Grupos de seguridadSecurity groups

Puede filtrar el tráfico de red hacia y desde los recursos de Azure en una red virtual de Azure con un grupo de seguridad de red.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante o el tráfico de red saliente de varios tipos de recursos de Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Para obtener información acerca de qué recursos de Azure se pueden implementar en una red virtual y pueden tener grupos de seguridad de red asociados, consulte Integración de redes virtuales para los servicios de Azure.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Para cada regla, puede especificar un origen y destino, un puerto y un protocolo.For each rule, you can specify source and destination, port, and protocol.

En este artículo se explican los conceptos de los grupos de seguridad de red para ayudarle a usarlos de manera eficaz.This article explains network security group concepts, to help you use them effectively. Si nunca ha creado un grupo de seguridad de red, puede seguir un tutorial rápido para obtener alguna experiencia en la creación de uno.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Si está familiarizado con los grupos de seguridad de red y necesita administrarlos, consulte Administración de un grupo de seguridad de red.If you're familiar with network security groups and need to manage them, see Manage a network security group. Si tiene problemas con las comunicaciones y necesita solucionar problemas de los grupos de seguridad de red, consulte Diagnóstico de un problema de filtro de tráfico de red de una máquina virtual.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Puede habilitar los registros de flujo de los grupos de seguridad de red para analizar el tráfico de red hacia y desde los recursos que tienen un grupo de seguridad de red asociado.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

Reglas de seguridadSecurity rules

Un grupo de seguridad de red puede contener cero reglas, o tantas reglas como desee, siempre que esté dentro de los límites de la suscripción de Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Cada regla especifica las siguientes propiedades:Each rule specifies the following properties:

PropiedadProperty ExplicaciónExplanation
NOMBREName Un nombre único dentro del grupo de seguridad de red.A unique name within the network security group.
PriorityPriority Un número entre 100 y 4096.A number between 100 and 4096. Las reglas se procesan en orden de prioridad. Se procesan primero las reglas con los números más bajos ya que estos tienen más prioridad.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Si el tráfico coincide con una regla, se detiene el procesamiento.Once traffic matches a rule, processing stops. Como resultado, las reglas con menor prioridad (números más altos) que tengan los mismos atributos que las reglas con una prioridad mayor no se procesarán.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Origen o destinoSource or destination Cualquiera, una dirección IP individual, un bloque CIDR de enrutamiento entre dominios sin clases (10.0.0.0/24, por ejemplo), una etiqueta de servicio o un grupo de seguridad de aplicaciones.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Si especifica una dirección para un recurso de Azure, especifique la dirección IP privada asignada al recurso.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Las grupos de seguridad de red se procesan después de que Azure traduzca una dirección IP pública a una dirección IP privada para el tráfico de entrada y antes de que Azure traduzca una dirección IP privada a una dirección IP pública para el tráfico de salida.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Más información sobre direcciones IP de Azure.Learn more about Azure IP addresses. La especificación de un intervalo, una etiqueta de servicio o grupo de seguridad de aplicaciones le permite crear menos reglas de seguridad.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. La posibilidad de especificar varias direcciones IP individuales e intervalos (no puede especificar varias etiquetas de servicio ni grupos de aplicaciones) en una regla se conoce como reglas de seguridad aumentada.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Las reglas de seguridad aumentada solo se pueden generar en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. No puede especificar varias direcciones IP ni intervalos de ellas en grupos de seguridad de red creados mediante el modelo de implementación clásica.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Más información acerca de los modelos de implementación de Azure.Learn more about Azure deployment models.
ProtocoloProtocol TCP, UDP, ICMP o Cualquiera.TCP, UDP, ICMP or Any.
DirecciónDirection Si la regla se aplica al tráfico entrante o al saliente.Whether the rule applies to inbound, or outbound traffic.
Intervalo de puertosPort range Puede especificar un puerto individual o un intervalo de puertos.You can specify an individual or range of ports. Por ejemplo, puede especificar 80 o 10000-10005.For example, you could specify 80 or 10000-10005. La especificación de intervalos le permite crear menos reglas de seguridad.Specifying ranges enables you to create fewer security rules. Las reglas de seguridad aumentada solo se pueden generar en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. No puede especificar varios puertos ni intervalos de ellos en la misma regla de seguridad de los grupos de seguridad de red creados mediante el modelo de implementación clásica.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
.Action Permitir o denegarAllow or deny

Las reglas de seguridad de los grupos de seguridad de red se evalúan por prioridad mediante información en tuplas de 5 elementos (origen, puerto de origen, destino, puerto de destino y protocolo) para permitir o denegar el tráfico.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Se crea un registro de flujo para las conexiones existentes.A flow record is created for existing connections. Se permite o deniega la comunicación en función del estado de conexión del registro de flujo.Communication is allowed or denied based on the connection state of the flow record. El registro de flujo permite que un grupo de seguridad de red sea con estado.The flow record allows a network security group to be stateful. Por ejemplo, si especifica una regla de seguridad de salida para cualquier dirección a través del puerto 80, no será necesario especificar una regla de seguridad de entrada para la respuesta al tráfico saliente.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Solo debe especificar una regla de seguridad de entrada si la comunicación se inicia de forma externa.You only need to specify an inbound security rule if communication is initiated externally. Lo contrario también es cierto.The opposite is also true. Si se permite el tráfico entrante a través de un puerto, no es necesario especificar una regla de seguridad de salida para responder al tráfico a través del puerto.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. No es posible interrumpir las conexiones existentes cuando se elimina una regla de seguridad que habilitó el flujo.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Los flujos de tráfico se interrumpen cuando se detienen las conexiones y no fluye ningún tráfico en ambas direcciones durante al menos unos minutos.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Hay límites en el número de reglas de seguridad que puede crear en un grupo de seguridad de red.There are limits to the number of security rules you can create in a network security group. Para más información, consulte el artículo acerca de los límites de Azure.For details, see Azure limits.

Reglas de seguridad aumentadaAugmented security rules

Las reglas de seguridad aumentada permiten simplificar la definición de seguridad para las redes virtuales, lo que le permitirá definir directivas de seguridad de red más grandes y complejas, con menos reglas.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Puede combinar varios puertos y varias direcciones IP explícitas e intervalos en una única regla de seguridad de fácil comprensión.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Use reglas aumentadas en los campos de origen, destino y puerto de una regla.Use augmented rules in the source, destination, and port fields of a rule. Para simplificar el mantenimiento de la definición de la regla de seguridad, combine las reglas de seguridad aumentada con etiquetas de servicio o grupos de seguridad de aplicaciones.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Hay límites en el número de direcciones, intervalos y puertos que se pueden especificar en una regla.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Para más información, consulte el artículo acerca de los límites de Azure.For details, see Azure limits.

Etiquetas de servicioService tags

Una etiqueta de servicio representa un grupo de prefijos de direcciones IP que ayudan a reducir la complejidad de la creación de reglas de seguridad.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. No puede crear su propia etiqueta de servicio, ni especificar qué direcciones IP se incluyen dentro de una etiqueta.You cannot create your own service tag, nor specify which IP addresses are included within a tag. Microsoft administra los prefijos de direcciones que incluye la etiqueta de servicio y actualiza automáticamente esta a medida que las direcciones cambian.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad.You can use service tags in place of specific IP addresses when creating security rules.

Las siguientes etiquetas de servicio están disponibles para su uso en las reglas de grupos de seguridad de red.The following service tags are available for use in network security groups rules. También pueden usarse las etiquetas de servicio con asterisco al final (es decir, AzureCloud *) en las reglas de red de Azure Firewall.Service tags with asterisk at the end (i.e. AzureCloud*) can also be used in Azure Firewall network rules.

  • ApiManagement* (solo Resource Manager): Esta etiqueta denota los prefijos de dirección del tráfico de administración para las implementaciones dedicadas de APIM.ApiManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for APIM dedicated deployments. Si especifica ApiManagement como valor, el tráfico a ApiManagement se permite o se deniega.If you specify ApiManagement for the value, traffic is allowed or denied to ApiManagement. Esta etiqueta se recomienda para la regla de seguridad de entrada/salida.This tag is recommended for inbound/outbound security rule.
  • AppService* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio Azure App Service.AppService* (Resource Manager only): This tag denotes the address prefixes of the Azure AppService service. Si especifica AppService como valor, el tráfico a AppService se permite o se deniega.If you specify AppService for the value, traffic is allowed or denied to AppService. Si solo desea permitir el acceso a AppService en una región específica, puede especificar la región en el siguiente formato: AppService.[nombre de región].If you only want to allow access to AppService in a specific region, you can specify the region in the following format AppService.[region name]. Esta etiqueta se recomienda para la regla de seguridad de salida a front-ends de WebApps.This tag is recommended for outbound security rule to WebApps frontends.
  • AppServiceManagement* (solo Resource Manager): Esta etiqueta denota los prefijos de dirección del tráfico de administración para las implementaciones dedicadas de App Service Environment.AppServiceManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for App Service Environment dedicated deployments. Si especifica AppServiceManagement como valor, el tráfico a AppServiceManagement se permite o se deniega.If you specify AppServiceManagement for the value, traffic is allowed or denied to AppServiceManagement. Esta etiqueta se recomienda para la regla de seguridad de entrada/salida.This tag is recommended for inbound/outbound security rule.
  • AzureActiveDirectory* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio Azure Active Directory.AzureActiveDirectory* (Resource Manager only): This tag denotes the address prefixes of the AzureActiveDirectory service. Si especifica AzureActiveDirectory como valor, el tráfico a AzureActiveDirectory se permite o se deniega.If you specify AzureActiveDirectory for the value, traffic is allowed or denied to AzureActiveDirectory. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • AzureActiveDirectoryDomainServices* (solo Resource Manager): Esta etiqueta denota los prefijos de dirección del tráfico de administración para las implementaciones dedicadas de Azure Active Directory Domain Services.AzureActiveDirectoryDomainServices* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Active Directory Domain Services dedicated deployments. Si especifica AzureActiveDirectoryDomainServices como valor, el tráfico a AzureActiveDirectoryDomainServices se permite o se deniega.If you specify AzureActiveDirectoryDomainServices for the value, traffic is allowed or denied to AzureActiveDirectoryDomainServices. Esta etiqueta se recomienda para la regla de seguridad de entrada/salida.This tag is recommended for inbound/outbound security rule.
  • AzureBackup* (solo Resource Manager): Esta etiqueta denota los prefijos de dirección del servicio AzureBackup.AzureBackup* (Resource Manager only): This tag denotes the address prefixes of the AzureBackup service. Si especifica AzureBackup como valor, el tráfico a AzureBackup se permite o se deniega.If you specify AzureBackup for the value, traffic is allowed or denied to AzureBackup. Esta etiqueta tiene dependencia de las etiquetas Storage y AzureActiveDirectory.This tag has a dependency on the Storage and AzureActiveDirectory tags. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • AzureCloud* (solo Resource Manager): esta etiqueta denota el espacio de direcciones IP de Azure e incluye todas las direcciones IP públicas del centro de datos.AzureCloud* (Resource Manager only): This tag denotes the IP address space for Azure including all datacenter public IP addresses. Si especifica AzureCloud como valor, el tráfico a las direcciones IP públicas de Azure se permite o deniega.If you specify AzureCloud for the value, traffic is allowed or denied to Azure public IP addresses. Si solo desea permitir el acceso a AzureCloud en una región, específica, puede especificar la región en el siguiente formato AzureCloud.[nombre de región].If you only want to allow access to AzureCloud in a specific region, you can specify the region in the following format AzureCloud.[region name]. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • AzureConnectors* (solo Resource Manager): Esta etiqueta denota los prefijos de dirección de los conectores de Logic Apps para las conexiones de sondeo/back-end.AzureConnectors* (Resource Manager only): This tag denotes the address prefixes of the Logic Apps connectors for probe/backend connections. Si especifica AzureConnectors como valor, el tráfico a AzureConnectors se permite o se deniega.If you specify AzureConnectors for the value, traffic is allowed or denied to AzureConnectors. Si solo desea permitir el acceso a AzureConnectors en una región específica, puede especificar la región en el siguiente formato: AzureConnectors.[nombre de región].If you only want to allow access to AzureConnectors in a specific region, you can specify the region in the following format AzureConnectors.[region name]. Esta etiqueta se recomienda para la regla de seguridad de entrada.This tag is recommended for inbound security rule.
  • AzureContainerRegistry* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio Azure Container Registry.AzureContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Azure Container Registry service. Si especifica AzureContainerRegistry como valor, el tráfico a AzureContainerRegistry se permite o deniega.If you specify AzureContainerRegistry for the value, traffic is allowed or denied to AzureContainerRegistry. Si solo desea permitir el acceso a AzureContainerRegistry en una región específica, puede especificar la región en el siguiente formato: AzureContainerRegistry.[nombre de región].If you only want to allow access to AzureContainerRegistry in a specific region, you can specify the region in the following format AzureContainerRegistry.[region name]. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • AzureCosmosDB* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio Azure Cosmos Database.AzureCosmosDB* (Resource Manager only): This tag denotes the address prefixes of the Azure Cosmos Database service. Si especifica AzureCosmosDB como valor, el tráfico a AzureCosmosDB se permite o deniega.If you specify AzureCosmosDB for the value, traffic is allowed or denied to AzureCosmosDB. Si solo desea permitir el acceso a AzureCosmosDB en una región, específica, puede especificar la región en el siguiente formato AzureCosmosDB.[nombre de región].If you only want to allow access to AzureCosmosDB in a specific region, you can specify the region in the following format AzureCosmosDB.[region name]. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • AzureDataLake* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio Azure Data Lake.AzureDataLake* (Resource Manager only): This tag denotes the address prefixes of the Azure Data Lake service. Si especifica AzureDataLake como valor, el tráfico a AzureDataLake se permite o se deniega.If you specify AzureDataLake for the value, traffic is allowed or denied to AzureDataLake. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • AzureKeyVault* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio Azure Key Vault.AzureKeyVault* (Resource Manager only): This tag denotes the address prefixes of the Azure KeyVault service. Si especifica AzureKeyVault como valor, el tráfico a AzureKeyVault se permite o deniega.If you specify AzureKeyVault for the value, traffic is allowed or denied to AzureKeyVault. Si solo desea permitir el acceso a AzureKeyVault en una región, específica, puede especificar la región en el siguiente formato AzureKeyVault.[nombre de región].If you only want to allow access to AzureKeyVault in a specific region, you can specify the region in the following format AzureKeyVault.[region name]. Esta etiqueta tiene dependencia de la etiqueta AzureActiveDirectory.This tag has dependency on the AzureActiveDirectory tag. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER para el modelo clásico): esta etiqueta predeterminada denota el equilibrador de carga de la infraestructura de Azure.AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure's infrastructure load balancer. La etiqueta se traduce en la dirección IP virtual del host (168.63.129.16) donde se originan los sondeos de mantenimiento de Azure.The tag translates to the Virtual IP address of the host (168.63.129.16) where Azure's health probes originate. Si no usa el equilibrador de carga de Azure, puede reemplazar esta regla.If you are not using the Azure load balancer, you can override this rule.
  • AzureMachineLearning* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio AzureMachineLearning.AzureMachineLearning* (Resource Manager only): This tag denotes the address prefixes of the AzureMachineLearning service. Si especifica AzureMachineLearning como valor, el tráfico a AzureMachineLearning se permite o se deniega.If you specify AzureMachineLearning for the value, traffic is allowed or denied to AzureMachineLearning. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • AzureMonitor* (solo Resource Manager): Esta etiqueta denota los prefijos de dirección de las métricas de Log Analytics, App Insights, AzMon y personalizadas (puntos de conexión GiG).AzureMonitor* (Resource Manager only): This tag denotes the address prefixes of the Log Analytics, App Insights, AzMon, and custom metrics (GiG endpoints). Si especifica AzureMonitor como valor, el tráfico a AzureMonitor se permite o se deniega.If you specify AzureMonitor for the value, traffic is allowed or denied to AzureMonitor. Para Log Analytics, esta etiqueta tiene dependencia de la etiqueta Storage.For Log Analytics, this tag has dependency on the Storage tag. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • AzurePlatformDNS (solo Resource Manager): esta etiqueta denota DNS, que es un servicio de infraestructura básico.AzurePlatformDNS (Resource Manager only): This tag denotes DNS which is a basic infrastructure service. Si especifica AzurePlatformDNS para el valor, puede deshabilitar la consideración de la plataforma de Azure predeterminada para DNS.If you specify AzurePlatformDNS for the value, you can disable the default Azure platform consideration for DNS. Tenga cuidado al usar esta etiqueta.Please take caution in using this tag. Se recomienda realizar pruebas antes de usar esta etiqueta.Testing is recommended before using this tag.
  • AzurePlatformIMDS (solo Resource Manager): esta etiqueta denota IMDS, que es un servicio de infraestructura básico.AzurePlatformIMDS (Resource Manager only): This tag denotes IMDS which is a basic infrastructure service. Si especifica AzurePlatformIMDS para el valor, puede deshabilitar la consideración de la plataforma de Azure predeterminada para IMDS.If you specify AzurePlatformIMDS for the value, you can disable the default Azure platform consideration for IMDS. Tenga cuidado al usar esta etiqueta.Please take caution in using this tag. Se recomienda realizar pruebas antes de usar esta etiqueta.Testing is recommended before using this tag.
  • AzurePlatformLKM (solo Resource Manager): esta etiqueta denota el servicio de administración de claves o licencias de Windows.AzurePlatformLKM (Resource Manager only): This tag denotes Windows licensing or key management service. Si especifica AzurePlatformLKM para el valor, puede deshabilitar la consideración de la plataforma de Azure predeterminada para las licencias.If you specify AzurePlatformLKM for the value, you can disable the default Azure platform consideration for licensing. Tenga cuidado al usar esta etiqueta.Please take caution in using this tag. Se recomienda realizar pruebas antes de usar esta etiqueta.Testing is recommended before using this tag.
  • AzureTrafficManager* (solo Resource Manager): esta etiqueta denota el espacio de direcciones IP de las direcciones IP de sondeo de Azure Traffic Manager.AzureTrafficManager* (Resource Manager only): This tag denotes the IP address space for the Azure Traffic Manager probe IP addresses. En Preguntas más frecuentes sobre Traffic Manager, puede encontrar más información acerca de las direcciones IP de sondeo de Azure Traffic Manager.More information on Traffic Manager probe IP addresses can be found in the Azure Traffic Manager FAQ. Esta etiqueta se recomienda para la regla de seguridad de entrada.This tag is recommended for inbound security rule.
  • BatchNodeManagement* (solo Resource Manager): Esta etiqueta denota los prefijos de dirección del tráfico de administración para las implementaciones dedicadas de Azure Batch.BatchNodeManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Batch dedicated deployments. Si especifica BatchNodeManagement para el valor, el tráfico se permite o deniega desde el servicio Batch en nodos de ejecución.If you specify BatchNodeManagement for the value, traffic is allowed or denied from the Batch service to compute nodes. Esta etiqueta se recomienda para la regla de seguridad de entrada/salida.This tag is recommended for inbound/outbound security rule.
  • CognitiveServicesManagement (solo Resource Manager): esta etiqueta denota los prefijos de dirección de tráfico para Cognitive Services.CognitiveServicesManagement (Resource Manager only): This tag denotes the address prefixes of traffic for Cognitive Services. Si especifica CognitiveServicesManagement como valor, el tráfico a CognitiveServicesManagement se permite o se deniega.If you specify CognitiveServicesManagement for the value, traffic is allowed or denied to CognitiveServicesManagement. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • Dynamics365ForMarketingEmail (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio de correo de marketing de Dynamics 365.Dynamics365ForMarketingEmail (Resource Manager only): This tag denotes the address prefixes of the marketing email service of Dynamics 365. Si especifica Dynamics365ForMarketingEmail para el valor, el tráfico a Dynamics365ForMarketingEmail se admite o deniega.If you specify Dynamics365ForMarketingEmail for the value, traffic is allowed or denied to Dynamics365ForMarketingEmail. Si solo desea permitir el acceso a Dynamics365ForMarketingEmail en una región específica, puede especificar la región en el siguiente formato: Dynamics365ForMarketingEmail.[nombre de región].If you only want to allow access to Dynamics365ForMarketingEmail in a specific region, you can specify the region in the following format Dynamics365ForMarketingEmail.[region name].
  • EventHub* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio Azure Event Hubs.EventHub* (Resource Manager only): This tag denotes the address prefixes of the Azure EventHub service. Si especifica EventHub como valor, el tráfico a EventHub se permite o se deniega.If you specify EventHub for the value, traffic is allowed or denied to EventHub. Si solo desea permitir el acceso a EventHub en una región específica, puede especificar la región en el siguiente formato: EventHub.[nombre de región].If you only want to allow access to EventHub in a specific region, you can specify the region in the following format EventHub.[region name]. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • GatewayManager (solo Resource Manager): Esta etiqueta denota los prefijos de dirección del tráfico de administración para las implementaciones dedicadas de VPN/App Gateway.GatewayManager (Resource Manager only): This tag denotes the address prefixes of the management traffic for VPN/App Gateways dedicated deployments. Si especifica GatewayManager como valor, el tráfico a GatewayManager se permite o se deniega.If you specify GatewayManager for the value, traffic is allowed or denied to GatewayManager. Esta etiqueta se recomienda para la regla de seguridad de entrada.This tag is recommended for inbound security rule.
  • Internet (Resource Manager) (INTERNET para el modelo clásico): esta etiqueta predeterminada denota el espacio de direcciones IP que se encuentra fuera de la red virtual y es accesible a través de la red pública de Internet.Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by the public Internet. El intervalo de direcciones incluye el espacio de direcciones IP públicas propiedad de Azure.The address range includes the Azure owned public IP address space.
  • MicrosoftContainerRegistry* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio Microsoft Container Registry.MicrosoftContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Microsoft Container Registry service. Si especifica MicrosoftContainerRegistry como valor, el tráfico a MicrosoftContainerRegistry se permite o se deniega.If you specify MicrosoftContainerRegistry for the value, traffic is allowed or denied to MicrosoftContainerRegistry. Si solo desea permitir el acceso a MicrosoftContainerRegistry en una región específica, puede especificar la región en el siguiente formato: MicrosoftContainerRegistry.[nombre de región].If you only want to allow access to MicrosoftContainerRegistry in a specific region, you can specify the region in the following format MicrosoftContainerRegistry.[region name]. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • ServiceBus* (solo Resource Manager): Esta etiqueta denota los prefijos de dirección del servicio Azure ServiceBus con el nivel de servicio Premium.ServiceBus* (Resource Manager only): This tag denotes the address prefixes of the Azure ServiceBus service using the Premium service tier. Si especifica ServiceBus como valor, el tráfico a ServiceBus se permite o se deniega.If you specify ServiceBus for the value, traffic is allowed or denied to ServiceBus. Si solo desea permitir el acceso a ServiceBus en una región específica, puede especificar la región en el siguiente formato: ServiceBus.[nombre de región].If you only want to allow access to ServiceBus in a specific region, you can specify the region in the following format ServiceBus.[region name]. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • ServiceFabric* (solo Resource Manager): esta etiqueta denota los prefijos de dirección del servicio ServiceFabric.ServiceFabric* (Resource Manager only): This tag denotes the address prefixes of the ServiceFabric service. Si especifica ServiceFabric como valor, el tráfico a ServiceFabric se permite o se deniega.If you specify ServiceFabric for the value, traffic is allowed or denied to ServiceFabric. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • Sql* (solo Resource Manager): Esta etiqueta denota los prefijos de direcciones de los servicios Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL y Azure SQL Data Warehouse.Sql* (Resource Manager only): This tag denotes the address prefixes of the Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, and Azure SQL Data Warehouse services. Si especifica Sql como valor, el tráfico a Sql se permite o se deniega.If you specify Sql for the value, traffic is allowed or denied to Sql. Si solo desea permitir el acceso a Sql en una región específica, puede especificar la región en el siguiente formato: Sql.[nombre de región].If you only want to allow access to Sql in a specific region, you can specify the region in the following format Sql.[region name]. La etiqueta representa el servicio, no instancias específicas del mismo.The tag represents the service, but not specific instances of the service. Por ejemplo, la etiqueta representa el servicio Azure SQL Database, pero no una cuenta de un servidor o base de datos SQL específicos.For example, the tag represents the Azure SQL Database service, but not a specific SQL database or server. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • SqlManagement* (solo Resource Manager): Esta etiqueta denota los prefijos de dirección del tráfico de administración para las implementaciones dedicadas de SQL.SqlManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for SQL dedicated deployments. Si especifica SqlManagement como valor, el tráfico a SqlManagement se permite o se deniega.If you specify SqlManagement for the value, traffic is allowed or denied to SqlManagement. Esta etiqueta se recomienda para la regla de seguridad de entrada/salida.This tag is recommended for inbound/outbound security rule.
  • Storage* (solo Resource Manager): esta etiqueta denota el espacio de direcciones IP del servicio Azure Storage.Storage* (Resource Manager only): This tag denotes the IP address space for the Azure Storage service. Si especifica Storage como valor, el tráfico al almacenamiento se permite o se deniega.If you specify Storage for the value, traffic is allowed or denied to storage. Si solo desea permitir el acceso a Storage en una región específica, puede especificar la región en el siguiente formato: Storage.[nombre de región].If you only want to allow access to storage in a specific region, you can specify the region in the following format Storage.[region name]. La etiqueta representa el servicio, no instancias específicas del mismo.The tag represents the service, but not specific instances of the service. Por ejemplo, la etiqueta representa el servicio Azure Storage, pero no una cuenta de específica de este.For example, the tag represents the Azure Storage service, but not a specific Azure Storage account. Esta etiqueta se recomienda para la regla de seguridad de salida.This tag is recommended for outbound security rule.
  • VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK para el modelo clásico): Esta etiqueta incluye el espacio de direcciones de red virtual (todos los intervalos CIDR definidos para la red virtual), todos los espacios de direcciones locales conectados, las redes virtuales del mismo nivel o redes virtuales conectadas a una puerta de enlace de red virtual, la dirección IP virtual del host y los prefijos de dirección usados en las rutas definidas por el usuario.VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (all CIDR ranges defined for the virtual network), all connected on-premises address spaces, peered virtual networks or virtual network connected to a virtual network gateway, the virtual IP address of the host and address prefixes used on user defined routes. Tenga en cuenta que esta etiqueta puede contener la ruta predeterminada.Be aware that this tag may contain default route.

Nota

Las etiquetas de servicios de los servicios de Azure indican los prefijos de dirección de la nube específica que se va a usar.Service tags of Azure services denotes the address prefixes from the specific cloud being used.

Nota

Si implementa un punto de conexión de servicio de red virtual para un servicio, como Azure Storage o Azure SQL Database, Azure agrega una ruta a una subred de red virtual para el servicio.If you implement a virtual network service endpoint for a service, such as Azure Storage or Azure SQL Database, Azure adds a route to a virtual network subnet for the service. Los prefijos de dirección de la ruta son los mismos prefijos de dirección, o intervalos CIDR, que la etiqueta de servicio correspondiente.The address prefixes in the route are the same address prefixes, or CIDR ranges, as the corresponding service tag.

Etiquetas de servicio en un entorno localService tags in on-premises

Puede descargar e integrar con un firewall local la lista de etiquetas de servicio con información de prefijos en las siguientes publicaciones semanales de las nubes pública, US Government, China y Germany.You can download and integrate with an on-premises firewall the list of service tags with prefix details on the following weekly publications for Azure Public, US government, China, and Germany clouds.

Además, puede recuperar mediante programación esta información mediante la API del servicio de detección de etiquetas (versión preliminar): REST, Azure PowerShell y la CLI de Azure.You can also programmatically retrieve this information using the Service Tag Discovery API (Public Preview) - REST, Azure PowerShell, and Azure CLI.

Nota

Las siguientes publicaciones semanales (versión anterior) para las nubes de Azure pública, China y Germany caerán en desuso el 30 de junio de 2020.Following weekly publications (old version) for Azure Public, China, and Germany clouds will be deprecated by June 30, 2020. Empiece a usar las publicaciones actualizadas como se describe anteriormente.Please start using the updated publications as described above.

reglas de seguridad predeterminadasDefault security rules

Azure crea las siguientes reglas predeterminadas en cada grupo de seguridad de red que cree:Azure creates the following default rules in each network security group that you create:

EntradaInbound

AllowVNetInBoundAllowVNetInBound

PriorityPriority SourceSource Puertos de origenSource ports DestinoDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PriorityPriority SourceSource Puertos de origenSource ports DestinoDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny AllowAllow

DenyAllInboundDenyAllInbound

PriorityPriority SourceSource Puertos de origenSource ports DestinoDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny DenegarDeny

SalidaOutbound

AllowVnetOutBoundAllowVnetOutBound

PriorityPriority SourceSource Puertos de origenSource ports DestinoDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow

AllowInternetOutBoundAllowInternetOutBound

PriorityPriority SourceSource Puertos de origenSource ports DestinoDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 AnyAny AllowAllow

DenyAllOutBoundDenyAllOutBound

PriorityPriority SourceSource Puertos de origenSource ports DestinoDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny DenegarDeny

En las columnas Origen y Destino, VirtualNetwork, AzureLoadBalancer e Internet son etiquetas de servicios, en lugar de direcciones IP.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. En la columna de protocolos, Cualquiera abarca TCP, UDP e ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Al crear una regla, puede especificar TCP, UDP, ICMP o Cualquiera.When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 en las columnas Origen y Destino representa todas las direcciones.0.0.0.0/0 in the Source and Destination columns represents all addresses. Los clientes, como Azure Portal, la CLI de Azure o PowerShell, pueden usar * o any para esta expresión.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Las reglas predeterminadas no se pueden quitar, pero puede reemplazarlas con reglas de prioridad más alta.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Grupos de seguridad de aplicacionesApplication security groups

Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Puede reutilizar la directiva de seguridad a escala sin mantenimiento manual de direcciones IP explícitas.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. La plataforma controla la complejidad de las direcciones IP explícitas y de varios conjuntos de reglas, lo que le permite centrarse en su lógica de negocios.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Para entender mejor los grupos de seguridad de aplicaciones, considere el ejemplo siguiente:To better understand application security groups, consider the following example:

Grupos de seguridad de aplicaciones

En la imagen anterior, NIC1 y NIC2 son miembros del grupo de seguridad de aplicaciones AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 es miembro del grupo de seguridad de aplicaciones AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 es miembro del grupo de seguridad de aplicaciones AsgDb.NIC4 is a member of the AsgDb application security group. Aunque cada interfaz de red de este ejemplo solo es miembro de un grupo de seguridad de aplicaciones, una interfaz de red puede ser miembro de varios grupos de seguridad de aplicaciones, hasta los límites de Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Ninguna de las interfaces de red tiene un grupo de seguridad de red asociado.None of the network interfaces have an associated network security group. NSG1 está asociado a ambas subredes y contiene las siguientes reglas:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Esta regla es necesaria para permitir el tráfico de Internet a los servidores web.This rule is needed to allow traffic from the internet to the web servers. Dado que la regla de seguridad predeterminada DenyAllInbound deniega el tráfico entrante desde Internet, no es necesaria ninguna regla adicional para los grupos de seguridad de aplicaciones AsgLogic y AsgDb.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PriorityPriority SourceSource Puertos de origenSource ports DestinoDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP AllowAllow

Deny-Database-AllDeny-Database-All

Dado que la regla de seguridad predeterminada AllowVNetInBound permite todas las comunicaciones entre los recursos de la misma red virtual, se necesita esta regla para denegar el tráfico desde todos los recursos.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PriorityPriority SourceSource Puertos de origenSource ports DestinoDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 AnyAny DenegarDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Esta regla permite el tráfico desde el grupo de seguridad de aplicaciones AsgLogic al grupo de seguridad de aplicaciones AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. La prioridad de esta regla es mayor que la prioridad de la regla Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Como resultado, esta regla se procesa antes que la regla Deny-Database-All, por lo que se permite el tráfico del grupo de seguridad de aplicaciones AsgLogic, mientras que el resto del tráfico es bloqueado.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PriorityPriority SourceSource Puertos de origenSource ports DestinoDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP AllowAllow

Las reglas que especifican un grupo de seguridad de aplicaciones como origen o destino solo se aplican a las interfaces de red que son miembros del grupo de seguridad de aplicaciones.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Si la interfaz de red no es miembro de un grupo de seguridad de aplicaciones, la regla no se aplica a la interfaz de red aunque el grupo de seguridad de red esté asociado a la subred.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Los grupos de seguridad de aplicaciones presentan las siguientes restricciones:Application security groups have the following constraints:

  • Hay límites en el número de grupos de seguridad de aplicaciones que puede tener en una suscripción, así como otros límites relacionados con los grupos de seguridad de aplicaciones.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Para más información, consulte el artículo acerca de los límites de Azure.For details, see Azure limits.
  • Puede especificar un grupo de seguridad de aplicaciones como origen y destino en una regla de seguridad.You can specify one application security group as the source and destination in a security rule. No puede especificar varios grupos de seguridad de aplicaciones en el origen o el destino.You cannot specify multiple application security groups in the source or destination.
  • Todas las interfaces de red asignadas a un grupo de seguridad de aplicaciones deben existir en la misma red virtual en la que se encuentra la primera interfaz de red asignada a dicho grupo.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Por ejemplo, si la primera interfaz de red asignada a un grupo de seguridad de aplicaciones llamado AsgWeb está en la red virtual llamada VNet1, todas las sucesivas interfaces de red asignadas a ASGWeb deben existir en VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. No se pueden agregar interfaces de red de distintas redes virtuales al mismo grupo de seguridad de aplicaciones.You cannot add network interfaces from different virtual networks to the same application security group.
  • Si especifica grupos de seguridad de aplicaciones como origen y destino de una regla de seguridad, las interfaces de red de ambos grupos de seguridad de aplicaciones deben existir en la misma red virtual.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Por ejemplo, si AsgLogic contiene interfaces de red de VNet1 y AsgDb contiene interfaces de red de VNet2, no puede asignar AsgLogic como origen y AsgDb como destino en una regla.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Todas las interfaces de red para los grupos de seguridad de aplicaciones de origen y de destino deben existir en la misma red virtual.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Sugerencia

Para minimizar el número de reglas de seguridad que necesita y la necesidad de cambiar las reglas, planee los grupos de seguridad de aplicaciones que necesita y cree reglas mediante etiquetas de servicio o grupos de seguridad de aplicaciones en lugar de direcciones IP individuales o intervalos de direcciones IP siempre que sea posible.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Cómo se evalúa el tráficoHow traffic is evaluated

Puede implementar recursos de varios servicios de Azure en una red virtual de Azure.You can deploy resources from several Azure services into an Azure virtual network. Para obtener una lista completa, consulte Servicios que se pueden implementar en una red virtual.For a complete list, see Services that can be deployed into a virtual network. Puede asociar cero o un grupo de seguridad de red a cada subred e interfaz de red de la red virtual en una máquina virtual.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. El mismo grupo de seguridad de red se puede asociar a tantas interfaces de red y subredes como se desee.The same network security group can be associated to as many subnets and network interfaces as you choose.

La siguiente imagen ilustra los diferentes escenarios de cómo se podrían implementar grupos de seguridad de red para permitir el tráfico de red hacia y desde Internet a través del puerto TCP 80:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

Procesamiento del grupo de seguridad de red

Observe la imagen anterior, junto con el siguiente texto, para entender cómo procesa Azure las reglas entrantes y salientes para los grupos de seguridad de red:Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Tráfico entranteInbound traffic

Para el tráfico entrante, Azure procesa las reglas de un grupo de seguridad de red asociadas a una subred en primer lugar, si hay alguna y, a continuación, las reglas de un grupo de seguridad de red asociadas a la interfaz de red, si hay alguna.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: las reglas de seguridad de NSG1 se procesan, ya que está asociado a Subnet1 y VM1 está en Subnet1.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. A menos que haya creado una regla que permita el puerto 80 de entrada, la regla de seguridad predeterminada DenyAllInbound deniega el tráfico y NSG2 nunca lo evalúa, ya que NSG2 está asociado a la interfaz de red.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Si NSG1 tiene una regla de seguridad que permite el puerto 80, NSG2 procesa el tráfico.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Para permitir el puerto 80 para la máquina virtual, tanto NSG1 como NSG2 deben tener una regla que permita el puerto 80 desde Internet.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: las reglas de NSG1 se procesan porque VM2 también está en Subnet1.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Puesto que VM2 no tiene un grupo de seguridad de red asociado a su interfaz de red, recibe todo el tráfico permitido por NSG1 o se deniega todo el tráfico denegado por NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. El tráfico se permite o deniega a todos los recursos de la misma subred cuando un grupo de seguridad de red está asociado a una subred.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: dado que no hay ningún grupo de seguridad de red asociado a Subnet2, se permite el tráfico en la subred y NSG2 lo procesa, porque NSG2 está asociado a la interfaz de red conectada a VM3.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: se permite el tráfico a VM4, porque no hay un grupo de seguridad de red asociado a Subnet3 ni a la interfaz de red de la máquina virtual.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Si no tienen un grupo de seguridad de red asociado, se permite todo el tráfico de red a través de una subred y una interfaz de red.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Tráfico salienteOutbound traffic

Para el tráfico saliente, Azure procesa las reglas de un grupo de seguridad de red asociadas a una interfaz de red en primer lugar, si hay alguna y, a continuación, las reglas de un grupo de seguridad de red asociadas a la subred, si hay alguna.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: se procesan las reglas de seguridad de NSG2.VM1: The security rules in NSG2 are processed. A menos que cree una regla de seguridad que deniegue el puerto 80 de salida a Internet, la regla de seguridad predeterminada AllowInternetOutbound permite el tráfico de NSG1 y NSG2.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Si NSG2 tiene una regla de seguridad que deniega el puerto 80, el tráfico se deniega y NSG1 nunca lo evalúa.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Para denegar el puerto 80 desde la máquina virtual, uno o ambos de los grupos de seguridad de red deben tener una regla que deniegue el puerto 80 a Internet.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: se envía todo el tráfico a través de la interfaz de red a la subred, ya que la interfaz de red conectada a VM2 no tiene un grupo de seguridad de red asociado.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Se procesan las reglas de NSG1.The rules in NSG1 are processed.
  • VM3: si NSG2 tiene una regla de seguridad que deniega el puerto 80, también se deniega el tráfico.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Si NSG2 tiene una regla de seguridad que permite el puerto 80, dicho puerto tiene permitida la salida a Internet, ya que no hay un grupo de seguridad de red asociado a Subnet2.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: se permite todo el tráfico de red desde VM4, porque no hay un grupo de seguridad de red asociado a la interfaz de red conectada a la máquina virtual ni a Subnet3.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Puede ver fácilmente las reglas agregadas que se aplican a una interfaz de red mediante la visualización de las reglas de seguridad vigentes de una interfaz de red.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. También puede usar la funcionalidad Comprobación del flujo de IP de Azure Network Watcher para determinar si se permite la comunicación hacia una interfaz de red o desde esta.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. El flujo IP le indica si se permite o deniega la comunicación y qué regla de seguridad de red permite o deniega el tráfico.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Nota

Los grupos de seguridad de red se asocian a las subredes o a las máquinas virtuales y a los servicios en la nube que se implementan en el modelo de implementación clásica, y en las subredes o interfaces de red del modelo de implementación de Resource Manager.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Para más información sobre los modelos de implementación de Azure, consulte Descripción de los modelos de implementación de Azure.To learn more about Azure deployment models, see Understand Azure deployment models.

Sugerencia

A menos que tenga una razón concreta, se recomienda que asocie un grupo de seguridad de red a una subred o a una interfaz de red, pero no a ambas.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Puesto que las reglas de un grupo de seguridad de red asociado a una subred pueden entrar en conflicto con las reglas de un grupo de seguridad de red asociado a una interfaz de red, puede tener problemas de comunicación inesperados que necesiten solución.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Consideraciones de la plataforma AzureAzure platform considerations

  • Dirección IP virtual del nodo de host: los servicios de infraestructura básica, como DHCP, DNS, IMDS y seguimiento de estado se proporcionan a través de las direcciones IP de host virtualizadas 168.63.129.16 y 169.254.169.254.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Estas direcciones IP pertenecen a Microsoft y son la únicas direcciones IP virtualizadas que se usarán en todas las regiones con este fin.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Licencias (Servicio de administración de claves) : las imágenes de Windows que se ejecutan en máquinas virtuales deben tener licencia.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Para garantizar que se usen licencias, se envía una solicitud a los servidores host del Servicio de administración de claves que administran dichas consultas.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. La solicitud de salida se realiza a través del puerto 1688.The request is made outbound through port 1688. Para implementaciones que usan la configuración de la ruta predeterminada 0.0.0.0/0, se deshabilitará esta regla de plataforma.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Máquinas virtuales en grupos de carga equilibrada: el puerto y el intervalo de direcciones de origen aplicados proceden del equipo de origen, no del equilibrador de carga.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. El puerto y el intervalo de direcciones de destino son los del equipo de destino, no los del equilibrador de carga.The destination port and address range are for the destination computer, not the load balancer.

  • Instancias de servicio de Azure: instancias de varios servicios de Azure, como HDInsight, App Service Environment y Virtual Machine Scale Sets, implementados en subredes de la red virtual.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Para ver una lista completa de los servicios que puede implementar en redes virtuales, consulte el artículo sobre la Red virtual para los servicios de Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Asegúrese de que conoce los requisitos de puertos de cada servicio antes de aplicar un grupo de seguridad de red a la subred en la que se implementa el recurso.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Si deniega los puertos que el servicio requiere, este no funcionará correctamente.If you deny ports required by the service, the service doesn't function properly.

  • Envío de correo electrónico saliente: Microsoft recomienda usar servicios de retransmisión SMTP autenticados (que normalmente se conectan a través del puerto TCP 587, pero a menudo también de otros) para enviar correo electrónico desde Azure Virtual Machines.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Los servicios de retransmisión SMTP se especializan en la reputación del remitente, con el fin de minimizar la posibilidad de que proveedores de correo electrónico de terceros rechacen los mensajes.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Estos servicios de retransmisión de SMTP incluyen Exchange Online Protection y SendGrid, pero no se limitan a ellos.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. El uso de servicios de retransmisión de SMTP no tiene ninguna restricción en Azure, independientemente del tipo de suscripción.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Si ha creado la suscripción a Azure antes del 15 de noviembre de 2017, además de poder usar los servicios de retransmisión de SMTP, puede enviar el correo electrónico directamente a través del puerto TCP 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Si ha creado la suscripción después del 15 de noviembre de 2017, es posible que no pueda enviar correo electrónico directamente a través del puerto 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. El comportamiento de la comunicación saliente a través del puerto 25 depende del tipo de suscripción que tenga, como se indica a continuación:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Contrato Enterprise: se permite la comunicación saliente a través del puerto 25.Enterprise Agreement: Outbound port 25 communication is allowed. Puede enviar el correo electrónico saliente directamente desde las máquinas virtuales a los proveedores de correo electrónico externos, sin las restricciones de la plataforma Azure.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Pago por uso: la comunicación saliente a través del puerto 25 está bloqueada en todos los recursos.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Si necesita enviar correo electrónico desde una máquina virtual directamente a proveedores de correo electrónico externos (que no usan retransmisión SMTP autenticada), puede realizar una solicitud para quitar la restricción.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Las solicitudes se revisan y aprueban a discreción de Microsoft y solo se conceden una vez que se han realizado las comprobaciones contra fraudes.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Para realizar una solicitud, abra un caso de soporte técnico con el tipo de problema Técnico, Conectividad de red virtual, No se puede enviar correo electrónico (SMTP/puerto 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). En su caso de soporte técnico, indique los motivos por los que su suscripción tiene que enviar correo electrónico directamente a los proveedores de correo electrónico, en lugar de pasar por una retransmisión SMTP autenticada.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Si la suscripción está exenta, las únicas máquinas virtuales que pueden establecer comunicación saliente a través del puerto 25 son las creadas después de la fecha de exención.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Pase para Azure, Azure bajo licencia Open, Education, BizSpark y evaluación gratuita: la comunicación saliente a través del puerto 25 está bloqueada en todos los recursos.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. No se pueden realizar solicitudes para quitar la restricción, ya que no se conceden solicitudes.No requests to remove the restriction can be made, because requests are not granted. Si necesita enviar correo electrónico desde la máquina virtual, debe usar un servicio de retransmisión SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Proveedor de servicios en la nube: los clientes que consumen recursos de Azure a través de un proveedor de servicios en la nube pueden crear una incidencia de soporte técnico con su proveedor de servicios en la nube y solicitar que el proveedor cree un caso de desbloqueo en su nombre si no se puede usar una retransmisión SMTP segura.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Si Azure le permite enviar correo electrónico a través del puerto 25, Microsoft no garantiza de proveedores de correo electrónico vayan a aceptar correo electrónico entrante procedente de la máquina virtual.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Si un proveedor específico rechaza el correo electrónico de la máquina virtual, tendrá que trabajar directamente con él para resolver los problemas de entrega de mensajes o de filtrado de correo no deseado o bien utilizar un servicio de retransmisión SMTP autenticado.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Pasos siguientesNext steps