Creare gruppi di sicurezza di rete mediante il portale di AzureCreate network security groups using the Azure portal

È possibile usare un gruppo di sicurezza di rete per controllare il traffico verso una o più istanze di macchina virtuale, le istanze del ruolo, le schede di rete (NIC) o i subnet in una rete virtuale.You can use an NSG to control traffic to one or more virtual machines (VMs), role instances, network adapters (NICs), or subnets in your virtual network. Un NSG contiene le regole di controllo di accesso che consentono o negano il traffico in base alla direzione del traffico, al protocollo, all’indirizzo e alla porta di origine e all’indirizzo e alla porta di destinazione.An NSG contains access control rules that allow or deny traffic based on traffic direction, protocol, source address and port, and destination address and port. Le regole di un gruppo di sicurezza di rete possono essere modificate in qualsiasi momento e le modifiche vengono applicate a tutte le istanze associate.The rules of an NSG can be changed at any time, and changes are applied to all associated instances.

Per ulteriori informazioni su NSGs, visitare Informazioni su NSG.For more information about NSGs, visit what is an NSG.

Importante

Prima di iniziare a usare le risorse di Azure, è importante comprendere che Azure al momento offre due modelli di distribuzione, la distribuzione classica e Azure Resource Manager.Before you work with Azure resources, it's important to understand that Azure currently has two deployment models: Azure Resource Manager and classic. È importante comprendere i modelli e strumenti di distribuzione prima di lavorare con le risorse di Azure.Make sure you understand deployment models and tools before you work with any Azure resource. È possibile visualizzare la documentazione relativa a diversi strumenti facendo clic sulle schede nella parte superiore di questo articolo.You can view the documentation for different tools by clicking the tabs at the top of this article.

Questo articolo illustra il modello di distribuzione Gestione risorse.This article covers the Resource Manager deployment model. È anche possibile creare gruppi di sicurezza di rete con il modello di distribuzione classica.You can also create NSGs in the classic deployment model.

ScenarioScenario

Per illustrare meglio come creare un NSG, in questo documento verrà utilizzato lo scenario seguente.To better illustrate how to create NSGs, this document will use the scenario below.

Scenario di una rete virtuale

In questo scenario si creerà un NSG per ogni subnet nella rete virtuale TestVNet , come illustrato di seguito:In this scenario you will create an NSG for each subnet in the TestVNet virtual network, as described below:

  • NSG-FrontEnd.NSG-FrontEnd. Il front-end NSG verrà applicato per il subnet front-end , e contiene due regole:The front end NSG will be applied to the FrontEnd subnet, and contain two rules:
    • regola-rdp.rdp-rule. Questa regola consente il traffico RDP verso il subnet front-end .This rule will allow RDP traffic to the FrontEnd subnet.
    • regola-web.web-rule. Questa regola consente il traffico HTTP verso il subnet front-end .This rule will allow HTTP traffic to the FrontEnd subnet.
  • Back-end di NSG.NSG-BackEnd. Il back-end NSG verrà applicato per il subnet back-end , e contiene due regole:The back end NSG will be applied to the BackEnd subnet, and contain two rules:
    • regola sql.sql-rule. Questa regola consente il traffico SQL solo dal subnet front-end .This rule allows SQL traffic only from the FrontEnd subnet.
    • regola-web.web-rule. Questa regola nega tutto il traffico associato ad internet proveniente dal subnet back-end .This rule denies all internet bound traffic from the BackEnd subnet.

La combinazione di queste regole crea uno scenario simile alla rete perimetrale, dove la subnet di back-end può solo ricevere traffico in ingresso per SQL dalla subnet front-end e non dispone dell'accesso a Internet, mentre la subnet front-end può comunicare con Internet e ricevere solo le richieste HTTP in ingresso.The combination of these rules create a DMZ-like scenario, where the back end subnet can only receive incoming traffic for SQL from the front end subnet, and has no access to the Internet, while the front end subnet can communicate with the Internet, and receive incoming HTTP requests only.

I comandi di esempio PowerShell riportati di seguito prevedono un ambiente semplice già creato in base allo scenario precedente.The sample PowerShell commands below expect a simple environment already created based on the scenario above. Se si desidera eseguire i comandi così come sono visualizzati in questo documento, creare innanzitutto l'ambiente di test distribuendo questo modello, fare clic su Distribuisci in Azure, sostituire i valori di parametro predefiniti, se necessario e seguire le istruzioni nel portale.If you want to run the commands as they are displayed in this document, first build the test environment by deploying this template, click Deploy to Azure, replace the default parameter values if necessary, and follow the instructions in the portal. La procedura seguente usa RG-NSG come nome del gruppo di risorse in cui è stato distribuito il modello.The steps below use RG-NSG as the name of the resource group the template was deployed to.

Creare il gruppo di sicurezza di rete NSG-FrontEndCreate the NSG-FrontEnd NSG

Per creare il gruppo di sicurezza di rete (NSG, Network Security Group) NSG-FrontEnd come illustrato nello scenario precedente, seguire questa procedura.To create the NSG-FrontEnd NSG as shown in the scenario above, follow the steps below.

  1. In un browser passare a http://portal.azure.com e, se necessario, accedere con l'account Azure.From a browser, navigate to http://portal.azure.com and, if necessary, sign in with your Azure account.
  2. Fare clic su Sfoglia> > Gruppi di sicurezza di rete.Click Browse > > Network Security Groups.

    Portale di Azure - Gruppi di sicurezza di rete

  3. Nel pannello Gruppi di sicurezza di rete fare clic su Aggiungi.In the Network security groups blade, click Add.

    Portale di Azure - Gruppi di sicurezza di rete

  4. Nel pannello Crea gruppo di sicurezza di rete creare un gruppo denominato NSG-FrontEnd nel gruppo di risorse RG-NSG, quindi fare clic su Crea.In the Create network security group blade, create an NSG named NSG-FrontEnd in the RG-NSG resource group, and then click Create.

    Portale di Azure - Gruppi di sicurezza di rete

Creare regole in un gruppo di sicurezza di rete esistenteCreate rules in an existing NSG

Per creare regole in un gruppo di sicurezza di rete esistente dal portale di Azure, seguire questa procedura.To create rules in an existing NSG from the Azure portal, follow the steps below.

  1. Fare clic su Sfoglia> > Gruppi di sicurezza di rete.Click Browse > > Network security groups.
  2. Nell'elenco dei gruppi di sicurezza di rete, fare clic su NSG-FrontEnd > Regole di sicurezza in ingressoIn the list of NSGs, click NSG-FrontEnd > Inbound security rules

    Portale di Azure - NSG-FrontEnd

  3. Nell'elenco delle Regole di sicurezza in ingresso, fare clic su Aggiungi.In the list of Inbound security rules, click Add.

    Portale di Azure - Aggiungi regola

  4. Nel pannello Aggiungi regola di sicurezza in ingresso creare una regola denominata web-rule con priorità 200 che consente l'accesso tramite TCP alla porta 80 a qualsiasi VM da qualsiasi origine, quindi fare clic su OK.In the Add inbound security rule blade, create a rule named web-rule with priority of 200 allowing access via TCP to port 80 to any VM from any source, and then click OK. Notare che la maggior parte di queste impostazioni ha già i valori predefiniti.Notice that most of these settings are default values already.

    Portale di Azure - Impostazioni delle regole

  5. La nuova regola del gruppo di sicurezza di rete verrà visualizzata dopo pochi secondi.After a few seconds you will see the new rule in the NSG.

    Portale di Azure - Nuova regola

  6. Ripetere i passaggi fino al 6 per creare una regola in entrata denominata rdp-rule con priorità 250, che consente l'accesso tramite TCP alla porta 3389 per qualsiasi VM da qualsiasi origine.Repeat steps to 6 to create an inbound rule named rdp-rule with a priority of 250 allowing access via TCP to port 3389 to any VM from any source.

Associare il gruppo di sicurezza di rete alla subnet FrontEndAssociate the NSG to the FrontEnd subnet

  1. Fare clic su Sfoglia > > Gruppi di risorse > RG-NSG.Click Browse > > Resource groups > RG-NSG.
  2. Nel pannello RG-NSG fare clic su ... > TestVNet.In the RG-NSG blade, click ... > TestVNet.

    Portale di Azure - TestVNet

  3. Nel pannello Impostazioni fare clic su Subnet > FrontEnd > Gruppo di sicurezza di rete > NSG-FrontEnd.In the Settings blade, click Subnets > FrontEnd > Network security group > NSG-FrontEnd.

    Portale di Azure - Impostazioni della subnet

  4. Nel pannello FrontEnd fare clic su Salva.In the FrontEnd blade, click Save.

    Portale di Azure - Impostazioni della subnet

Creare il gruppo di sicurezza di rete NSG-BackEndCreate the NSG-BackEnd NSG

Per creare il gruppo di sicurezza di rete NSG-BackEnd e associarlo alla subnet BackEnd, seguire la procedura seguente.To create the NSG-BackEnd NSG and associate it to the BackEnd subnet, follow the steps below.

  1. Ripetere la procedura illustrata in Creare il gruppo di sicurezza di rete NSG-FrontEnd per creare un NSG denominato NSG-BackEndRepeat the steps in Create the NSG-FrontEnd NSG to create an NSG named NSG-BackEnd
  2. Ripetere la procedura illustrata Creare regole in un gruppo di sicurezza di rete esistente per creare le regole in entrata nella tabella seguente.Repeat the steps in Create rules in an existing NSG to create the inbound rules in the table below.

    Regola in entrataInbound rule Regola in uscitaOutbound rule
    Portale di Azure - Regola in entrata Portale di Azure - Regola in uscita
  3. Ripetere la procedura illustrata in Associare il gruppo di sicurezza di rete alla subnet FrontEnd per associare il gruppo di sicurezza di rete NSG-Backend alla subnet BackEnd.Repeat the steps in Associate the NSG to the FrontEnd subnet to associate the NSG-Backend NSG to the BackEnd subnet.

Passaggi successiviNext Steps