Grupos de seguridad de redNetwork security groups

Puede usar el grupo de seguridad de red de Azure para filtrar el tráfico de red hacia y desde los recursos de Azure de una red virtual de Azure.You can use an Azure network security group to filter network traffic to and from Azure resources in an Azure virtual network. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante o el tráfico de red saliente de varios tipos de recursos de Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Para cada regla, puede especificar un origen y destino, un puerto y un protocolo.For each rule, you can specify source and destination, port, and protocol.

En este artículo se describen las propiedades de una regla de grupo de seguridad de red, las reglas de seguridad predeterminadas que se aplican y las propiedades de regla que se pueden modificar para crear una regla de seguridad aumentada.This article describes properties of a network security group rule, the default security rules that are applied, and the rule properties that you can modify to create an augmented security rule.

Reglas de seguridadSecurity rules

Un grupo de seguridad de red puede contener cero reglas, o tantas reglas como desee, siempre que esté dentro de los límites de la suscripción de Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Cada regla especifica las siguientes propiedades:Each rule specifies the following properties:

PropiedadProperty ExplicaciónExplanation
NombreName Un nombre único dentro del grupo de seguridad de red.A unique name within the network security group.
PrioridadPriority Un número entre 100 y 4096.A number between 100 and 4096. Las reglas se procesan en orden de prioridad. Se procesan primero las reglas con los números más bajos ya que estos tienen más prioridad.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Si el tráfico coincide con una regla, se detiene el procesamiento.Once traffic matches a rule, processing stops. Como resultado, las reglas con menor prioridad (números más altos) que tengan los mismos atributos que las reglas con una prioridad mayor no se procesarán.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Origen o destinoSource or destination Cualquiera, una dirección IP individual, un bloque CIDR de enrutamiento entre dominios sin clases (10.0.0.0/24, por ejemplo), una etiqueta de servicio o un grupo de seguridad de aplicaciones.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Si especifica una dirección para un recurso de Azure, especifique la dirección IP privada asignada al recurso.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Las grupos de seguridad de red se procesan después de que Azure traduzca una dirección IP pública a una dirección IP privada para el tráfico de entrada y antes de que Azure traduzca una dirección IP privada a una dirección IP pública para el tráfico de salida.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. .. La especificación de un intervalo, una etiqueta de servicio o grupo de seguridad de aplicaciones le permite crear menos reglas de seguridad.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. La posibilidad de especificar varias direcciones IP individuales e intervalos (no puede especificar varias etiquetas de servicio ni grupos de aplicaciones) en una regla se conoce como reglas de seguridad aumentada.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Las reglas de seguridad aumentada solo se pueden generar en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. No puede especificar varias direcciones IP ni intervalos de ellas en grupos de seguridad de red creados mediante el modelo de implementación clásica.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model.
ProtocoloProtocol TCP, UDP, ICMP o Cualquiera.TCP, UDP, ICMP or Any.
DirecciónDirection Si la regla se aplica al tráfico entrante o al saliente.Whether the rule applies to inbound, or outbound traffic.
Intervalo de puertosPort range Puede especificar un puerto individual o un intervalo de puertos.You can specify an individual or range of ports. Por ejemplo, puede especificar 80 o 10000-10005.For example, you could specify 80 or 10000-10005. La especificación de intervalos le permite crear menos reglas de seguridad.Specifying ranges enables you to create fewer security rules. Las reglas de seguridad aumentada solo se pueden generar en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. No puede especificar varios puertos ni intervalos de ellos en la misma regla de seguridad de los grupos de seguridad de red creados mediante el modelo de implementación clásica.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
AcciónAction Permitir o denegarAllow or deny

Las reglas de seguridad de los grupos de seguridad de red se evalúan por prioridad mediante información en tuplas de 5 elementos (origen, puerto de origen, destino, puerto de destino y protocolo) para permitir o denegar el tráfico.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. No se pueden crear dos reglas de seguridad con la misma prioridad y dirección.You may not create two security rules with the same priority and direction. Se crea un registro de flujo para las conexiones existentes.A flow record is created for existing connections. Se permite o deniega la comunicación en función del estado de conexión del registro de flujo.Communication is allowed or denied based on the connection state of the flow record. El registro de flujo permite que un grupo de seguridad de red sea con estado.The flow record allows a network security group to be stateful. Por ejemplo, si especifica una regla de seguridad de salida para cualquier dirección a través del puerto 80, no será necesario especificar una regla de seguridad de entrada para la respuesta al tráfico saliente.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Solo debe especificar una regla de seguridad de entrada si la comunicación se inicia de forma externa.You only need to specify an inbound security rule if communication is initiated externally. Lo contrario también es cierto.The opposite is also true. Si se permite el tráfico entrante a través de un puerto, no es necesario especificar una regla de seguridad de salida para responder al tráfico a través del puerto.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port.

No es posible interrumpir las conexiones existentes cuando se elimina una regla de seguridad que habilitó el flujo.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Los flujos de tráfico se interrumpen cuando se detienen las conexiones y no fluye ningún tráfico en ambas direcciones durante al menos unos minutos.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Hay límites en el número de reglas de seguridad que puede crear en un grupo de seguridad de red.There are limits to the number of security rules you can create in a network security group. Para más información, consulte el artículo acerca de los límites de Azure.For details, see Azure limits.

Reglas de seguridad predeterminadasDefault security rules

Azure crea las siguientes reglas predeterminadas en cada grupo de seguridad de red que cree:Azure creates the following default rules in each network security group that you create:

EntradaInbound

AllowVNetInBoundAllowVNetInBound
PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccesoAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow
AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound
PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccesoAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny AllowAllow
DenyAllInboundDenyAllInbound
PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccesoAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny DenegarDeny

SalidaOutbound

AllowVnetOutBoundAllowVnetOutBound
PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccesoAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow
AllowInternetOutBoundAllowInternetOutBound
PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccesoAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 AnyAny AllowAllow
DenyAllOutBoundDenyAllOutBound
PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccesoAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny DenegarDeny

En las columnas Origen y Destino, VirtualNetwork, AzureLoadBalancer e Internet son etiquetas de servicios, en lugar de direcciones IP.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. En la columna de protocolos, Cualquiera abarca TCP, UDP e ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Al crear una regla, puede especificar TCP, UDP, ICMP o Cualquiera.When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 en las columnas Origen y Destino representa todas las direcciones.0.0.0.0/0 in the Source and Destination columns represents all addresses. Los clientes, como Azure Portal, la CLI de Azure o PowerShell, pueden usar * o any en esta expresión.Clients like Azure portal, Azure CLI, or PowerShell can use * or any for this expression.

Las reglas predeterminadas no se pueden quitar, pero puede reemplazarlas con reglas de prioridad más alta.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Reglas de seguridad aumentadaAugmented security rules

Las reglas de seguridad aumentada permiten simplificar la definición de seguridad para las redes virtuales, lo que le permitirá definir directivas de seguridad de red más grandes y complejas, con menos reglas.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Puede combinar varios puertos y varias direcciones IP explícitas e intervalos en una única regla de seguridad de fácil comprensión.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Use reglas aumentadas en los campos de origen, destino y puerto de una regla.Use augmented rules in the source, destination, and port fields of a rule. Para simplificar el mantenimiento de la definición de la regla de seguridad, combine las reglas de seguridad aumentada con etiquetas de servicio o grupos de seguridad de aplicaciones.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Hay límites en el número de direcciones, intervalos y puertos que se pueden especificar en una regla.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Para más información, consulte el artículo acerca de los límites de Azure.For details, see Azure limits.

Etiquetas de servicioService tags

Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado.A service tag represents a group of IP address prefixes from a given Azure service. Ayuda a minimizar la complejidad de las actualizaciones frecuentes de las reglas de seguridad de red.It helps to minimize the complexity of frequent updates on network security rules.

Para más información, consulte Etiquetas de servicio de Azure.For more information, see Azure service tags. Para ver un ejemplo de cómo usar la etiqueta del servicio Storage para restringir el acceso a la red, consulte Restricción del acceso de red a los recursos de PaaS.For an example on how to use the Storage service tag to restrict network access, see Restrict network access to PaaS resources.

Grupos de seguridad de aplicacionesApplication security groups

Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Puede reutilizar la directiva de seguridad a escala sin mantenimiento manual de direcciones IP explícitas.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Para más información, consulte Grupos de seguridad de aplicaciones.To learn more, see Application security groups.

Consideraciones de la plataforma AzureAzure platform considerations

  • Dirección IP virtual del nodo de host: los servicios de infraestructura básica, como DHCP, DNS, IMDS y seguimiento de estado se proporcionan mediante las direcciones IP de host virtualizadas 168.63.129.16 y 169.254.169.254.Virtual IP of the host node: Basic infrastructure services like DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Estas direcciones IP pertenecen a Microsoft y son la únicas direcciones IP virtualizadas que se usarán en todas las regiones con este fin.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. Las reglas de seguridad y las rutas vigentes no incluirán estas reglas de plataforma.Effective security rules and effective routes will not include these platform rules. Para invalidar esta comunicación de la infraestructura básica, puede crear una regla de seguridad para denegar el tráfico usando las siguientes etiquetas de servicio en las reglas del grupo de seguridad de red: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM.To override this basic infrastructure communication, you can create a security rule to deny traffic by using the following service tags on your Network Security Group rules: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Aprenda sobre el diagnóstico del filtrado de tráfico de red y el diagnóstico del enrutamiento de red.Learn how to diagnose network traffic filtering and diagnose network routing.

  • Licencias (Servicio de administración de claves) : las imágenes de Windows que se ejecutan en máquinas virtuales deben tener licencia.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Para garantizar que se usen licencias, se envía una solicitud a los servidores host del Servicio de administración de claves que administran dichas consultas.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. La solicitud de salida se realiza a través del puerto 1688.The request is made outbound through port 1688. Para implementaciones que usan la configuración de la ruta predeterminada 0.0.0.0/0, se deshabilitará esta regla de plataforma.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Máquinas virtuales en grupos de carga equilibrada: el puerto y el intervalo de direcciones de origen aplicados proceden del equipo de origen, no del equilibrador de carga.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. El puerto y el intervalo de direcciones de destino son los del equipo de destino, no los del equilibrador de carga.The destination port and address range are for the destination computer, not the load balancer.

  • Instancias de servicio de Azure: instancias de varios servicios de Azure, como HDInsight, App Service Environment y Virtual Machine Scale Sets, implementados en subredes de la red virtual.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Para ver una lista completa de los servicios que puede implementar en redes virtuales, consulte el artículo sobre la Red virtual para los servicios de Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Asegúrese de que conoce los requisitos de puertos de cada servicio antes de aplicar un grupo de seguridad de red a la subred en la que se implementa el recurso.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Si deniega los puertos que el servicio requiere, este no funcionará correctamente.If you deny ports required by the service, the service doesn't function properly.

  • Envío de correo electrónico saliente: Microsoft recomienda usar servicios de retransmisión SMTP autenticados (que normalmente se conectan a través del puerto TCP 587, pero a menudo también de otros) para enviar correo electrónico desde Azure Virtual Machines.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Los servicios de retransmisión SMTP se especializan en la reputación del remitente, con el fin de minimizar la posibilidad de que proveedores de correo electrónico de terceros rechacen los mensajes.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Estos servicios de retransmisión de SMTP incluyen Exchange Online Protection y SendGrid, pero no se limitan a ellos.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. El uso de servicios de retransmisión de SMTP no tiene ninguna restricción en Azure, independientemente del tipo de suscripción.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Si ha creado la suscripción a Azure antes del 15 de noviembre de 2017, además de poder usar los servicios de retransmisión de SMTP, puede enviar el correo electrónico directamente a través del puerto TCP 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Si ha creado la suscripción después del 15 de noviembre de 2017, es posible que no pueda enviar correo electrónico directamente a través del puerto 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. El comportamiento de la comunicación saliente a través del puerto 25 depende del tipo de suscripción que tenga, como se indica a continuación:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Contrato Enterprise: se permite la comunicación saliente a través del puerto 25.Enterprise Agreement: Outbound port 25 communication is allowed. Puede enviar un correo electrónico saliente directamente desde las máquinas virtuales a los proveedores de correo electrónico externos, sin las restricciones de la plataforma de Azure.You are able to send an outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Pago por uso: la comunicación saliente a través del puerto 25 está bloqueada en todos los recursos.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Si necesita enviar correo electrónico desde una máquina virtual directamente a proveedores de correo electrónico externos (que no usan retransmisión SMTP autenticada), puede realizar una solicitud para quitar la restricción.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Las solicitudes se revisan y aprueban a discreción de Microsoft y solo se conceden una vez que se han realizado las comprobaciones contra fraudes.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Para realizar una solicitud, abra un caso de soporte técnico con el tipo de problema Técnico, Conectividad de red virtual, No se puede enviar correo electrónico (SMTP/puerto 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). En su caso de soporte técnico, indique los motivos por los que su suscripción tiene que enviar correo electrónico directamente a los proveedores de correo electrónico, en lugar de pasar por una retransmisión SMTP autenticada.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Si la suscripción está exenta, las únicas máquinas virtuales que pueden establecer comunicación saliente a través del puerto 25 son las creadas después de la fecha de exención.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Pase para Azure, Azure bajo licencia Open, Education, BizSpark y evaluación gratuita: la comunicación saliente a través del puerto 25 está bloqueada en todos los recursos.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. No se pueden realizar solicitudes para quitar la restricción, ya que no se conceden solicitudes.No requests to remove the restriction can be made, because requests are not granted. Si necesita enviar correo electrónico desde la máquina virtual, debe usar un servicio de retransmisión SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Proveedor de servicios en la nube: los clientes que consumen recursos de Azure a través de un proveedor de servicios en la nube pueden crear una incidencia de soporte técnico con su proveedor de servicios en la nube y solicitar que el proveedor cree un caso de desbloqueo en su nombre si no se puede usar una retransmisión SMTP segura.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Si Azure le permite enviar correo electrónico a través del puerto 25, Microsoft no garantiza de proveedores de correo electrónico vayan a aceptar correo electrónico entrante procedente de la máquina virtual.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Si un proveedor específico rechaza el correo electrónico de la máquina virtual, tendrá que trabajar directamente con él para resolver los problemas de entrega de mensajes o de filtrado de correo no deseado o bien utilizar un servicio de retransmisión SMTP autenticado.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Pasos siguientesNext steps