Grupos de seguridadSecurity groups

Puede filtrar el tráfico de red hacia y desde los recursos de Azure en una red virtual de Azure con un grupo de seguridad de red.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante o el tráfico de red saliente de varios tipos de recursos de Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Para obtener información acerca de qué recursos de Azure se pueden implementar en una red virtual y pueden tener grupos de seguridad de red asociados, consulte Integración de redes virtuales para los servicios de Azure.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Para cada regla, puede especificar un origen y destino, un puerto y un protocolo.For each rule, you can specify source and destination, port, and protocol.

En este artículo se explican los conceptos de los grupos de seguridad de red para ayudarle a usarlos de manera eficaz.This article explains network security group concepts, to help you use them effectively. Si nunca ha creado un grupo de seguridad de red, puede seguir un tutorial rápido para obtener alguna experiencia en la creación de uno.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Si está familiarizado con los grupos de seguridad de red y necesita administrarlos, consulte Administración de un grupo de seguridad de red.If you're familiar with network security groups and need to manage them, see Manage a network security group. Si tiene problemas con las comunicaciones y necesita solucionar problemas de los grupos de seguridad de red, consulte Diagnóstico de un problema de filtro de tráfico de red de una máquina virtual.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Puede habilitar los registros de flujo de los grupos de seguridad de red para analizar el tráfico de red hacia y desde los recursos que tienen un grupo de seguridad de red asociado.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

Reglas de seguridadSecurity rules

Un grupo de seguridad de red puede contener cero reglas, o tantas reglas como desee, siempre que esté dentro de los límites de la suscripción de Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Cada regla especifica las siguientes propiedades:Each rule specifies the following properties:

PropiedadProperty ExplicaciónExplanation
NOMBREName Un nombre único dentro del grupo de seguridad de red.A unique name within the network security group.
PriorityPriority Un número entre 100 y 4096.A number between 100 and 4096. Las reglas se procesan en orden de prioridad. Se procesan primero las reglas con los números más bajos ya que estos tienen más prioridad.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Si el tráfico coincide con una regla, se detiene el procesamiento.Once traffic matches a rule, processing stops. Como resultado, las reglas con menor prioridad (números más altos) que tengan los mismos atributos que las reglas con una prioridad mayor no se procesarán.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Origen o destinoSource or destination Cualquiera, una dirección IP individual, un bloque CIDR de enrutamiento entre dominios sin clases (10.0.0.0/24, por ejemplo), una etiqueta de servicio o un grupo de seguridad de aplicaciones.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Si especifica una dirección para un recurso de Azure, especifique la dirección IP privada asignada al recurso.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Las grupos de seguridad de red se procesan después de que Azure traduzca una dirección IP pública a una dirección IP privada para el tráfico de entrada y antes de que Azure traduzca una dirección IP privada a una dirección IP pública para el tráfico de salida.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Más información sobre direcciones IP de Azure.Learn more about Azure IP addresses. La especificación de un intervalo, una etiqueta de servicio o grupo de seguridad de aplicaciones le permite crear menos reglas de seguridad.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. La posibilidad de especificar varias direcciones IP individuales e intervalos (no puede especificar varias etiquetas de servicio ni grupos de aplicaciones) en una regla se conoce como reglas de seguridad aumentada.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Las reglas de seguridad aumentada solo se pueden generar en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. No puede especificar varias direcciones IP ni intervalos de ellas en grupos de seguridad de red creados mediante el modelo de implementación clásica.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Más información acerca de los modelos de implementación de Azure.Learn more about Azure deployment models.
ProtocoloProtocol TCP, UDP, ICMP o Cualquiera.TCP, UDP, ICMP or Any.
DirecciónDirection Si la regla se aplica al tráfico entrante o al saliente.Whether the rule applies to inbound, or outbound traffic.
Intervalo de puertosPort range Puede especificar un puerto individual o un intervalo de puertos.You can specify an individual or range of ports. Por ejemplo, puede especificar 80 o 10000-10005.For example, you could specify 80 or 10000-10005. La especificación de intervalos le permite crear menos reglas de seguridad.Specifying ranges enables you to create fewer security rules. Las reglas de seguridad aumentada solo se pueden generar en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. No puede especificar varios puertos ni intervalos de ellos en la misma regla de seguridad de los grupos de seguridad de red creados mediante el modelo de implementación clásica.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
.Action Permitir o denegarAllow or deny

Las reglas de seguridad de los grupos de seguridad de red se evalúan por prioridad mediante información en tuplas de 5 elementos (origen, puerto de origen, destino, puerto de destino y protocolo) para permitir o denegar el tráfico.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Se crea un registro de flujo para las conexiones existentes.A flow record is created for existing connections. Se permite o deniega la comunicación en función del estado de conexión del registro de flujo.Communication is allowed or denied based on the connection state of the flow record. El registro de flujo permite que un grupo de seguridad de red sea con estado.The flow record allows a network security group to be stateful. Por ejemplo, si especifica una regla de seguridad de salida para cualquier dirección a través del puerto 80, no será necesario especificar una regla de seguridad de entrada para la respuesta al tráfico saliente.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Solo debe especificar una regla de seguridad de entrada si la comunicación se inicia de forma externa.You only need to specify an inbound security rule if communication is initiated externally. Lo contrario también es cierto.The opposite is also true. Si se permite el tráfico entrante a través de un puerto, no es necesario especificar una regla de seguridad de salida para responder al tráfico a través del puerto.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. No es posible interrumpir las conexiones existentes cuando se elimina una regla de seguridad que habilitó el flujo.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Los flujos de tráfico se interrumpen cuando se detienen las conexiones y no fluye ningún tráfico en ambas direcciones durante al menos unos minutos.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Hay límites en el número de reglas de seguridad que puede crear en un grupo de seguridad de red.There are limits to the number of security rules you can create in a network security group. Para más información, consulte el artículo acerca de los límites de Azure.For details, see Azure limits.

Reglas de seguridad aumentadaAugmented security rules

Las reglas de seguridad aumentada permiten simplificar la definición de seguridad para las redes virtuales, lo que le permitirá definir directivas de seguridad de red más grandes y complejas, con menos reglas.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Puede combinar varios puertos y varias direcciones IP explícitas e intervalos en una única regla de seguridad de fácil comprensión.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Use reglas aumentadas en los campos de origen, destino y puerto de una regla.Use augmented rules in the source, destination, and port fields of a rule. Para simplificar el mantenimiento de la definición de la regla de seguridad, combine las reglas de seguridad aumentada con etiquetas de servicio o grupos de seguridad de aplicaciones.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Hay límites en el número de direcciones, intervalos y puertos que se pueden especificar en una regla.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Para más información, consulte el artículo acerca de los límites de Azure.For details, see Azure limits.

Etiquetas de servicioService tags

Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado.A service tag represents a group of IP address prefixes from a given Azure service. Ayuda a minimizar la complejidad de las actualizaciones frecuentes de las reglas de seguridad de red.It helps to minimize complexity of frequent updates on network security rules.

Para más información, consulte Etiquetas de servicio de Azure.For more information, see Azure service tags.

reglas de seguridad predeterminadasDefault security rules

Azure crea las siguientes reglas predeterminadas en cada grupo de seguridad de red que cree:Azure creates the following default rules in each network security group that you create:

EntradaInbound

AllowVNetInBoundAllowVNetInBound

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny AllowAllow

DenyAllInboundDenyAllInbound

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny DenegarDeny

SalidaOutbound

AllowVnetOutBoundAllowVnetOutBound

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow

AllowInternetOutBoundAllowInternetOutBound

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 AnyAny AllowAllow

DenyAllOutBoundDenyAllOutBound

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny DenegarDeny

En las columnas Origen y Destino, VirtualNetwork, AzureLoadBalancer e Internet son etiquetas de servicios, en lugar de direcciones IP.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. En la columna de protocolos, Cualquiera abarca TCP, UDP e ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Al crear una regla, puede especificar TCP, UDP, ICMP o Cualquiera.When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 en las columnas Origen y Destino representa todas las direcciones.0.0.0.0/0 in the Source and Destination columns represents all addresses. Los clientes, como Azure Portal, la CLI de Azure o PowerShell, pueden usar * o any para esta expresión.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Las reglas predeterminadas no se pueden quitar, pero puede reemplazarlas con reglas de prioridad más alta.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Grupos de seguridad de aplicacionesApplication security groups

Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Puede reutilizar la directiva de seguridad a escala sin mantenimiento manual de direcciones IP explícitas.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. La plataforma controla la complejidad de las direcciones IP explícitas y de varios conjuntos de reglas, lo que le permite centrarse en su lógica de negocios.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Para entender mejor los grupos de seguridad de aplicaciones, considere el ejemplo siguiente:To better understand application security groups, consider the following example:

Grupos de seguridad de aplicaciones

En la imagen anterior, NIC1 y NIC2 son miembros del grupo de seguridad de aplicaciones AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 es miembro del grupo de seguridad de aplicaciones AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 es miembro del grupo de seguridad de aplicaciones AsgDb.NIC4 is a member of the AsgDb application security group. Aunque cada interfaz de red de este ejemplo solo es miembro de un grupo de seguridad de aplicaciones, una interfaz de red puede ser miembro de varios grupos de seguridad de aplicaciones, hasta los límites de Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Ninguna de las interfaces de red tiene un grupo de seguridad de red asociado.None of the network interfaces have an associated network security group. NSG1 está asociado a ambas subredes y contiene las siguientes reglas:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Esta regla es necesaria para permitir el tráfico de Internet a los servidores web.This rule is needed to allow traffic from the internet to the web servers. Dado que la regla de seguridad predeterminada DenyAllInbound deniega el tráfico entrante desde Internet, no es necesaria ninguna regla adicional para los grupos de seguridad de aplicaciones AsgLogic y AsgDb.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP AllowAllow

Deny-Database-AllDeny-Database-All

Dado que la regla de seguridad predeterminada AllowVNetInBound permite todas las comunicaciones entre los recursos de la misma red virtual, se necesita esta regla para denegar el tráfico desde todos los recursos.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 AnyAny DenegarDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Esta regla permite el tráfico desde el grupo de seguridad de aplicaciones AsgLogic al grupo de seguridad de aplicaciones AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. La prioridad de esta regla es mayor que la prioridad de la regla Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Como resultado, esta regla se procesa antes que la regla Deny-Database-All, por lo que se permite el tráfico del grupo de seguridad de aplicaciones AsgLogic, mientras que el resto del tráfico es bloqueado.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PriorityPriority SourceSource Puertos de origenSource ports DestinationDestination Puertos de destinoDestination ports ProtocoloProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP AllowAllow

Las reglas que especifican un grupo de seguridad de aplicaciones como origen o destino solo se aplican a las interfaces de red que son miembros del grupo de seguridad de aplicaciones.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Si la interfaz de red no es miembro de un grupo de seguridad de aplicaciones, la regla no se aplica a la interfaz de red aunque el grupo de seguridad de red esté asociado a la subred.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Los grupos de seguridad de aplicaciones presentan las siguientes restricciones:Application security groups have the following constraints:

  • Hay límites en el número de grupos de seguridad de aplicaciones que puede tener en una suscripción, así como otros límites relacionados con los grupos de seguridad de aplicaciones.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Para más información, consulte el artículo acerca de los límites de Azure.For details, see Azure limits.
  • Puede especificar un grupo de seguridad de aplicaciones como origen y destino en una regla de seguridad.You can specify one application security group as the source and destination in a security rule. No puede especificar varios grupos de seguridad de aplicaciones en el origen o el destino.You cannot specify multiple application security groups in the source or destination.
  • Todas las interfaces de red asignadas a un grupo de seguridad de aplicaciones deben existir en la misma red virtual en la que se encuentra la primera interfaz de red asignada a dicho grupo.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Por ejemplo, si la primera interfaz de red asignada a un grupo de seguridad de aplicaciones llamado AsgWeb está en la red virtual llamada VNet1, todas las sucesivas interfaces de red asignadas a ASGWeb deben existir en VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. No se pueden agregar interfaces de red de distintas redes virtuales al mismo grupo de seguridad de aplicaciones.You cannot add network interfaces from different virtual networks to the same application security group.
  • Si especifica grupos de seguridad de aplicaciones como origen y destino de una regla de seguridad, las interfaces de red de ambos grupos de seguridad de aplicaciones deben existir en la misma red virtual.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Por ejemplo, si AsgLogic contiene interfaces de red de VNet1 y AsgDb contiene interfaces de red de VNet2, no puede asignar AsgLogic como origen y AsgDb como destino en una regla.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Todas las interfaces de red para los grupos de seguridad de aplicaciones de origen y de destino deben existir en la misma red virtual.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Sugerencia

Para minimizar el número de reglas de seguridad que necesita y la necesidad de cambiar las reglas, planee los grupos de seguridad de aplicaciones que necesita y cree reglas mediante etiquetas de servicio o grupos de seguridad de aplicaciones en lugar de direcciones IP individuales o intervalos de direcciones IP siempre que sea posible.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Cómo se evalúa el tráficoHow traffic is evaluated

Puede implementar recursos de varios servicios de Azure en una red virtual de Azure.You can deploy resources from several Azure services into an Azure virtual network. Para obtener una lista completa, consulte Servicios que se pueden implementar en una red virtual.For a complete list, see Services that can be deployed into a virtual network. Puede asociar cero o un grupo de seguridad de red a cada subred e interfaz de red de la red virtual en una máquina virtual.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. El mismo grupo de seguridad de red se puede asociar a tantas interfaces de red y subredes como se desee.The same network security group can be associated to as many subnets and network interfaces as you choose.

La siguiente imagen ilustra los diferentes escenarios de cómo se podrían implementar grupos de seguridad de red para permitir el tráfico de red hacia y desde Internet a través del puerto TCP 80:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

Procesamiento del grupo de seguridad de red

Observe la imagen anterior, junto con el siguiente texto, para entender cómo procesa Azure las reglas entrantes y salientes para los grupos de seguridad de red:Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Tráfico entranteInbound traffic

Para el tráfico entrante, Azure procesa las reglas de un grupo de seguridad de red asociadas a una subred en primer lugar, si hay alguna y, a continuación, las reglas de un grupo de seguridad de red asociadas a la interfaz de red, si hay alguna.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: las reglas de seguridad de NSG1 se procesan, ya que está asociado a Subnet1 y VM1 está en Subnet1.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. A menos que haya creado una regla que permita el puerto 80 de entrada, la regla de seguridad predeterminada DenyAllInbound deniega el tráfico y NSG2 nunca lo evalúa, ya que NSG2 está asociado a la interfaz de red.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Si NSG1 tiene una regla de seguridad que permite el puerto 80, NSG2 procesa el tráfico.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Para permitir el puerto 80 para la máquina virtual, tanto NSG1 como NSG2 deben tener una regla que permita el puerto 80 desde Internet.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: las reglas de NSG1 se procesan porque VM2 también está en Subnet1.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Puesto que VM2 no tiene un grupo de seguridad de red asociado a su interfaz de red, recibe todo el tráfico permitido por NSG1 o se deniega todo el tráfico denegado por NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. El tráfico se permite o deniega a todos los recursos de la misma subred cuando un grupo de seguridad de red está asociado a una subred.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: dado que no hay ningún grupo de seguridad de red asociado a Subnet2, se permite el tráfico en la subred y NSG2 lo procesa, porque NSG2 está asociado a la interfaz de red conectada a VM3.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: se permite el tráfico a VM4, porque no hay un grupo de seguridad de red asociado a Subnet3 ni a la interfaz de red de la máquina virtual.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Si no tienen un grupo de seguridad de red asociado, se permite todo el tráfico de red a través de una subred y una interfaz de red.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Tráfico salienteOutbound traffic

Para el tráfico saliente, Azure procesa las reglas de un grupo de seguridad de red asociadas a una interfaz de red en primer lugar, si hay alguna y, a continuación, las reglas de un grupo de seguridad de red asociadas a la subred, si hay alguna.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: se procesan las reglas de seguridad de NSG2.VM1: The security rules in NSG2 are processed. A menos que cree una regla de seguridad que deniegue el puerto 80 de salida a Internet, la regla de seguridad predeterminada AllowInternetOutbound permite el tráfico de NSG1 y NSG2.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Si NSG2 tiene una regla de seguridad que deniega el puerto 80, el tráfico se deniega y NSG1 nunca lo evalúa.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Para denegar el puerto 80 desde la máquina virtual, uno o ambos de los grupos de seguridad de red deben tener una regla que deniegue el puerto 80 a Internet.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: se envía todo el tráfico a través de la interfaz de red a la subred, ya que la interfaz de red conectada a VM2 no tiene un grupo de seguridad de red asociado.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Se procesan las reglas de NSG1.The rules in NSG1 are processed.
  • VM3: si NSG2 tiene una regla de seguridad que deniega el puerto 80, también se deniega el tráfico.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Si NSG2 tiene una regla de seguridad que permite el puerto 80, dicho puerto tiene permitida la salida a Internet, ya que no hay un grupo de seguridad de red asociado a Subnet2.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: se permite todo el tráfico de red desde VM4, porque no hay un grupo de seguridad de red asociado a la interfaz de red conectada a la máquina virtual ni a Subnet3.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Tráfico dentro de la subredIntra-Subnet traffic

Es importante tener en cuenta que las reglas de seguridad de un NSG asociado a una subred pueden afectar la conectividad entre las máquinas virtuales dentro de ella.It's important to note that security rules in an NSG associated to a subnet can affect connectivity between VM's within it. Por ejemplo, si se agrega una regla a NSG1 que deniega todo el tráfico entrante y saliente, VM1 y VM2 ya no podrán comunicarse entre sí.For example, if a rule is added to NSG1 which denies all inbound and outbound traffic, VM1 and VM2 will no longer be able to communicate with each other. Otra regla tendría que agregarse específicamente para permitirlo.Another rule would have to be added specifically to allow this.

Puede ver fácilmente las reglas agregadas que se aplican a una interfaz de red mediante la visualización de las reglas de seguridad vigentes de una interfaz de red.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. También puede usar la funcionalidad Comprobación del flujo de IP de Azure Network Watcher para determinar si se permite la comunicación hacia una interfaz de red o desde esta.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. El flujo IP le indica si se permite o deniega la comunicación y qué regla de seguridad de red permite o deniega el tráfico.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Nota

Los grupos de seguridad de red se asocian a las subredes o a las máquinas virtuales y a los servicios en la nube que se implementan en el modelo de implementación clásica, y en las subredes o interfaces de red del modelo de implementación de Resource Manager.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Para más información sobre los modelos de implementación de Azure, consulte Descripción de los modelos de implementación de Azure.To learn more about Azure deployment models, see Understand Azure deployment models.

Sugerencia

A menos que tenga una razón concreta, se recomienda que asocie un grupo de seguridad de red a una subred o a una interfaz de red, pero no a ambas.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Puesto que las reglas de un grupo de seguridad de red asociado a una subred pueden entrar en conflicto con las reglas de un grupo de seguridad de red asociado a una interfaz de red, puede tener problemas de comunicación inesperados que necesiten solución.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Consideraciones de la plataforma AzureAzure platform considerations

  • Dirección IP virtual del nodo de host: los servicios de infraestructura básica, como DHCP, DNS, IMDS y seguimiento de estado se proporcionan a través de las direcciones IP de host virtualizadas 168.63.129.16 y 169.254.169.254.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Estas direcciones IP pertenecen a Microsoft y son la únicas direcciones IP virtualizadas que se usarán en todas las regiones con este fin.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Licencias (Servicio de administración de claves) : las imágenes de Windows que se ejecutan en máquinas virtuales deben tener licencia.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Para garantizar que se usen licencias, se envía una solicitud a los servidores host del Servicio de administración de claves que administran dichas consultas.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. La solicitud de salida se realiza a través del puerto 1688.The request is made outbound through port 1688. Para implementaciones que usan la configuración de la ruta predeterminada 0.0.0.0/0, se deshabilitará esta regla de plataforma.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Máquinas virtuales en grupos de carga equilibrada: el puerto y el intervalo de direcciones de origen aplicados proceden del equipo de origen, no del equilibrador de carga.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. El puerto y el intervalo de direcciones de destino son los del equipo de destino, no los del equilibrador de carga.The destination port and address range are for the destination computer, not the load balancer.

  • Instancias de servicio de Azure: instancias de varios servicios de Azure, como HDInsight, App Service Environment y Virtual Machine Scale Sets, implementados en subredes de la red virtual.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Para ver una lista completa de los servicios que puede implementar en redes virtuales, consulte el artículo sobre la Red virtual para los servicios de Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Asegúrese de que conoce los requisitos de puertos de cada servicio antes de aplicar un grupo de seguridad de red a la subred en la que se implementa el recurso.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Si deniega los puertos que el servicio requiere, este no funcionará correctamente.If you deny ports required by the service, the service doesn't function properly.

  • Envío de correo electrónico saliente: Microsoft recomienda usar servicios de retransmisión SMTP autenticados (que normalmente se conectan a través del puerto TCP 587, pero a menudo también de otros) para enviar correo electrónico desde Azure Virtual Machines.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Los servicios de retransmisión SMTP se especializan en la reputación del remitente, con el fin de minimizar la posibilidad de que proveedores de correo electrónico de terceros rechacen los mensajes.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Estos servicios de retransmisión de SMTP incluyen Exchange Online Protection y SendGrid, pero no se limitan a ellos.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. El uso de servicios de retransmisión de SMTP no tiene ninguna restricción en Azure, independientemente del tipo de suscripción.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Si ha creado la suscripción a Azure antes del 15 de noviembre de 2017, además de poder usar los servicios de retransmisión de SMTP, puede enviar el correo electrónico directamente a través del puerto TCP 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Si ha creado la suscripción después del 15 de noviembre de 2017, es posible que no pueda enviar correo electrónico directamente a través del puerto 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. El comportamiento de la comunicación saliente a través del puerto 25 depende del tipo de suscripción que tenga, como se indica a continuación:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Contrato Enterprise: se permite la comunicación saliente a través del puerto 25.Enterprise Agreement: Outbound port 25 communication is allowed. Puede enviar el correo electrónico saliente directamente desde las máquinas virtuales a los proveedores de correo electrónico externos, sin las restricciones de la plataforma Azure.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Pago por uso: la comunicación saliente a través del puerto 25 está bloqueada en todos los recursos.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Si necesita enviar correo electrónico desde una máquina virtual directamente a proveedores de correo electrónico externos (que no usan retransmisión SMTP autenticada), puede realizar una solicitud para quitar la restricción.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Las solicitudes se revisan y aprueban a discreción de Microsoft y solo se conceden una vez que se han realizado las comprobaciones contra fraudes.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Para realizar una solicitud, abra un caso de soporte técnico con el tipo de problema Técnico, Conectividad de red virtual, No se puede enviar correo electrónico (SMTP/puerto 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). En su caso de soporte técnico, indique los motivos por los que su suscripción tiene que enviar correo electrónico directamente a los proveedores de correo electrónico, en lugar de pasar por una retransmisión SMTP autenticada.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Si la suscripción está exenta, las únicas máquinas virtuales que pueden establecer comunicación saliente a través del puerto 25 son las creadas después de la fecha de exención.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Pase para Azure, Azure bajo licencia Open, Education, BizSpark y evaluación gratuita: la comunicación saliente a través del puerto 25 está bloqueada en todos los recursos.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. No se pueden realizar solicitudes para quitar la restricción, ya que no se conceden solicitudes.No requests to remove the restriction can be made, because requests are not granted. Si necesita enviar correo electrónico desde la máquina virtual, debe usar un servicio de retransmisión SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Proveedor de servicios en la nube: los clientes que consumen recursos de Azure a través de un proveedor de servicios en la nube pueden crear una incidencia de soporte técnico con su proveedor de servicios en la nube y solicitar que el proveedor cree un caso de desbloqueo en su nombre si no se puede usar una retransmisión SMTP segura.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Si Azure le permite enviar correo electrónico a través del puerto 25, Microsoft no garantiza de proveedores de correo electrónico vayan a aceptar correo electrónico entrante procedente de la máquina virtual.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Si un proveedor específico rechaza el correo electrónico de la máquina virtual, tendrá que trabajar directamente con él para resolver los problemas de entrega de mensajes o de filtrado de correo no deseado o bien utilizar un servicio de retransmisión SMTP autenticado.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Pasos siguientesNext steps