beispielsweise nur für die Region „USA, Osten“ zulassen möchten, können Sie Storage.EastUS als Diensttag angeben.For example, if you want to allow access only to Azure Storage in the East US region, you could specify Storage.EastUS as a service tag. Das Tag steht für den Dienst, aber nicht für bestimmte Instanzen des Diensts.The tag represents the service, but not specific instances of the service. Beispielsweise steht das Tag für den Azure Storage-Dienst, aber nicht für ein bestimmtes Azure Storage-Konto.For example, the tag represents the Azure Storage service, but not a specific Azure Storage account. Alle Adresspräfixe, für die dieses Tag steht, werden auch durch das Internet-Tag repräsentiert.All address prefixes represented by this tag are also represented by the Internet tag.
  • Sql (nur Resource Manager): Dieses Tag steht für die Adresspräfixe der Azure SQL-Datenbank- und Azure SQL Data Warehouse-Dienste.Sql (Resource Manager only): This tag denotes the address prefixes of the Azure SQL Database and Azure SQL Data Warehouse services. Wenn Sie Sql als Wert angeben, wird der Datenverkehr für Sql zugelassen oder verweigert.If you specify Sql for the value, traffic is allowed or denied to Sql. Falls Sie den Zugriff auf Sql nur für eine bestimmte Region zulassen möchten, können Sie die Region angeben.If you only want to allow access to Sql in a specific region, you can specify the region. Wenn Sie den Zugriff auf Azure SQL-Datenbank beispielsweise nur für die Region „USA, Osten“ zulassen möchten, können Sie Sql.EastUS als Diensttag angeben.For example, if you want to allow access only to Azure SQL Database in the East US region, you could specify Sql.EastUS as a service tag. Das Tag steht für den Dienst, aber nicht für bestimmte Instanzen des Diensts.The tag represents the service, but not specific instances of the service. Beispielsweise steht das Tag für den Azure SQL-Datenbank-Dienst, aber nicht für eine bestimmte SQL-Datenbank oder einen bestimmten SQL-Server.For example, the tag represents the Azure SQL Database service, but not a specific SQL database or server. Alle Adresspräfixe, für die dieses Tag steht, werden auch durch das Internet-Tag repräsentiert.All address prefixes represented by this tag are also represented by the Internet tag.
  • AzureCosmosDB (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des Azure Cosmos Database-Diensts angegeben.AzureCosmosDB (Resource Manager only): This tag denotes the address prefixes of the Azure Cosmos Database service. Wenn Sie AzureCosmosDB als Wert angeben, wird der Datenverkehr für AzureCosmosDB zugelassen oder verweigert.If you specify AzureCosmosDB for the value, traffic is allowed or denied to AzureCosmosDB. Falls Sie den Zugriff auf AzureCosmosDB nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AzureCosmosDB.[Name der Region].If you only want to allow access to AzureCosmosDB in a specific region, you can specify the region in the following format AzureCosmosDB.[region name].
  • AzureKeyVault (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des Azure KeyVault-Diensts angegeben.AzureKeyVault (Resource Manager only): This tag denotes the address prefixes of the Azure KeyVault service. Wenn Sie AzureKeyVault als Wert angeben, wird der Datenverkehr für AzureKeyVault zugelassen oder verweigert.If you specify AzureKeyVault for the value, traffic is allowed or denied to AzureKeyVault. Falls Sie den Zugriff auf AzureKeyVault nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AzureKeyVault.[Name der Region].If you only want to allow access to AzureKeyVault in a specific region, you can specify the region in the following format AzureKeyVault.[region name].
  • EventHub (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des EventHub-Diensts von Azure angegeben.EventHub (Resource Manager only): This tag denotes the address prefixes of the Azure EventHub service. Wenn Sie EventHub als Wert angeben, wird der Datenverkehr für EventHub zugelassen oder verweigert.If you specify EventHub for the value, traffic is allowed or denied to EventHub. Falls Sie den Zugriff auf EventHub nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: EventHub.[Name der Region].If you only want to allow access to EventHub in a specific region, you can specify the region in the following format EventHub.[region name].
  • ServiceBus (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des ServiceBus-Diensts von Azure angegeben.ServiceBus (Resource Manager only): This tag denotes the address prefixes of the Azure ServiceBus service. Wenn Sie ServiceBus als Wert angeben, wird der Datenverkehr für ServiceBus zugelassen oder verweigert.If you specify ServiceBus for the value, traffic is allowed or denied to ServiceBus. Falls Sie den Zugriff auf ServiceBus nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: ServiceBus.[Name der Region].If you only want to allow access to ServiceBus in a specific region, you can specify the region in the following format ServiceBus.[region name].
  • MicrosoftContainerRegistry (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des Microsoft Container Registry-Diensts angegeben.MicrosoftContainerRegistry (Resource Manager only): This tag denotes the address prefixes of the Microsoft Container Registry service. Wenn Sie MicrosoftContainerRegistry als Wert angeben, wird der Datenverkehr für MicrosoftContainerRegistry zugelassen oder verweigert.If you specify MicrosoftContainerRegistry for the value, traffic is allowed or denied to MicrosoftContainerRegistry. Falls Sie den Zugriff auf MicrosoftContainerRegistry nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: MicrosoftContainerRegistry.[Name der Region].If you only want to allow access to MicrosoftContainerRegistry in a specific region, you can specify the region in the following format MicrosoftContainerRegistry.[region name].
  • AzureContainerRegistry (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des Azure Container Registry-Diensts angegeben.AzureContainerRegistry (Resource Manager only): This tag denotes the address prefixes of the Azure Container Registry service. Wenn Sie AzureContainerRegistry als Wert angeben, wird der Datenverkehr für AzureContainerRegistry zugelassen oder verweigert.If you specify AzureContainerRegistry for the value, traffic is allowed or denied to AzureContainerRegistry. Falls Sie den Zugriff auf AzureContainerRegistry nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AzureContainerRegistry.[Name der Region].If you only want to allow access to AzureContainerRegistry in a specific region, you can specify the region in the following format AzureContainerRegistry.[region name].
  • AppService (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des AppService-Diensts von Azure angegeben.AppService (Resource Manager only): This tag denotes the address prefixes of the Azure AppService service. Wenn Sie AppService als Wert angeben, wird der Datenverkehr für AppService zugelassen oder verweigert.If you specify AppService for the value, traffic is allowed or denied to AppService. Falls Sie den Zugriff auf AppService nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AppService.[Name der Region].If you only want to allow access to AppService in a specific region, you can specify the region in the following format AppService.[region name].
  • AppServiceManagement (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des AppServiceManagement-Diensts von Azure angegeben.AppServiceManagement (Resource Manager only): This tag denotes the address prefixes of the Azure AppService Management service. Wenn Sie AppServiceManagement als Wert angeben, wird der Datenverkehr für AppServiceManagement zugelassen oder verweigert.If you specify AppServiceManagement for the value, traffic is allowed or denied to AppServiceManagement. Falls Sie den Zugriff auf AppServiceManagement nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AppServiceManagement.[Name der Region].If you only want to allow access to AppServiceManagement in a specific region, you can specify the region in the following format AppServiceManagement.[region name].
  • ApiManagement (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des ApiManagement-Diensts von Azure angegeben.ApiManagement (Resource Manager only): This tag denotes the address prefixes of the Azure Api Management service. Wenn Sie ApiManagement als Wert angeben, wird der Datenverkehr für ApiManagement zugelassen oder verweigert.If you specify ApiManagement for the value, traffic is allowed or denied to ApiManagement. Falls Sie den Zugriff auf ApiManagement nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: ApiManagement.[Name der Region].If you only want to allow access to ApiManagement in a specific region, you can specify the region in the following format ApiManagement.[region name].
  • AzureConnectors (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des Connectors-Diensts von Azure angegeben.AzureConnectors (Resource Manager only): This tag denotes the address prefixes of the Azure Connectors service. Wenn Sie AzureConnectors als Wert angeben, wird der Datenverkehr für AzureConnectors zugelassen oder verweigert.If you specify AzureConnectors for the value, traffic is allowed or denied to AzureConnectors. Falls Sie den Zugriff auf AzureConnectors nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: AzureConnectors.[Name der Region].If you only want to allow access to AzureConnectors in a specific region, you can specify the region in the following format AzureConnectors.[region name].
  • GatewayManager (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des Azure Gateway Manager-Diensts angegeben.GatewayManager (Resource Manager only): This tag denotes the address prefixes of the Azure Gateway Manager service. Wenn Sie GatewayManager als Wert angeben, wird der Datenverkehr für GatewayManager zugelassen oder verweigert.If you specify GatewayManager for the value, traffic is allowed or denied to GatewayManager. Falls Sie den Zugriff auf GatewayManager nur in einer bestimmten Region zulassen möchten, können Sie die Region im folgenden Format angeben: GatewayManager.[Name der Region].If you only want to allow access to GatewayManager in a specific region, you can specify the region in the following format GatewayManager.[region name].
  • AzureDataLake (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des Data Lake-Diensts von Azure angegeben.AzureDataLake (Resource Manager only): This tag denotes the address prefixes of the Azure Data Lake service. Wenn Sie AzureDataLake als Wert angeben, wird der Datenverkehr für AzureDataLake zugelassen oder verweigert.If you specify AzureDataLake for the value, traffic is allowed or denied to AzureDataLake.
  • AzureActiveDirectory (nur Resource Manager): Mit diesem Tag werden die Adresspräfixe des AzureActiveDirectory-Diensts angegeben.AzureActiveDirectory (Resource Manager only): This tag denotes the address prefixes of the AzureActiveDirectory service. Wenn Sie AzureActiveDirectory als Wert angeben, wird der Datenverkehr für AzureActiveDirectory zugelassen oder verweigert.If you specify AzureActiveDirectory for the value, traffic is allowed or denied to AzureActiveDirectory.

Hinweis

Mit Diensttags von Azure-Diensten werden die Adresspräfixe der spezifischen verwendeten Cloud angegeben.Service tags of azure services denotes the address prefixes from the specific cloud being used. Regionale Diensttags werden in nationalen Clouds nicht unterstützt, sondern nur im globalen Format.Regional service tags are not supported on national clouds, only in global format. Beispiel: Storage und Sql.For example, Storage and Sql.

Hinweis

Wenn Sie einen Dienstendpunkt für ein virtuelles Netzwerk für einen Dienst implementieren, z.B. Azure Storage oder Azure SQL-Datenbank, fügt Azure eine Route zu einem Subnetz des virtuellen Netzwerks für den Dienst hinzu.If you implement a virtual network service endpoint for a service, such as Azure Storage or Azure SQL Database, Azure adds a route to a virtual network subnet for the service. Die Adresspräfixe für die Route sind die gleichen Adresspräfixe bzw. CIDR-Bereiche wie für das entsprechende Diensttag.The address prefixes in the route are the same address prefixes, or CIDR ranges, as the corresponding service tag.

StandardsicherheitsregelnDefault security rules

Azure erstellt in jeder von Ihnen erstellten Netzwerksicherheitsgruppe die folgenden Standardregeln:Azure creates the following default rules in each network security group that you create:

EingehendInbound

AllowVNetInBoundAllowVNetInBound

PrioritätPriority QuelleSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtokollProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0 - 655350-65535 VirtualNetworkVirtualNetwork 0 - 655350-65535 AlleAll ZULASSENAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PrioritätPriority QuelleSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtokollProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0 - 655350-65535 0.0.0.0/00.0.0.0/0 0 - 655350-65535 AlleAll ZULASSENAllow

DenyAllInboundDenyAllInbound

PrioritätPriority QuelleSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtokollProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0 - 655350-65535 0.0.0.0/00.0.0.0/0 0 - 655350-65535 AlleAll VerweigernDeny

AusgehendOutbound

AllowVnetOutBoundAllowVnetOutBound

PrioritätPriority QuelleSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtokollProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0 - 655350-65535 VirtualNetworkVirtualNetwork 0 - 655350-65535 AlleAll ZULASSENAllow

AllowInternetOutBoundAllowInternetOutBound

PrioritätPriority QuelleSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtokollProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0 - 655350-65535 InternetInternet 0 - 655350-65535 AlleAll ZULASSENAllow

DenyAllOutBoundDenyAllOutBound

PrioritätPriority QuelleSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtokollProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0 - 655350-65535 0.0.0.0/00.0.0.0/0 0 - 655350-65535 AlleAll VerweigernDeny

In den Spalten Quelle und Ziel handelt es sich bei VirtualNetwork, AzureLoadBalancer und Internet um Diensttags und nicht um IP-Adressen.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. In der Protokollspalte steht Alle für TCP, UDP und ICMP.In the protocol column, All encompasses TCP, UDP, and ICMP. Beim Erstellen einer Regel können Sie „TCP“, „UDP“ oder „Alle“ angeben, aber das Angeben von ICMP allein ist nicht möglich.When creating a rule, you can specify TCP, UDP, or All, but you cannot specify ICMP alone. Falls für Ihre Regel ICMP benötigt wird, müssen Sie als Protokoll daher Alle auswählen.Therefore, if your rule requires ICMP, select All for protocol. 0.0.0.0/0 in den Spalten Quelle und Ziel steht für alle Adressen.0.0.0.0/0 in the Source and Destination columns represents all addresses.

Sie können die Standardregeln nicht entfernen, aber Sie können sie außer Kraft setzen, indem Sie Regeln mit höheren Prioritäten erstellen.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

AnwendungssicherheitsgruppenApplication security groups

Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Die Plattform übernimmt die komplexe Verarbeitung von expliziten IP-Adressen und mehreren Regelsätzen, damit Sie sich auf Ihre Geschäftslogik konzentrieren können.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Das folgende Beispiel bietet Ihnen ein besseres Verständnis von Anwendungssicherheitsgruppen:To better understand application security groups, consider the following example:

Anwendungssicherheitsgruppen

In der Abbildung oben sind NIC1 und NIC2 Mitglieder der Anwendungssicherheitsgruppe AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 ist ein Mitglied der Anwendungssicherheitsgruppe AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 ist ein Mitglied der Anwendungssicherheitsgruppe AsgDb.NIC4 is a member of the AsgDb application security group. Obwohl jede Netzwerkschnittstelle in diesem Beispiel Mitglied von nur einer Anwendungssicherheitsgruppe ist, kann eine Netzwerkschnittstelle Mitglied mehrerer Anwendungssicherheitsgruppen sein. Dabei gelten die Einschränkungen für Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Keiner der Netzwerkschnittstellen ist eine Netzwerksicherheitsgruppe zugeordnet.None of the network interfaces have an associated network security group. NSG1 ist beiden Subnetzen zugeordnet und enthält die folgenden Regeln:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Diese Regel ist erforderlich, um Datenverkehr aus dem Internet an die Webserver zuzulassen.This rule is needed to allow traffic from the internet to the web servers. Da eingehender Datenverkehr aus dem Internet durch die Standardsicherheitsregel DenyAllInbound verweigert wird, ist keine zusätzliche Regel für die Anwendungssicherheitsgruppen AsgLogic oder AsgDb erforderlich.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PrioritätPriority QuelleSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtokollProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP ZULASSENAllow

Deny-Database-AllDeny-Database-All

Da die Standardsicherheitsregel AllowVNetInBound die gesamte Kommunikation zwischen Ressourcen im gleichen virtuellen Netzwerk erlaubt, ist diese Regel erforderlich, um den Datenverkehr von allen Ressourcen zu verweigern.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PrioritätPriority QuelleSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtokollProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 AlleAll VerweigernDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Diese Regel lässt Datenverkehr von der Anwendungssicherheitsgruppe AsgLogic zur Anwendungssicherheitsgruppe AsgDb zu.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. Die Priorität für diese Regel ist höher als die Priorität für die Regel Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Daher wird diese Regel vor der Regel Deny-Database-All verarbeitet, sodass Datenverkehr von den Anwendungssicherheitsgruppen AsgLogic zulässig ist, während der andere Datenverkehr blockiert wird.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PrioritätPriority QuelleSource QuellportsSource ports ZielDestination ZielportsDestination ports ProtokollProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP ZULASSENAllow

Regeln, in denen eine Anwendungssicherheitsgruppe als Quelle oder Ziel angegeben ist, werden nur auf Netzwerkschnittstellen angewendet, bei denen es sich um Mitglieder der Anwendungssicherheitsgruppe handelt.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Wenn die Netzwerkschnittstelle nicht Mitglied einer Anwendungssicherheitsgruppe ist, wird die Regel nicht auf die Netzwerkschnittstelle angewendet, auch wenn die Netzwerksicherheitsgruppe dem Subnetz zugeordnet ist.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Für Anwendungssicherheitsgruppen gelten folgende Einschränkungen:Application security groups have the following constraints:

  • Es gibt Beschränkungen für die Anzahl von Anwendungssicherheitsgruppen in einem Abonnement sowie in Bezug auf Anwendungssicherheitsgruppen.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.For details, see Azure limits.
  • Sie können eine einzelne Anwendungssicherheitsgruppe als Quelle und Ziel in einer Sicherheitsregel angeben.You can specify one application security group as the source and destination in a security rule. Sie können in der Quelle und im Ziel nicht mehrere Anwendungssicherheitsgruppen angeben.You cannot specify multiple application security groups in the source or destination.
  • Alle Netzwerkschnittstellen, die einer Anwendungssicherheitsgruppe zugewiesen sind, müssen in selben virtuellen Netzwerk vorhanden sein, in dem sich die erste Netzwerkschnittstelle befindet, die der Anwendungssicherheitsgruppe zugewiesen wurde.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Wenn sich die erste Netzwerkschnittstelle, die einer Anwendungssicherheitsgruppe mit dem Namen AsgWeb zugewiesen ist, im virtuellen Netzwerk VNet1 befindet, müssen alle nachfolgenden Netzwerkschnittstellen, die ASGWeb zugewiesen werden, in VNet1 enthalten sein.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Einer Anwendungssicherheitsgruppe können keine Netzwerkschnittstellen aus verschiedenen virtuellen Netzwerken hinzugefügt werden.You cannot add network interfaces from different virtual networks to the same application security group.
  • Wenn Sie eine Anwendungssicherheitsgruppe als Quelle und Ziel in einer Sicherheitsregel angeben, müssen sich die Netzwerkschnittstellen in beiden Anwendungssicherheitsgruppen im gleichen virtuellen Netzwerk befinden.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Wenn also beispielsweise AsgLogic Netzwerkschnittstellen aus VNet1 und AsgDb Netzwerkschnittstellen aus VNet2 enthält, kann AsgLogic nicht als Quelle und AsgDb nicht als Ziel in einer Regel zugewiesen werden.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Alle Netzwerkschnittstellen für die Quell- und Ziel-Anwendungssicherheitsgruppen müssen im selben virtuellen Netzwerk vorhanden sein.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Tipp

Planen Sie die erforderlichen Anwendungssicherheitsgruppen, und erstellen Sie Regeln nach Möglichkeit mithilfe von Diensttags oder Anwendungssicherheitsgruppen anstelle von individuellen IP-Adresse oder IP-Adressbereichen, um die Anzahl der erforderlichen Sicherheitsregeln und die Notwendigkeit von Regeländerungen zu minimieren.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Auswertung des DatenverkehrsHow traffic is evaluated

Sie können Ressourcen von mehreren Azure-Diensten in einem virtuellen Azure-Netzwerk bereitstellen.You can deploy resources from several Azure services into an Azure virtual network. Eine vollständige Liste finden Sie unter Dienste, die in einem virtuellen Netzwerk bereitgestellt werden können.For a complete list, see Services that can be deployed into a virtual network. Sie können jedem Subnetz eines virtuellen Netzwerks und jeder Netzwerkschnittstelle eines virtuellen Computers keine oder eine Netzwerksicherheitsgruppe zuordnen.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Sie können dieselbe Netzwerksicherheitsgruppe beliebig vielen Subnetzen und Netzwerkschnittstellen zuordnen.The same network security group can be associated to as many subnets and network interfaces as you choose.

Die folgende Abbildung veranschaulicht verschiedene Szenarien dazu, wie Netzwerksicherheitsgruppen bereitgestellt werden können, um Netzwerkdatenverkehr zum und aus dem Internet über TCP-Port 80 zuzulassen:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

NSG-Verarbeitung

Sehen Sie sich die Abbildung oben zusammen mit dem folgenden Text an, um weitere Informationen dazu zu erhalten, wie Azure ein- und ausgehende Regeln für Netzwerksicherheitsgruppen verarbeitet:Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Eingehender DatenverkehrInbound traffic

Für eingehenden Datenverkehr verarbeitet Azure zuerst die Regeln in einer Netzwerksicherheitsgruppe, die einem Subnetz (sofern vorhanden) zugeordnet sind, und anschließend die Regeln in einer Netzwerksicherheitsgruppe, die der Netzwerkschnittstelle (sofern vorhanden) zugeordnet sind.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: Die Sicherheitsregeln in NSG1 werden verarbeitet, da sie Subnet1 zugeordnet ist und VM1 sich in Subnet1 befindet.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. Sofern Sie keine Regel erstellt haben, die Port 80 als eingehenden Port zulässt, wird der Datenverkehr von der Standardsicherheitsregel DenyAllInbound abgelehnt und von NSG2 nicht ausgewertet, da NSG2 der Netzwerkschnittstelle zugeordnet ist.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Wenn NSG1 über eine Sicherheitsregel verfügt, die Port 80 zulässt, wird der Datenverkehr von NSG2 verarbeitet.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Damit Port 80 für den virtuellen Computer zulässig ist, müssen sowohl NSG1 als auch NSG2 über eine Regel verfügen, die Port 80 aus dem Internet zulässt.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: Die Regeln in NSG1 werden verarbeitet, da VM2 sich auch in Subnet1 befindet.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Da VM2 über keine Netzwerksicherheitsgruppe verfügt, die seiner Netzwerkschnittstelle zugeordnet ist, empfängt er den gesamten zulässigen Datenverkehr über NSG1, oder der gesamte Datenverkehr wird durch NSG1 verweigert.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Datenverkehr wird für alle Ressourcen im selben Subnetz entweder zugelassen oder verweigert, wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: Da Subnet2 keine Netzwerksicherheitsgruppe zugeordnet ist, ist Datenverkehr in das Subnetz zulässig und wird von NSG2 verarbeitet, da NSG2 der Netzwerkschnittstelle zugeordnet ist, die VM3 angefügt ist.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: Datenverkehr ist für VM4 zulässig, da Subnet3 oder der Netzwerkschnittstelle im virtuellen Computer keine Netzwerksicherheitsgruppe zugeordnet ist.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Der gesamte Netzwerkdatenverkehr ist über ein Subnetz und eine Netzwerkschnittstelle zulässig, wenn diesen keine Netzwerksicherheitsgruppe zugeordnet ist.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Ausgehender DatenverkehrOutbound traffic

Für ausgehenden Datenverkehr verarbeitet Azure zuerst die Regeln in einer Netzwerksicherheitsgruppe, die einer Netzwerkschnittstelle (sofern vorhanden) zugeordnet sind, und anschließend die Regeln in einer Netzwerksicherheitsgruppe, die dem Subnetz (sofern vorhanden) zugeordnet sind.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: Die Sicherheitsregeln in NSG2 werden verarbeitet.VM1: The security rules in NSG2 are processed. Sofern Sie keine Sicherheitsregel erstellen, die Port 80 als ausgehenden Port zum Internet zulässt, wird der Datenverkehr von der Standardsicherheitsregel AllowInternetOutbound in NSG1 sowie NSG2 zugelassen.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Wenn NSG2 über eine Sicherheitsregel verfügt, die Port 80 ablehnt, wird der Datenverkehr abgelehnt und nicht von NSG1 ausgewertet.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Zum Verweigern von Port 80 vom virtuellen Computer oder beiden Netzwerksicherheitsgruppen ist eine Regel erforderlich, die Port 80 für das Internet verweigert.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2:Der gesamte Datenverkehr wird über die Netzwerkschnittstelle an das Subnetz gesendet, da die Netzwerkschnittstelle, die an VM2 angefügt ist, keine ihm zugeordnete Netzwerksicherheitsgruppe hat.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Die Regeln in NSG1 werden verarbeitet.The rules in NSG1 are processed.
  • VM3: Wenn NSG2 über eine Sicherheitsregel verfügt, die Port 80 verweigert, wird der Datenverkehr verweigert.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Wenn NSG2 über eine Sicherheitsregel verfügt, die Port 80 zulässt, dann ist Port 80 als ausgehender Port für das Internet zulässig, da Subnet2 keine Netzwerksicherheitsgruppe zugeordnet ist.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: Der gesamte Netzwerkdatenverkehr von VM4 ist zulässig, da der Netzwerkschnittstelle, die an den virtuellen Computer angefügt ist, oder Subnet3 keine Netzwerksicherheitsgruppe zugeordnet ist.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Sie können die Aggregatregeln, die auf eine Netzwerkschnittstelle angewendet werden, leicht prüfen, indem Sie die effektiven Sicherheitsregeln für eine Netzwerkschnittstelle anzeigen.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Sie können auch in Azure Network Watcher die Funktion Überprüfen des IP-Flusses verwenden, um zu ermitteln, ob die Kommunikation für eine Netzwerkschnittstelle in ein- oder ausgehender Richtung zulässig ist.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. Die IP-Datenflussüberprüfung gibt an, ob die Kommunikation zugelassen oder verweigert wird und für welche Netzwerksicherheitsregel Datenverkehr zugelassen ist oder verweigert wird.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Hinweis

Netzwerksicherheitsgruppen sind Subnetzen oder virtuellen Computern und Clouddiensten zugeordnet, die im Rahmen des klassischen Bereitstellungsmodells bereitgestellt wurden, und nicht Netzwerkschnittstellen gemäß dem Resource Manager-Bereitstellungsmodell.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, rather than to network interfaces in the Resource Manager deployment model. Weitere Informationen zu den Azure-Bereitstellungsmodellen finden Sie unter Azure Resource Manager-Bereitstellung im Vergleich zur klassischen Bereitstellung: Grundlegendes zu Bereitstellungsmodellen und zum Status von Ressourcen.To learn more about Azure deployment models, see Understand Azure deployment models.

Tipp

Wir empfehlen Ihnen, eine Netzwerksicherheitsgruppe einem Subnetz oder einer Netzwerkschnittstelle zuzuordnen, aber nicht beiden, sofern kein zwingender Grund dafür vorliegt.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Da Regeln in einer Netzwerksicherheitsgruppe, die einem Subnetz zugeordnet ist, unter Umständen mit Regeln in einer Netzwerksicherheitsgruppe, die einer Netzwerkschnittstelle zugeordnet sind, in Konflikt stehen, können unerwartete Kommunikationsprobleme auftreten, die behoben werden müssen.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Aspekte der Azure PlatformAzure platform considerations

  • Virtuelle IP des Hostknotens: Grundlegende Infrastrukturdienste wie DHCP, DNS und die Systemüberwachung werden über die virtualisierten Host-IP-Adressen 168.63.129.16 und 169.254.169.254 bereitgestellt.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Diese öffentlichen IP-Adressen gehören Microsoft und sind die einzigen virtuellen IP-Adressen, die in allen Regionen zu diesem Zweck verwendet werden.These public IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. Die Adressen werden der physischen IP-Adresse des Servercomputers (Hostknoten) zugeordnet, der den virtuellen Computer hostet.The addresses map to the physical IP address of the server machine (host node) hosting the virtual machine. Der Hostknoten fungiert als DHCP-Relay, als rekursiver DNS-Resolver und als Integritätstestquelle für den Load Balancer und den Computer.The host node acts as the DHCP relay, the DNS recursive resolver, and the probe source for the load balancer health probe and the machine health probe. Bei der Kommunikation mit diesen IP-Adressen handelt es sich nicht um einen Angriff.Communication to these IP addresses is not an attack. Wenn Sie den Datenverkehr an bzw. von diesen IP-Adressen blockieren, funktioniert ein virtueller Computer unter Umständen nicht richtig.If you block traffic to or from these IP addresses, a virtual machine may not function properly.
  • Lizenzierung (Schlüsselverwaltungsdienst): Die auf virtuellen Computern ausgeführten Windows-Images müssen lizenziert werden.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Zum Sicherstellen der Lizenzierung wird eine entsprechende Anforderung an die Hostserver des Schlüsselverwaltungsdiensts gesendet, die solche Abfragen verarbeiten.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. Die Anforderung wird in ausgehender Richtung über Port 1688 gesendet.The request is made outbound through port 1688. Für Bereitstellungen mit einer Konfiguration der Standardroute 0.0.0.0/0 wird diese Plattformregel deaktiviert.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.
  • Virtuelle Computer in Pools mit Lastenausgleich: Der angewendete Quellport und -adressbereich stammen vom Ausgangscomputer, nicht vom Lastenausgleich.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. Der Zielport und -adressbereich sind für den Zielcomputer bestimmt, nicht für den Lastenausgleich.The destination port and address range are for the destination computer, not the load balancer.
  • Azure-Dienstinstanzen: Instanzen mehrerer Azure-Dienste, z.B. HDInsight, Anwendungsdienstumgebungen und VM-Skalierungsgruppen, werden in Subnetzen virtueller Computer bereitgestellt.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Eine vollständige Liste mit den Diensten, die Sie in virtuellen Netzwerken bereitstellen können, finden Sie unter Virtuelles Netzwerk für Azure-Dienste.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Machen Sie sich auf jeden Fall mit den Portanforderungen für die einzelnen Dienste vertraut, bevor Sie eine Netzwerksicherheitsgruppe auf das Subnetz anwenden, in dem die Ressource bereitgestellt wurde.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Wenn Sie den Datenverkehr für Ports verweigern, die für den Dienst benötigt werden, funktioniert der Dienst nicht richtig.If you deny ports required by the service, the service doesn't function properly.
  • Senden von E-Mails in ausgehender Richtung: Microsoft empfiehlt die Nutzung von authentifizierten SMTP-Relaydiensten (normalerweise über TCP-Port 587 verbunden, aber auch über andere Ports), um E-Mails von Azure Virtual Machines zu senden.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. SMTP-Relaydienste sind auf Absenderzuverlässigkeit ausgelegt, um die Wahrscheinlichkeit zu verringern, dass Nachrichten von E-Mail-Drittanbietern abgelehnt werden.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Zu diesen SMTP-Relaydiensten gehören u.a. auch Exchange Online Protection und SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Die Nutzung von SMTP-Relaydiensten ist in Azure unabhängig von Ihrem Abonnementtyp auf keinerlei Weise eingeschränkt.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Wenn Sie Ihr Azure-Abonnement vor dem 15. November 2017 erstellt haben, können Sie nicht nur die SMTP-Relaydienste nutzen, sondern auch E-Mails direkt über TCP-Port 25 senden.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Falls Sie Ihr Abonnement nach dem 15. November 2017 erstellt haben, ist es unter Umständen nicht möglich, E-Mails direkt über Port 25 zu senden.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Das Verhalten der ausgehenden Kommunikation über Port 25 hängt wie folgt vom Typ Ihres Abonnements ab:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Enterprise Agreement: Die Kommunikation in ausgehender Richtung über Port 25 ist zulässig.Enterprise Agreement: Outbound port 25 communication is allowed. Sie können ausgehende E-Mails direkt von virtuellen Computern an externe E-Mail-Anbieter senden, ohne dass Einschränkungen der Azure Platform bestehen.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Nutzungsbasierte Bezahlung: Die Kommunikation in ausgehender Richtung über Port 25 wird für alle Ressourcen blockiert.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Wenn Sie E-Mails von einem virtuellen Computer direkt an externe E-Mail-Anbieter senden müssen (ohne authentifiziertes SMTP-Relay), können Sie die Aufhebung der Einschränkung anfordern.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Anfragen dieser Art werden von Microsoft geprüft und erst nach Durchführung von Betrugsprüfungen genehmigt.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Erstellen Sie hierzu eine Supportanfrage mit einem Problemtyp der Art Technisch, Konnektivität virtueller Netzwerke, E-Mail senden nicht möglich (SMTP/Port 25).To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). Fügen Sie in die Supportanfrage Details dazu ein, warum für Ihr Abonnement das direkte Senden von E-Mails an E-Mail-Anbieter erforderlich ist, anstatt ein authentifiziertes SMTP-Relay zu verwenden.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Wenn für Ihr Abonnement eine Ausnahmeregelung gewährt wird, können nur virtuelle Computer, die nach dem Startdatum der Ausnahmeregelung erstellt wurden, in ausgehender Richtung über Port 25 kommunizieren.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure in Open, Education, BizSpark und kostenlose Testversion: Die Kommunikation in ausgehender Richtung über Port 25 wird für alle Ressourcen blockiert.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Es können keine Anfragen zur Beseitigung der Einschränkungen gesendet werden, da keine Ausnahmen gewährt werden.No requests to remove the restriction can be made, because requests are not granted. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Clouddienstanbieter: Kunden, die Azure-Ressourcen über einen Clouddienstanbieter nutzen, können eine Supportanfrage an ihren Clouddienstanbieter stellen und anfordern, dass der Anbieter eine Anfrage zur Blockierungsaufhebung in ihrem Auftrag stellt, wenn ein sicheres SMTP-Relay nicht verwendet werden kann.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Wenn für Sie in Azure das Senden von E-Mails über Port 25 zugelassen wird, kann von Microsoft nicht garantiert werden, dass E-Mail-Anbieter eingehende E-Mails von Ihrem virtuellen Computer akzeptieren.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Falls ein bestimmter Anbieter E-Mails von Ihrem virtuellen Computer ablehnt, müssen Sie sich direkt an den Anbieter wenden, um Probleme mit der Nachrichtenzustellung oder Spamfilterung zu beheben, oder einen authentifizierten SMTP-Relaydienst verwenden.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Nächste SchritteNext steps