Gestire gruppi di sicurezza di rete usando il portaleManage NSGs using the portal

Dopo la creazione di uno o più gruppi di risorse, è necessario potere recuperare informazioni sui gruppi di risorse, aggiungere e rimuovere regole, modificare le risorse esistenti, associare o annullare l'associazione di gruppi di sicurezza di rete ed eliminare i gruppi di sicurezza di rete.After you create one or more Network Security Groups (NSGs), you need to be able to retrieve information about your NSGs, add and remove rules, edit existing rules, associate or dissociate NSGs, and delete NSGs. In questo articolo verrà illustrato come eseguire ognuna di queste attività.In this article, you will learn how to execute each of these tasks. Prima di poter gestire i gruppi di sicurezza di rete, è importante sapere come funzionano.Before you can manage NSGs, it's important to know how NSGs work.

Nota

Azure offre due modelli di distribuzione per creare e usare le risorse: Gestione risorse e la distribuzione classica.Azure has two different deployment models for creating and working with resources: Resource Manager and classic. Questo articolo illustra l'uso del modello di distribuzione Resource Manager che Microsoft consiglia di usare invece del modello di distribuzione classica per le distribuzioni più recenti.This article covers using the Resource Manager deployment model, which Microsoft recommends for most new deployments instead of the classic deployment model.

Scenario di esempioSample Scenario

Per illustrare meglio come gestire i gruppi di sicurezza di rete, questo articolo usa lo scenario seguente.To better illustrate how to manage NSGs, this article uses the scenario below.

Scenario di una rete virtuale

In questo scenario si creerà un NSG per ogni subnet nella rete virtuale TestVNet , come illustrato di seguito:In this scenario you will create an NSG for each subnet in the TestVNet virtual network, as described below:

  • NSG-FrontEnd.NSG-FrontEnd. Il front-end NSG verrà applicato per il subnet front-end , e contiene due regole:The front end NSG will be applied to the FrontEnd subnet, and contain two rules:
    • regola-rdp.rdp-rule. Questa regola consente il traffico RDP verso il subnet front-end .This rule will allow RDP traffic to the FrontEnd subnet.
    • regola-web.web-rule. Questa regola consente il traffico HTTP verso il subnet front-end .This rule will allow HTTP traffic to the FrontEnd subnet.
  • Back-end di NSG.NSG-BackEnd. Il back-end NSG verrà applicato per il subnet back-end , e contiene due regole:The back end NSG will be applied to the BackEnd subnet, and contain two rules:
    • regola sql.sql-rule. Questa regola consente il traffico SQL solo dal subnet front-end .This rule allows SQL traffic only from the FrontEnd subnet.
    • regola-web.web-rule. Questa regola nega tutto il traffico associato ad internet proveniente dal subnet back-end .This rule denies all internet bound traffic from the BackEnd subnet.

La combinazione di queste regole crea uno scenario simile alla rete perimetrale, dove la subnet di back-end può solo ricevere traffico in ingresso per il traffico SQL dalla subnet front-end e non dispone dell'accesso a Internet, mentre la subnet front-end può comunicare con Internet e ricevere solo le richieste HTTP in ingresso.The combination of these rules create a DMZ-like scenario, where the back end subnet can only receive incoming traffic for SQL traffic from the front end subnet, and has no access to the Internet, while the front end subnet can communicate with the Internet, and receive incoming HTTP requests only.

Per distribuire lo scenario illustrato in precedenza, selezionare questo collegamento, fare clic su Distribuisci in Azure, sostituire i valori del parametro predefinito se necessario e seguire le istruzioni nel portale.To deploy the scenario described above, follow this link, click Deploy to Azure, replace the default parameter values if necessary, and follow the instructions in the portal. Nelle istruzioni di esempio seguenti il modello è stato usato per distribuire un gruppo di risorse con nome RG-NSG.In the sample instructions below, the template was used to deploy a resource group names RG-NSG.

Recuperare le informazioniRetrieve Information

È possibile visualizzare i gruppi di sicurezza di rete (NSG, Network Security Group) esistenti, recuperare le regole relative a un NSG esistente e trovare le risorse a cui un NSG è associato.You can view your existing NSGs, retrieve rules for an existing NSG, and find out what resources an NSG is associated to.

Visualizzare NSG esistentiView existing NSGs

Per visualizzare tutti gli NSG esistenti in una sottoscrizione, seguire questa procedura:To view all existing NSGs in a subscription, complete the following steps:

  1. In un browser passare a http://portal.azure.com e, se necessario, accedere con l'account Azure.From a browser, navigate to http://portal.azure.com and, if necessary, sign in with your Azure account.

  2. Fare clic su Sfoglia> > Gruppi di sicurezza di rete.Click Browse > > Network security groups.

    Portale di Azure - Gruppi di sicurezza di rete

  3. Controllare l'elenco di NSG nel pannello Gruppi di sicurezza di rete .Check the list of NSGs in the Network security groups blade.

    Portale di Azure - Gruppi di sicurezza di rete

Visualizzare gli NSG in un gruppo di risorseView NSGs in a resource group

Per visualizzare l'elenco di NSG nel gruppo di risorse RG-NSG , seguire questa procedura:To view the list of NSGs in the RG-NSG resource group, complete the following steps:

  1. Fare clic su Gruppi di risorse > > RG-NSG > ....Click Resource groups > > RG-NSG > ....

    Portale di Azure - Gruppi di sicurezza di rete

  2. Nell'elenco di risorse, cercare gli elementi che visualizzano l'icona NSG, come illustrato nel pannello Risorse riportato di seguito.In the list of resources, look for items displaying the NSG icon, as shown in the Resources blade below.

    Portale di Azure - NSG

Elencare tutte le regole per un NSGList all rules for an NSG

Per visualizzare le regole di un NSG denominato NSG-FrontEnd, seguire questa procedura:To view the rules of an NSG named NSG-FrontEnd, complete the following steps:

  1. Nel pannello Gruppi di sicurezza di rete o nel pannello Risorse illustrato in precedenza fare clic su NSG-FrontEnd.From the Network security groups blade, or the Resources blade shown above, click NSG-FrontEnd.

  2. Nella scheda Impostazioni fare clic su Regole di sicurezza in ingresso.In the Settings tab, click Inbound security rules.

    Portale di Azure - Gruppi di sicurezza di rete

  3. Il pannello Regole di sicurezza in ingresso è visualizzato come illustrato di seguito.The Inbound security rules blade is displayed as shown below.

    Portale di Azure - Gruppi di sicurezza di rete

  4. Nella scheda Impostazioni fare clic su Regole di sicurezza in uscita per visualizzare le regole in uscita.In the Settings tab, click Outbound security rules to see the outbound rules.

    Nota

    Per visualizzare le regole predefinite, fare clic sull'icona Regole predefinite nella parte superiore del pannello in cui sono visualizzate le regole.To view default rules, click the Default rules icon at the top of the blade that displays the rules.

Visualizzare le associazioni di NSGView NSGs associations

Per visualizzare le risorse a cui l'NSG NSG-FrontEnd è associato, seguire questa procedura:To view what resources the NSG-FrontEnd NSG is associate with, complete the following steps:

  1. Nel pannello Gruppi di sicurezza di rete o nel pannello Risorse illustrato in precedenza fare clic su NSG-FrontEnd.From the Network security groups blade, or the Resources blade shown above, click NSG-FrontEnd.

  2. Nella scheda Impostazioni fare clic su Subnet per visualizzare le subnet associate all'NSG.In the Settings tab, click Subnets to view what subnets are associated to the NSG.

    Portale di Azure - Gruppi di sicurezza di rete

  3. Nella scheda Impostazioni fare clic su Interfacce di rete per visualizzare le NIC associate all'NSG.In the Settings tab, click Network interfaces to view what NICs are associated to the NSG.

Gestire le regoleManage rules

È possibile aggiungere regole a un NSG esistente, modificare le regole esistenti e rimuovere regole.You can add rules to an existing NSG, edit existing rules, and remove rules.

Aggiungere una regolaAdd a rule

Per aggiungere una regola che consenta il traffico in ingresso alla porta 443 da qualsiasi computer all'NSG NSG-FrontEnd, seguire questa procedura:To add a rule allowing inbound traffic to port 443 from any machine to the NSG-FrontEnd NSG, complete the following steps:

  1. Nel pannello Gruppi di sicurezza di rete o nel pannello Risorse illustrato in precedenza fare clic su NSG-FrontEnd.From the Network security groups blade, or the Resources blade shown above, click NSG-FrontEnd.
  2. Nella scheda Impostazioni fare clic su Regole di sicurezza in ingresso.In the Settings tab, click Inbound security rules.
  3. Nel pannello Regole di sicurezza in ingresso fare clic su Aggiungi.In the Inbound security rules blade, click Add. Quindi, nel pannello Aggiungi regola di sicurezza in ingresso, inserire i valori come illustrato di seguito e quindi fare clic su OK.Then, in the Add inbound security rule blade, fill the values as shown below, and then click OK.

    Portale di Azure - Gruppi di sicurezza di rete

    Dopo alcuni secondi, si noti la nuova regola nel pannello Regole di sicurezza in ingresso .After a few seconds, notice the new rule in the Inbound security rules blade.

    Portale di Azure - NSG

Modificare una regolaChange a rule

Per modificare la regola creata in precedenza in modo da consentire traffico in ingresso solo da Internet, seguire questa procedura:To change the rule created above to allow inbound traffic from the Internet only, complete the following steps:

  1. Nel pannello Gruppi di sicurezza di rete o nel pannello Risorse illustrato in precedenza fare clic su NSG-FrontEnd.From the Network security groups blade, or the Resources blade shown above, click NSG-FrontEnd.
  2. Nella scheda Impostazioni fare clic sulla regola creata in precedenza.In the Settings tab, click the rule created above.
  3. Nel pannello allow-https modificare la proprietà di origine come illustrato di seguito e quindi fare clic su Salva.In the allow-https blade, change the Source property as shown below, and then click Save.

    Portale di Azure - Gruppi di sicurezza di rete

Eliminare una regolaDelete a rule

Per eliminare la regola creata in precedenza, seguire questa procedura:To delete the rule created above, complete the following steps:

  1. Nel pannello Gruppi di sicurezza di rete o nel pannello Risorse illustrato in precedenza fare clic su NSG-FrontEnd.From the Network security groups blade, or the Resources blade shown above, click NSG-FrontEnd.
  2. Nella scheda Impostazioni fare clic sulla regola creata in precedenza.In the Settings tab, click the rule created above.
  3. Nel pannello allow-https fare clic su Elimina e quindi fare clic su .In the allow-https blade, click Delete, and then click Yes.

    Portale di Azure - Gruppi di sicurezza di rete

Gestire le associazioniManage associations

È possibile associare un NSG a subnet e schede di interfaccia di rete.You can associate an NSG to subnets and NICs. È anche possibile annullare l'associazione tra un NSG e qualsiasi risorsa a cui è associato.You can also dissociate an NSG from any resource it's associated to.

Associare un NSG a una NICAssociate an NSG to a NIC

Per associare l'NSG NSG-FrontEnd alla NIC TestNICWeb1, seguire questa procedura:To associate the NSG-FrontEnd NSG to the TestNICWeb1 NIC, complete the following steps:

  1. Nel pannello Gruppi di sicurezza di rete o nel pannello Risorse illustrato in precedenza fare clic su NSG-FrontEnd.From the Network security groups blade, or the Resources blade shown above, click NSG-FrontEnd.
  2. Nella scheda Impostazioni fare clic su Interfacce di rete > Associa > interfacesAssociateTestNICWeb1.In the Settings tab, click Network interfaces > Associate > TestNICWeb1.

    Portale di Azure - Gruppi di sicurezza di rete

Annullare l'associazione tra un NSG e una NICDissociate an NSG from a NIC

Per annullare l'associazione tra l'NSG NSG-FrontEnd e la NIC TestNICWeb1, seguire questa procedura:To dissociate the NSG-FrontEnd NSG from the TestNICWeb1 NIC, complete the following steps:

  1. Nel portale di Azure fare clic su Gruppi di risorse > > RG-NSG > ... > TestNICWeb1.From the Azure portal, click Resource groups > > RG-NSG > ... > TestNICWeb1.

  2. Nel pannello TestNICWeb1 fare clic su Modifica sicurezza... > Nessuna.In the TestNICWeb1 blade, click Change security... > None.

    Portale di Azure - Gruppi di sicurezza di rete

Nota

È inoltre possibile usare questo pannello per associare la NIC a qualsiasi NSG esistente.You can also use this blade to associate the NIC to any existing NSG.

Annullare l'associazione tra un NSG e una subnetDissociate an NSG from a subnet

Per annullare l'associazione tra l'NSG NSG-FrontEnd e la subnet FrontEnd, seguire questa procedura:To dissociate the NSG-FrontEnd NSG from the FrontEnd subnet, complete the following steps:

  1. Nel portale di Azure fare clic su Gruppi di risorse > > RG-NSG > ... > TestVNet.From the Azure portal, click Resource groups > > RG-NSG > ... > TestVNet.

  2. Nel pannello Impostazioni fare clic su Subnet > FrontEnd > Gruppo di sicurezza di rete > Nessuno.In the Settings blade, click Subnets > FrontEnd > Network security group > None.

    Portale di Azure - Gruppi di sicurezza di rete

  3. Nel pannello FrontEnd fare clic su Salva.In the FrontEnd blade, click Save.

    Portale di Azure - Gruppi di sicurezza di rete

Associare un gruppo di sicurezza di rete a una subnetAssociate an NSG to a subnet

Per associare di nuovo l'NSG NSG-FrontEnd alla subnet FronEnd, seguire questa procedura:To associate the NSG-FrontEnd NSG to the FronEnd subnet again, complete the following steps:

  1. Nel portale di Azure fare clic su Gruppi di risorse > > RG-NSG > ... > TestVNet.From the Azure portal, click Resource groups > > RG-NSG > ... > TestVNet.
  2. Nel pannello Impostazioni fare clic su Subnet > FrontEnd > Gruppo di sicurezza di rete > NSG-FrontEnd.In the Settings blade, click Subnets > FrontEnd > Network security group > NSG-FrontEnd.
  3. Nel pannello FrontEnd fare clic su Salva.In the FrontEnd blade, click Save.

Nota

Per associare un NSG a una subnet è anche possibile usare il pannello Impostazioni dell'NSG.You can also associate an NSG to a subnet from thh NSG's Settings blade.

Eliminare un gruppo di sicurezza di reteDelete an NSG

È possibile eliminare un NSG solo se non è associato ad alcuna risorsa.You can only delete an NSG if it's not associated to any resource. Per eliminare un NSG, seguire questa procedura:To delete an NSG, complete the following steps:.

  1. Nel portale di Azure fare clic su Gruppi di risorse > > RG-NSG > ... > NSG-FrontEnd.From the Azure portal, click Resource groups > > RG-NSG > ... > NSG-FrontEnd.
  2. Nel pannello Impostazioni fare clic su Interfacce di rete.In the Settings blade, click Network interfaces.
  3. Se sono elencate NIC, scegliere la NIC ed eseguire il passaggio 2 in Annullare l'associazione tra un NSG e una NIC.If there are any NICs listed, click the NIC, and follow step 2 in Dissociate an NSG from a NIC.
  4. Ripetere il passaggio 3 per ogni NIC.Repeat step 3 for each NIC.
  5. Nel pannello Impostazioni fare clic su Subnet.In the Settings blade, click Subnets.
  6. Se sono elencate subnet, scegliere la subnet ed eseguire i passaggi 2 e 3 in Annullare l'associazione tra un NSG e una subnet.If there are any subnets listed, click the subnet and follow steps 2 and 3 in Dissociate an NSG from a subnet.
  7. Scorrere a sinistra fino al pannelloNSG-FrontEnd, quindi fare clic su Elimina > .Scrolls left to the NSG-FrontEnd blade, then click Delete > Yes.

    Portale di Azure - Gruppi di sicurezza di rete

Passaggi successiviNext steps