Filtrare il traffico di rete con gruppi di sicurezza di reteFilter network traffic with network security groups

Un gruppo di sicurezza di rete (NSG) contiene un elenco di regole di sicurezza che consentono o rifiutano il traffico di rete verso le risorse connesse a reti virtuali di Azure.A network security group (NSG) contains a list of security rules that allow or deny network traffic to resources connected to Azure Virtual Networks (VNet). I gruppi di sicurezza di rete possono essere associati a subnet, singole VM (distribuzione classica) o singole interfacce di rete collegate a VM (Resource Manager).NSGs can be associated to subnets, individual VMs (classic), or individual network interfaces (NIC) attached to VMs (Resource Manager). Quando un gruppo di sicurezza di rete è associato a una subnet, le regole si applicano a tutte le risorse connesse alla subnet.When an NSG is associated to a subnet, the rules apply to all resources connected to the subnet. Il traffico può essere ulteriormente limitato associando un gruppo di sicurezza di rete anche a una VM o un'interfaccia di rete.Traffic can further be restricted by also associating an NSG to a VM or NIC.

Nota

Azure offre due modelli di distribuzione per creare e usare le risorse: Gestione risorse e la distribuzione classica.Azure has two different deployment models for creating and working with resources: Resource Manager and classic. In questo articolo viene illustrato l'utilizzo di entrambi i modelli, ma Microsoft indica che le distribuzioni più nuove utilizzano il modello di gestione delle.This article covers using both models, but Microsoft recommends that most new deployments use the Resource Manager model.

Risorsa del gruppo di sicurezza di reteNSG resource

I gruppi di sicurezza di rete contengono le proprietà seguenti:NSGs contain the following properties:

ProprietàProperty DescrizioneDescription VincoliConstraints ConsiderazioniConsiderations
NomeName Nome per il gruppo di sicurezza di reteName for the NSG Deve essere univoco nell'area.Must be unique within the region.
Può contenere lettere, numeri, caratteri di sottolineatura, punti e trattini.Can contain letters, numbers, underscores, periods, and hyphens.
Deve iniziare con una lettera o un numero.Must start with a letter or number.
Deve terminare con una lettera, un numero o un carattere di sottolineatura.Must end with a letter, number, or underscore.
Non può superare gli 80 caratteri.Cannot exceed 80 characters.
Dato che potrebbe essere necessario creare diversi gruppi di sicurezza di rete, assicurarsi di usare una convenzione di denominazione che consenta di identificarne facilmente la funzione.Since you may need to create several NSGs, make sure you have a naming convention that makes it easy to identify the function of your NSGs.
RegionRegion Area di Azure in cui viene creato il gruppo di sicurezza di rete.Azure region where the NSG is created. I gruppi di sicurezza di rete possono essere associati solo a risorse nella stessa area del gruppo.NSGs can only be associated to resources within the same region as the NSG. Per informazioni sul numero di gruppi di sicurezza di rete consentito per area, vedere l'articolo relativo ai limiti di Azure.To learn about how many NSGs you can have per region, read the Azure limits article.
Resource groupResource group Gruppo di risorse in cui si trova il gruppo di sicurezza di rete.The resource group the NSG exists in. Anche se un gruppo di sicurezza di rete si trova in un gruppo di risorse, può essere associato a risorse di qualsiasi gruppo di risorse, a condizione che la risorsa faccia parte della stessa area di Azure del gruppo di sicurezza di rete.Although an NSG exists in a resource group, it can be associated to resources in any resource group, as long as the resource is part of the same Azure region as the NSG. I gruppi di risorse vengono usati per gestire insieme più risorse come un'unità di distribuzione.Resource groups are used to manage multiple resources together, as a deployment unit.
È possibile raggruppare il gruppo di sicurezza di rete con le risorse a cui è associato.You may consider grouping the NSG with resources it is associated to.
RegoleRules Regole in ingresso e in uscita che definiscono il traffico consentito o rifiutato.Inbound or outbound rules that define what traffic is allowed or denied. Vedere la sezione regole NSG di questo articolo.See the NSG rules section of this article.

Nota

Gli elenchi di controllo di accesso basati su endpoint e i gruppi di sicurezza di rete non sono supportati nella stessa istanza di macchina virtuale.Endpoint-based ACLs and network security groups are not supported on the same VM instance. Se si vuole usare un gruppo di sicurezza di rete ed è già presente un elenco di controllo di accesso basato su endpoint, rimuovere prima l'elenco di controllo di accesso.If you want to use an NSG and have an endpoint ACL already in place, first remove the endpoint ACL. Per informazioni su come rimuovere un elenco di controllo di accesso, vedere l'articolo relativo alla gestione degli elenchi di controllo di accesso (ACL) per gli endpoint con PowerShell.To learn how to remove an ACL, read the Managing Access Control Lists (ACLs) for Endpoints by using PowerShell article.

Regole NSGNSG rules

Le regole dei gruppi di sicurezza di rete contengono le proprietà seguenti:NSG rules contain the following properties:

ProprietàProperty DescrizioneDescription VincoliConstraints ConsiderazioniConsiderations
NomeName Nome della regola.Name for the rule. Deve essere univoco nell'area.Must be unique within the region.
Può contenere lettere, numeri, caratteri di sottolineatura, punti e trattini.Can contain letters, numbers, underscores, periods, and hyphens.
Deve iniziare con una lettera o un numero.Must start with a letter or number.
Deve terminare con una lettera, un numero o un carattere di sottolineatura.Must end with a letter, number, or underscore.
Non può superare gli 80 caratteri.Cannot exceed 80 characters.
Dato che un gruppo di sicurezza di rete potrebbe contenere più regole, assicurarsi di seguire una convenzione di denominazione che consenta di identificare la funzione della regola.You may have several rules within an NSG, so make sure you follow a naming convention that allows you to identify the function of your rule.
ProtocolloProtocol Protocollo per la regola.Protocol to match for the rule. TCP, UDP o *TCP, UDP, or * L'uso di * come protocollo include ICMP (solo traffico orizzontale destra-sinistra), oltre a TCP e UDP, e può ridurre il numero delle regole necessarie.Using * as a protocol includes ICMP (East-West traffic only), as well as UDP and TCP, and may reduce the number of rules you need.
Al tempo stesso, l'uso di * potrebbe essere un approccio troppo ampio, quindi è consigliabile usare * solo quando necessario.At the same time, using * might be too broad an approach, so it's recommended that you use * only when necessary.
Intervallo porte di origineSource port range Intervallo di porte di origine per la regola.Source port range to match for the rule. Singolo numero di porta da 1 a 65535, intervallo di porte (ad esempio, 1-65535) o * (per tutte le porte).Single port number from 1 to 65535, port range (example: 1-65535), or * (for all ports). Le porte di origine potrebbero essere temporanee.Source ports could be ephemeral. A meno che il programma client non usi una porta specifica, usare * nella maggior parte dei casi.Unless your client program is using a specific port, use * in most cases.
Cercare di usare il più possibile intervalli di porte per evitare di dover applicare più regole.Try to use port ranges as much as possible to avoid the need for multiple rules.
Non è possibile raggruppare più porte o intervalli di porte con una virgola.Multiple ports or port ranges cannot be grouped by a comma.
Intervallo di porte di destinazioneDestination port range Intervallo di porte di destinazione per la regola.Destination port range to match for the rule. Singolo numero di porta da 1 a 65535, intervallo di porte (ad esempio, 1-65535) o * (per tutte le porte).Single port number from 1 to 65535, port range (example: 1-65535), or * (for all ports). Cercare di usare il più possibile intervalli di porte per evitare di dover applicare più regole.Try to use port ranges as much as possible to avoid the need for multiple rules.
Non è possibile raggruppare più porte o intervalli di porte con una virgola.Multiple ports or port ranges cannot be grouped by a comma.
Prefisso dell'indirizzo di origineSource address prefix Prefisso o tag dell'indirizzo di origine per la regola.Source address prefix or tag to match for the rule. Singolo indirizzo IP (ad esempio, 10.10.10.10), subnet IP (ad esempio, 192.168.1.0/24), tag predefinito o * (per tutti gli indirizzi).Single IP address (example: 10.10.10.10), IP subnet (example: 192.168.1.0/24), default tag, or * (for all addresses). È possibile usare intervalli, tag predefiniti e * per ridurre il numero di regole.Consider using ranges, default tags, and * to reduce the number of rules.
Prefisso dell’indirizzo di destinazioneDestination address prefix Prefisso o tag dell'indirizzo di destinazione per la regola.Destination address prefix or tag to match for the rule. Singolo indirizzo IP (ad esempio, 10.10.10.10), subnet IP (ad esempio, 192.168.1.0/24), tag predefinito o * (per tutti gli indirizzi).Single IP address (example: 10.10.10.10), IP subnet (example: 192.168.1.0/24), default tag, or * (for all addresses). È possibile usare intervalli, tag predefiniti e * per ridurre il numero di regole.Consider using ranges, default tags, and * to reduce the number of rules.
DirezioneDirection Direzione del traffico per la regola.Direction of traffic to match for the rule. In ingresso o in uscita.Inbound or outbound. Le regole in ingresso e in uscita vengono elaborate separatamente, in base alla direzione.Inbound and outbound rules are processed separately, based on direction.
PrioritàPriority Le regole vengono controllate in ordine di priorità.Rules are checked in the order of priority. Dopo che è stata applicata una regola, non viene verificata la corrispondenza di altre regole.Once a rule applies, no more rules are tested for matching. Numero compreso tra 100 e 4096.Number between 100 and 4096. È possibile creare le regole saltando 100 priorità per volta per ogni regola in modo da lasciare spazio per nuove regole che si potrebbero creare in futuro.Consider creating rules jumping priorities by 100 for each rule to leave space for new rules you might create in the future.
AccessoAccess Tipo di accesso da applicare in caso di corrispondenza della regola.Type of access to apply if the rule matches. Consentire o rifiutare.Allow or deny. Tenere presente che, se per un pacchetto non viene trovata una regola di consenso, il pacchetto viene rimosso.Keep in mind that if an allow rule is not found for a packet, the packet is dropped.

I gruppi di sicurezza di rete contengono due set di regole: le regola in ingresso e quelle in uscita.NSGs contain two sets of rules: Inbound and outbound. La priorità per una regola deve essere univoca all'interno di ogni set.The priority for a rule must be unique within each set.

Elaborazione delle regole dei gruppi di sicurezza di rete

L'immagine precedente illustra come vengono elaborate le regole dei gruppi di sicurezza di rete.The previous picture shows how NSG rules are processed.

Tag predefinitiDefault Tags

I tag predefiniti sono identificatori forniti dal sistema per risolvere una categoria di indirizzi IP.Default tags are system-provided identifiers to address a category of IP addresses. È possibile usare i tag predefiniti nelle proprietà prefisso dell'indirizzo di origine e prefisso dell'indirizzo di destinazione di qualsiasi regola.You can use default tags in the source address prefix and destination address prefix properties of any rule. Esistono tre tag predefiniti utilizzabili.There are three default tags you can use:

  • VirtualNetwork (Resource Manager) o VIRTUAL_NETWORK (distribuzione classica): questo tag include lo spazio indirizzi della rete virtuale (intervalli CIDR definiti in Azure), tutti gli spazi indirizzi locali connessi e le reti virtuali di Azure connesse (reti locali).VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (CIDR ranges defined in Azure), all connected on-premises address spaces, and connected Azure VNets (local networks).
  • AzureLoadBalancer (Resource Manager) o AZURE_LOADBALANCER (distribuzione classica): questo tag identifica il servizio di bilanciamento del carico dell'infrastruttura di Azure.AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure’s infrastructure load balancer. Viene convertito in un IP del data center di Azure da cui hanno origine i probe di integrità di Azure.The tag translates to an Azure datacenter IP where Azure’s health probes originate.
  • Internet (Resource Manager) o INTERNET (distribuzione classica): questo tag identifica lo spazio indirizzi IP esterno alla rete virtuale e raggiungibile tramite Internet pubblico.Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by public Internet. L'intervallo include lo spazio degli IP pubblici appartenenti ad Azure.The range includes the Azure owned public IP space.

Regole predefiniteDefault rules

Tutti i gruppi di sicurezza di rete contengono un set di regole predefinite.All NSGs contain a set of default rules. Le regole predefinite non possono essere eliminate, ma poiché hanno la priorità più bassa, è possibile eseguirne l'override con le regole create dall'utente.The default rules cannot be deleted, but because they are assigned the lowest priority, they can be overridden by the rules that you create.

Le regole predefinite consentono o rifiutano il traffico come illustrato di seguito.The default rules allow and disallow traffic as follows:

  • Rete virtuale: il traffico che ha origine e termina in una rete virtuale è consentito sia in ingresso che in uscita.Virtual network: Traffic originating and ending in a virtual network is allowed both in inbound and outbound directions.
  • Internet: il traffico in uscita è consentito, mentre il traffico in ingresso viene bloccato.Internet: Outbound traffic is allowed, but inbound traffic is blocked.
  • Servizio di bilanciamento del carico: viene consentito al servizio di bilanciamento del carico di Azure di verificare tramite probe l'integrità delle VM e delle istanze del ruolo.Load balancer: Allow Azure’s load balancer to probe the health of your VMs and role instances. Se non si usa un set con bilanciamento del carico, è possibile eseguire l'override di questa regola.If you are not using a load balanced set you can override this rule.

Regole predefinite In ingressoInbound default rules

NomeName PrioritàPriority IP di origineSource IP Porta di origineSource Port IP di destinazioneDestination IP Porta di destinazioneDestination Port ProtocolloProtocol AccessoAccess
AllowVNetInBoundAllowVNetInBound 6500065000 VirtualNetworkVirtualNetwork * VirtualNetworkVirtualNetwork * * CONSENTIAllow
AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound 6500165001 AzureLoadBalancerAzureLoadBalancer * * * * CONSENTIAllow
DenyAllInBoundDenyAllInBound 6550065500 * * * * * NEGADeny

Regole predefinite In uscitaOutbound default rules

NomeName PrioritàPriority IP di origineSource IP Porta di origineSource Port IP di destinazioneDestination IP Porta di destinazioneDestination Port ProtocolloProtocol AccessoAccess
AllowVnetOutBoundAllowVnetOutBound 6500065000 VirtualNetworkVirtualNetwork * VirtualNetworkVirtualNetwork * * CONSENTIAllow
AllowInternetOutBoundAllowInternetOutBound 6500165001 * * InternetInternet * * CONSENTIAllow
DenyAllOutBoundDenyAllOutBound 6550065500 * * * * * NEGADeny

Associazione di gruppi di sicurezza di reteAssociating NSGs

A seconda del modello di distribuzione usato, è possibile associare un gruppo di sicurezza di rete a VM, interfacce di rete e subnet, come illustrato di seguito.You can associate an NSG to VMs, NICs, and subnets, depending on the deployment model you are using, as follows:

  • VM (solo distribuzione classica): le regole di sicurezza vengono applicate a tutto il traffico da e verso la VM.VM (classic only): Security rules are applied to all traffic to/from the VM.
  • Interfaccia di rete (solo Resource Manager): le regole di sicurezza vengono applicate a tutto il traffico da e verso l'interfaccia di rete a cui è associato il gruppo di sicurezza di rete.NIC (Resource Manager only): Security rules are applied to all traffic to/from the NIC the NSG is associated to. In una VM con più interfacce di rete, è possibile applicare singolarmente a ogni interfaccia diversi gruppi di sicurezza di rete (oppure lo stesso).In a multi-NIC VM, you can apply different (or the same) NSG to each NIC individually.
  • Subnet (distribuzione classica e Resource Manager): le regole di sicurezza vengono applicate a tutto il traffico da o verso qualsiasi risorsa connessa alla rete virtuale.Subnet (Resource Manager and classic): Security rules are applied to any traffic to/from any resources connected to the VNet.

È possibile associare gruppi di sicurezza di rete diversi a una VM (o a un'interfaccia di rete, a seconda del modello di distribuzione) e alla subnet a cui è associata l'interfaccia di rete o la VM.You can associate different NSGs to a VM (or NIC, depending on the deployment model) and the subnet that a NIC or VM is connected to. Le regole di sicurezza vengono applicate al traffico in base alla priorità in ogni gruppo di sicurezza di rete, nell'ordine seguente.Security rules are applied to the traffic, by priority, in each NSG, in the following order:

  • Traffico in ingressoInbound traffic

    1. Gruppo di sicurezza di rete applicato alla subnet: se un gruppo di sicurezza di rete di una subnet ha una regola corrispondente per rifiutare il traffico, il pacchetto viene rimosso.NSG applied to subnet: If a subnet NSG has a matching rule to deny traffic, the packet is dropped.

    2. Gruppo di sicurezza di rete applicato all'interfaccia di rete (Resource Manager) o alla VM (distribuzione classica): se il gruppo di sicurezza di rete della macchina virtuale o dell'interfaccia di rete ha una regola corrispondente che rifiuta il traffico, i pacchetti vengono rimossi a livello di macchina virtuale o interfaccia di rete anche se il gruppo di sicurezza di rete della subnet ha una regola corrispondente che consente il traffico.NSG applied to NIC (Resource Manager) or VM (classic): If VM\NIC NSG has a matching rule that denies traffic, packets are dropped at the VM\NIC, even if a subnet NSG has a matching rule that allows traffic.

  • Traffico in uscitaOutbound traffic

    1. Gruppo di sicurezza di rete applicato all'interfaccia di rete (Resource Manager) o alla VM (distribuzione classica): se il gruppo di sicurezza di rete della macchina virtuale o dell'interfaccia di rete ha una regola corrispondente che rifiuta il traffico, i pacchetti vengono rimossi.NSG applied to NIC (Resource Manager) or VM (classic): If a VM\NIC NSG has a matching rule that denies traffic, packets are dropped.

    2. Gruppo di sicurezza di rete applicato alla subnet: se il gruppo di sicurezza di rete di una subnet ha una regola corrispondente che rifiuta il traffico, i pacchetti vengono rimossi anche se il gruppo di sicurezza di rete di una VM o un'interfaccia di rete ha una regola corrispondente che consente il traffico.NSG applied to subnet: If a subnet NSG has a matching rule that denies traffic, packets are dropped, even if a VM\NIC NSG has a matching rule that allows traffic.

Nota

Anche se è possibile associare solo un singolo NSG a una subnet, una VM o una scheda di rete; è possibile associare lo stesso NSG a quante risorse si desidera.Although you can only associate a single NSG to a subnet, VM, or NIC; you can associate the same NSG to as many resources as you want.

ImplementazioneImplementation

È possibile implementare i gruppi di sicurezza di rete nei modelli di distribuzione classica o Resource Manager usando gli strumenti seguenti:You can implement NSGs in the Resource Manager or classic deployment models using the following tools:

Documentazione di distribuzioneDeployment tool ClassicoClassic Gestione risorseResource Manager
Portale di AzureAzure portal NoNo Yes
PowerShellPowerShell Yes Yes
Interfaccia della riga di comando di Azure versione 1Azure CLI V1 Yes Yes
Interfaccia della riga di comando di Azure versione 2Azure CLI V2 NoNo Yes
Modello di Azure Resource ManagerAzure Resource Manager template NoNo Yes

PianificazionePlanning

Prima di implementare i gruppi di sicurezza di rete, è necessario rispondere alle domande seguenti:Before implementing NSGs, you need to answer the following questions:

  1. Da o verso quali tipi di risorse si vuole filtrare il traffico?What types of resources do you want to filter traffic to or from? È possibile connettere risorse come interfacce di rete (Resource Manager), VM (distribuzione classica), servizi cloud, ambienti del servizio dell'applicazione e set di scalabilità di macchine virtuali.You can connect resources such as NICs (Resource Manager), VMs (classic), Cloud Services, Application Service Environments, and VM Scale Sets.
  2. Le risorse da/verso cui si vuole filtrare il traffico sono connesse a subnet in reti virtuali esistenti?Are the resources you want to filter traffic to/from connected to subnets in existing VNets?

Per altre informazioni sulla pianificazione della sicurezza di rete in Azure, vedere l'articolo relativo a Servizi cloud e sicurezza di rete.For more information on planning for network security in Azure, read the Cloud services and network security article.

Considerazioni sulla progettazioneDesign considerations

Dopo avere risposto alle domande della sezione Pianificazione, prima di definire i gruppi di sicurezza di rete esaminare le sezioni seguenti.Once you know the answers to the questions in the Planning section, review the following sections before defining your NSGs:

LimitiLimits

Il numero di gruppi di sicurezza di rete che è possibile includere in una sottoscrizione e il numero di regole per gruppo di sicurezza di rete sono soggetti a limiti.There are limits to the number of NSGs you can have in a subscription and number of rules per NSG. Per altre informazioni sui limiti, vedere l'articolo Limiti di Azure.To learn more about the limits, read the Azure limits article.

Progettazione di reti virtuali e subnetVNet and subnet design

Poiché i gruppi di sicurezza di rete possono essere applicati alle subnet, è possibile ridurre al minimo il numero di gruppi di sicurezza di rete raggruppando le risorse per subnet e applicando i gruppi di sicurezza di rete alle subnet.Since NSGs can be applied to subnets, you can minimize the number of NSGs by grouping your resources by subnet, and applying NSGs to subnets. Se si decide di applicare i gruppi di sicurezza di rete alle subnet, è possibile che le reti virtuali e le subnet esistenti non sono state definite pensando ai gruppi di sicurezza di rete.If you decide to apply NSGs to subnets, you may find that existing VNets and subnets you have were not defined with NSGs in mind. Potrebbe essere necessario definire nuove reti virtuali e subnet per supportare la progettazione dei gruppi di sicurezza di rete, nonché distribuire le nuove risorse nelle nuove subnet.You may need to define new VNets and subnets to support your NSG design and deploy your new resources to your new subnets. Sarà quindi possibile definire una strategia di migrazione per spostare le risorse esistenti nelle nuove subnet.You could then define a migration strategy to move existing resources to the new subnets.

Regole specialiSpecial rules

Se si blocca il traffico consentito dalla regole riportate di seguito, l'infrastruttura non può comunicare con servizi essenziali di Azure.If you block traffic allowed by the following rules, your infrastructure can't communicate with essential Azure services:

  • IP virtuale del nodo host: servizi di infrastruttura di base come DHCP, DNS e il monitoraggio dello stato vengono forniti tramite l'indirizzo IP host virtualizzato 168.63.129.16.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, and health monitoring are provided through the virtualized host IP address 168.63.129.16. Questo indirizzo IP pubblico appartiene a Microsoft ed è l'unico indirizzo IP virtualizzato usato a questo scopo in tutte le aree.This public IP address belongs to Microsoft and is the only virtualized IP address used in all regions for this purpose. Questo indirizzo IP è mappato all'indirizzo IP fisico del computer server (nodo host) che ospita la macchina virtuale.This IP address maps to the physical IP address of the server machine (host node) hosting the VM. Il nodo host svolge la funzione di inoltro DHCP, di resolver ricorsivo DNS e di origine probe per il probe di integrità del bilanciamento del carico e per il probe di integrità del computer.The host node acts as the DHCP relay, the DNS recursive resolver, and the probe source for the load balancer health probe and the machine health probe. La comunicazione con questo indirizzo IP non è un attacco.Communication to this IP address is not an attack.
  • Licenze (Servizio di gestione delle chiavi): le immagini Windows in esecuzione nelle VM devono essere concesse in licenza.Licensing (Key Management Service): Windows images running in VMs must be licensed. Per verificare la concessione della licenza, viene inviata una richiesta ai server host del Servizio di gestione delle chiavi che gestiscono le query di questo tipo.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. La richiesta viene inviata in uscita tramite la porta 1688.The request is made outbound through port 1688.

Traffico ICMPICMP traffic

Le regole del gruppo di sicurezza di rete correnti consentono solo i protocolli TCP o UDP.The current NSG rules only allow for protocols TCP or UDP. Non esiste un tag specifico per ICMP.There is not a specific tag for ICMP. Il traffico ICMP è tuttavia consentito all'interno di una rete virtuale dalla regola predefinita AllowVNetInBound, che consente il traffico da e verso qualsiasi porta e protocollo nella rete virtuale.However, ICMP traffic is allowed within a VNet by the AllowVNetInBound default rule, that allows traffic to and from any port and protocol within the VNet.

SubnetSubnets

  • Considerare il numero di livelli richiesto dal carico di lavoro.Consider the number of tiers your workload requires. Ogni livello può essere isolato usando una subnet a cui è applicato un gruppo di sicurezza di rete.Each tier can be isolated by using a subnet, with an NSG applied to the subnet.
  • Se è necessario implementare una subnet per un gateway VPN o un circuito ExpressRoute, non applicare un gruppo di sicurezza di rete a tale subnet.If you need to implement a subnet for a VPN gateway, or ExpressRoute circuit, do not apply an NSG to that subnet. In caso contrario, la connettività cross-premise o tra reti virtuali potrebbe non funzionare.If you do so, cross-VNet or cross-premises connectivity may fail.
  • Se è necessario implementare un'appliance virtuale di rete, connettere l'appliance alla relativa subnet e creare route definite dall'utente da e verso l'appliance virtuale di rete.If you need to implement a network virtual appliance (NVA), connect the NVA to its own subnet and create user-defined routes (UDR) to and from the NVA. È possibile implementare un gruppo di sicurezza di rete a livello di subnet per filtrare il traffico in ingresso e in uscita da questa subnet.You can implement a subnet level NSG to filter traffic in and out of this subnet. Per altre informazioni sulle route definite dall'utente, vedere l'articolo Route definite dall'utente.To learn more about UDRs, read the User-defined routes article.

Servizi di bilanciamento del caricoLoad balancers

  • Considerare le regole di bilanciamento del carico e NAT (Network Address Translation) per ogni servizio di bilanciamento del carico usato da ogni carico di lavoro.Consider the load balancing and network address translation (NAT) rules for each load balancer used by each of your workloads. Le regole NAT sono associate a un pool back-end contenente interfacce di rete (Resource Manager) o VM/istanze del ruolo Servizi cloud (distribuzione classica).NAT rules are bound to a back-end pool that contains NICs (Resource Manager) or VMs/Cloud Services role instances (classic). Valutare la possibilità di creare un gruppo di sicurezza di rete per ogni pool back-end, consentendo solo il traffico di cui è stato eseguito il mapping tramite le regole implementate nei servizi di bilanciamento del carico.Consider creating an NSG for each back-end pool, allowing only traffic mapped through the rules implemented in the load balancers. La creazione di un gruppo di sicurezza di rete per ogni pool back-end garantisce che venga filtrato anche il traffico che arriva al pool back-end direttamente anziché attraverso il servizio di bilanciamento del carico.Creating an NSG for each back-end pool guarantees that traffic coming to the back-end pool directly (rather than through the load balancer), is also filtered.
  • Nelle distribuzioni classiche si creano endpoint che eseguono il mapping delle porte di un servizio di bilanciamento del carico alle porte delle VM o delle istanze del ruolo.In classic deployments, you create endpoints that map ports on a load balancer to ports on your VMs or role instances. È anche possibile creare un proprio servizio di bilanciamento del carico pubblico tramite Resource Manager.You can also create your own individual public-facing load balancer through Resource Manager. La porta di destinazione per il traffico in ingresso è la porta effettiva della VM o dell'istanza del ruolo e non la porta esposta da un servizio di bilanciamento del carico.The destination port for incoming traffic is the actual port in the VM or role instance, not the port exposed by a load balancer. La porta e l'indirizzo di origine per la connessione alla VM sono una porta e un indirizzo del computer remoto in Internet e non la porta e l'indirizzo esposti dal servizio di bilanciamento del carico.The source port and address for the connection to the VM is a port and address on the remote computer in the Internet, not the port and address exposed by the load balancer.
  • Quando si creano gruppi di sicurezza di rete per filtrare il traffico che passa attraverso un servizio di bilanciamento del carico interno, l'intervallo di porte e indirizzi di origine applicato è quello del computer di origine e non quello del servizio di bilanciamento del carico.When you create NSGs to filter traffic coming through an internal load balancer (ILB), the source port and address range applied are from the originating computer, not the load balancer. L'intervallo di porte e indirizzi di destinazione è quello del computer di destinazione e non quello del servizio di bilanciamento del carico.The destination port and address range are those of the destination computer, not the load balancer.

AltriOther

  • Gli elenchi di controllo di accesso (ACL) basati su endpoint e i gruppi di sicurezza di rete non sono supportati nella stessa istanza di VM.Endpoint-based access control lists (ACL) and NSGs are not supported on the same VM instance. Se si vuole usare un gruppo di sicurezza di rete ed è già presente un elenco di controllo di accesso basato su endpoint, rimuovere prima l'elenco di controllo di accesso.If you want to use an NSG and have an endpoint ACL already in place, first remove the endpoint ACL. Per informazioni sulla rimozione di un ACL basato su endpoint, vedere l'articolo Gestire elenchi di controllo di accesso di endpoint.For information about how to remove an endpoint ACL, see the Manage endpoint ACLs article.
  • In Resource Manager, per le VM con più interfacce di rete è possibile usare un gruppo di sicurezza di rete associato a un'interfaccia di rete per consentire la gestione (con accesso remoto) in base all'interfaccia di rete.In Resource Manager, you can use an NSG associated to a NIC for VMs with multiple NICs to enable management (remote access) on a per NIC basis. L'associazione di gruppi di sicurezza di rete univoci a ogni interfaccia di rete consente la separazione dei tipi di traffico tra le interfacce.Associating unique NSGs to each NIC enables separation of traffic types across NICs.
  • Come quando si usano i servizi di bilanciamento del carico, quando si filtra il traffico da altre reti virtuali, è necessario usare l'intervallo di indirizzi di origine del computer remoto e non quello del gateway che si connette alle reti virtuali.Similar to the use of load balancers, when filtering traffic from other VNets, you must use the source address range of the remote computer, not the gateway connecting the VNets.
  • Molti servizi di Azure non possono essere connessi a reti virtuali.Many Azure services cannot be connected to VNets. Se una risorsa di Azure non è connessa a una rete virtuale, non è possibile usare un gruppo di sicurezza di rete per filtrare il traffico verso la risorsa.If an Azure resource is not connected to a VNet, you cannot use an NSG to filter traffic to the resource. Per stabilire se i servizi usati possono essere connessi a una rete virtuale, vedere la relativa documentazione.Read the documentation for the services you use to determine whether the service can be connected to a VNet.

Distribuzione di esempioSample deployment

Per illustrare l'applicazione delle informazioni contenute in questo articolo, considerare lo scenario comune di un'applicazione a due livelli riportato nell'immagine seguente:To illustrate the application of the information in this article, consider a common scenario of a two tier application shown in the following picture:

Gruppi di sicurezza di rete

Come illustrato nel diagramma, le VM Web1 e Web2 sono connesse alla subnet FrontEnd e le VM DB1 e DB2 sono connesse alla subnet BackEnd.As shown in the diagram, the Web1 and Web2 VMs are connected to the FrontEnd subnet, and the DB1 and DB2 VMs are connected to the BackEnd subnet. Entrambe le subnet fanno parte delle rete virtuale TestVNet .Both subnets are part of the TestVNet VNet. Ogni componente dell'applicazione viene eseguito in una VM di Azure connessa a una rete virtuale.The application components each run within an Azure VM connected to a VNet. Lo scenario presenta i requisiti seguenti:The scenario has the following requirements:

  1. Separazione del traffico tra i server WEB e DB.Separation of traffic between the WEB and DB servers.
  2. Regole di bilanciamento del carico che inoltrano il traffico dal servizio di bilanciamento del carico a tutti i server Web sulla porta 80.Load balancing rules forward traffic from the load balancer to all web servers on port 80.
  3. Regole NAT del servizio di bilanciamento del carico che inoltrano il traffico in arrivo nel servizio di bilanciamento del carico sulla porta 50001 alla porta 3389 della VM WEB1.Load balancer NAT rules forward traffic coming into the load balancer on port 50001 to port 3389 on the WEB1 VM.
  4. Nessun accesso alle macchine virtuali front-end o back-end da Internet, tranne per i requisiti 2 e 3.No access to the front-end or back-end VMs from the Internet, except requirements 2 and 3.
  5. Nessun accesso a Internet in uscita dai server WEB o DB.No outbound Internet access from the WEB or DB servers.
  6. Accesso consentito dalla subnet FrontEnd alla porta 3389 di qualsiasi server Web.Access from the FrontEnd subnet is allowed to port 3389 of any web server.
  7. Accesso consentito dalla subnet FrontEnd alla porta 3389 di qualsiasi server DB.Access from the FrontEnd subnet is allowed to port 3389 of any DB server.
  8. Accesso consentito dalla subnet FrontEnd alla porta 1433 di qualsiasi server DB.Access from the FrontEnd subnet is allowed to port 1433 of all DB servers.
  9. Separazione del traffico di gestione (porta 3389) e del traffico di database (1433) su interfacce di rete diverse nei server DB.Separation of management traffic (port 3389) and database traffic (1433) on different NICs in DB servers.

Tutti i requisiti da 1 a 6 (tranne i requisiti 3 e 4) sono limitati agli spazi delle subnet.Requirements 1-6 (except requirements 3 and 4) are all confined to subnet spaces. I gruppi di sicurezza di rete seguenti soddisfano i requisiti precedenti, riducendo contemporaneamente al minimo il numero dei gruppi di sicurezza di rete necessari:The following NSGs meet the previous requirements, while minimizing the number of NSGs required:

FrontEndFrontEnd

Regole in ingressoInbound rules

RegolaRule AccessoAccess PrioritàPriority Intervallo di indirizzi di origineSource address range Porta di origineSource port Intervallo di indirizzi di destinazioneDestination address range Porta di destinazioneDestination port ProtocolloProtocol
Allow-Inbound-HTTP-InternetAllow-Inbound-HTTP-Internet CONSENTIAllow 100100 InternetInternet * * 8080 TCPTCP
Allow-Inbound-RDP-InternetAllow-Inbound-RDP-Internet CONSENTIAllow 200200 InternetInternet * * 33893389 TCPTCP
Deny-Inbound-AllDeny-Inbound-All NEGADeny 300300 InternetInternet * * * TCPTCP

Regole in uscitaOutbound rules

RegolaRule AccessoAccess PrioritàPriority Intervallo di indirizzi di origineSource address range Porta di origineSource port Intervallo di indirizzi di destinazioneDestination address range Porta di destinazioneDestination port ProtocolloProtocol
Deny-Internet-AllDeny-Internet-All NEGADeny 100100 * * InternetInternet * *

BackEndBackEnd

Regole in ingressoInbound rules

RegolaRule AccessoAccess PrioritàPriority Intervallo di indirizzi di origineSource address range Porta di origineSource port Intervallo di indirizzi di destinazioneDestination address range Porta di destinazioneDestination port ProtocolloProtocol
Deny-Internet-AllDeny-Internet-All NEGADeny 100100 InternetInternet * * * *

Regole in uscitaOutbound rules

RegolaRule AccessoAccess PrioritàPriority Intervallo di indirizzi di origineSource address range Porta di origineSource port Intervallo di indirizzi di destinazioneDestination address range Porta di destinazioneDestination port ProtocolloProtocol
Deny-Internet-AllDeny-Internet-All NEGADeny 100100 * * InternetInternet * *

I gruppi di sicurezza di rete seguenti vengono creati e associati alle interfacce di rete in queste VM:The following NSGs are created and associated to NICs in the following VMs:

WEB1WEB1

Regole in ingressoInbound rules

RegolaRule AccessoAccess PrioritàPriority Intervallo di indirizzi di origineSource address range Porta di origineSource port Intervallo di indirizzi di destinazioneDestination address range Porta di destinazioneDestination port ProtocolloProtocol
Allow-Inbound-RDP-InternetAllow-Inbound-RDP-Internet CONSENTIAllow 100100 InternetInternet * * 33893389 TCPTCP
Allow-Inbound-HTTP-InternetAllow-Inbound-HTTP-Internet CONSENTIAllow 200200 InternetInternet * * 8080 TCPTCP

Nota

L'intervallo di indirizzi di origine per le regole precedenti è Internet, non l'indirizzo IP virtuale per il servizio di bilanciamento del carico.The source address range for the previous rules is Internet, not the virtual IP address of for the load balancer. La porta di origine è , non 500001.The source port is *, not 500001. Le regole NAT per i servizi di bilanciamento del carico non sono uguali alle regole di sicurezza dei gruppi di sicurezza di rete.NAT rules for load balancers are not the same as NSG security rules. Le regole di sicurezza dei gruppi di sicurezza di rete sono sempre correlate all'origine e alla destinazione finale del traffico, **non* al servizio di bilanciamento del carico tra le due.NSG security rules are always related to the original source and final destination of traffic, not the load balancer between the two.

WEB2WEB2

Regole in ingressoInbound rules

RegolaRule AccessoAccess PrioritàPriority Intervallo di indirizzi di origineSource address range Porta di origineSource port Intervallo di indirizzi di destinazioneDestination address range Porta di destinazioneDestination port ProtocolloProtocol
Deny-Inbound-RDP-InternetDeny-Inbound-RDP-Internet NEGADeny 100100 InternetInternet * * 33893389 TCPTCP
Allow-Inbound-HTTP-InternetAllow-Inbound-HTTP-Internet CONSENTIAllow 200200 InternetInternet * * 8080 TCPTCP

Server DB (interfaccia di rete per gestione)DB servers (Management NIC)

Regole in ingressoInbound rules

RegolaRule AccessoAccess PrioritàPriority Intervallo di indirizzi di origineSource address range Porta di origineSource port Intervallo di indirizzi di destinazioneDestination address range Porta di destinazioneDestination port ProtocolloProtocol
Allow-Inbound-RDP-Front-endAllow-Inbound-RDP-Front-end CONSENTIAllow 100100 192.168.1.0/24192.168.1.0/24 * * 33893389 TCPTCP

Server DB (interfaccia di rete per traffico di database)DB servers (Database traffic NIC)

Regole in ingressoInbound rules

RegolaRule AccessoAccess PrioritàPriority Intervallo di indirizzi di origineSource address range Porta di origineSource port Intervallo di indirizzi di destinazioneDestination address range Porta di destinazioneDestination port ProtocolloProtocol
Allow-Inbound-SQL-Front-endAllow-Inbound-SQL-Front-end CONSENTIAllow 100100 192.168.1.0/24192.168.1.0/24 * * 14331433 TCPTCP

Dato che alcuni gruppi di sicurezza di rete sono associati a singole interfacce di rete, le regole riguardano le risorse distribuite tramite Resource Manager.Since some of the NSGs are associated to individual NICs, the rules are for resources deployed through Resource Manager. La combinazione delle regole per la subnet e l'interfaccia di rete dipende dal modo in cui sono associate.Rules are combined for subnet and NIC, depending on how they are associated.

Passaggi successiviNext steps