Een netwerkbeveiligingsgroep maken, wijzigen of verwijderen

Met beveiligingsregels in netwerkbeveiligingsgroepen kunt u het type netwerkverkeer filteren dat in en uit subnetten van virtuele netwerken en netwerkinterfaces kan stromen. Zie Overzicht van netwerkbeveiligingsgroepen voor meer informatie over netwerkbeveiligingsgroepen. Voltooi vervolgens de zelfstudie Netwerkverkeer filteren om enige ervaring op te doen met netwerkbeveiligingsgroepen.

Voordat u begint

Als u nog geen abonnement hebt, stelt u een Azure-account in met een actief abonnement. Gratis een account maken Voltooi een van deze taken voordat u aan de rest van dit artikel begint:

• Portalgebruikers: meld u aan bij de Azure Portal met uw Azure-account.

• PowerShell-gebruikers: voer de opdrachten uit in de Azure Cloud Shellof voer PowerShell uit vanaf uw computer. Azure Cloud Shell is een gratis interactieve shell waarmee u de stappen in dit artikel kunt uitvoeren. In deze shell zijn algemene Azure-hulpprogramma's vooraf geïnstalleerd en geconfigureerd voor gebruik met uw account. Zoek op Azure Cloud Shell browsertabblad de vervolgkeuzelijst Omgeving selecteren en kies vervolgens PowerShell als dit nog niet is geselecteerd.

  Als u PowerShell lokaal gebruikt, gebruikt Azure PowerShell moduleversie 1.0.0 of hoger. Voer Get-Module -ListAvailable Az.Network uit om te kijken welke versie is geïnstalleerd. Als u PowerShell wilt upgraden, raadpleegt u De Azure PowerShell-module installeren. Voer Connect-AzAccount uit om een verbinding op te zetten met Azure.

• Azure CLI-gebruikers (opdrachtregelinterface): voer de opdrachten uit in de Azure Cloud Shell ofvoer de CLI uit vanaf uw computer. Gebruik Azure CLI versie 2.0.28 of hoger als u de Azure CLI lokaal gebruikt. Voer az --version uit om te kijken welke versie is geïnstalleerd. Zie Azure CLI installeren als u de CLI wilt installeren of een upgrade wilt uitvoeren. Voer az login uit om een verbinding op te zetten met Azure.

Het account waarin u zich aanmeldt of verbinding maakt met Azure, moet worden toegewezen aan de rol Netwerkbijdrager of aan een Aangepaste rol die de juiste acties krijgt toegewezen die worden vermeld in Machtigingen.

Met netwerkbeveiligingsgroepen werken

U kunt alle maken, weergeven, details vanweergeven, wijzigenen een netwerkbeveiligingsgroep verwijderen. U kunt een netwerkbeveiligingsgroep ook koppelen aan of loskoppelen van een netwerkinterface of subnet.

Een netwerkbeveiligingsgroep maken

Er is een limiet voor het aantal netwerkbeveiligingsgroepen dat u kunt maken voor elke Azure-locatie en elk azure-abonnement. Zie Azure subscription and service limits, quotas, and constraints (Limieten, quota en beperkingen voor Azure-abonnementen en -service) voor meer informatie.

1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

2. Selecteer Netwerken en selecteer vervolgens Netwerkbeveiligingsgroep.

3. Stel op de pagina Netwerkbeveiligingsgroep maken op het tabblad Basisinstellingen waarden in voor de volgende instellingen:

   Instelling	Bewerking
   Abonnement	Kies uw abonnement.
   Resourcegroep	Kies een bestaande resourcegroep of selecteer Nieuwe maken om een nieuwe resourcegroep te maken.
   Naam	Voer een unieke tekstreeks in een resourcegroep in.
   Regio	Kies de locatie die u wilt.

4. Selecteer Controleren + maken.

5. Nadat u het bericht Validatie geslaagd ziet, selecteert u Maken.

Opdracht

Alles weergeven netwerkbeveiligingsgroepen

Ga naar de Azure Portal uw netwerkbeveiligingsgroepen weer te bieden. Zoek en selecteer Netwerkbeveiligingsgroepen. De lijst met netwerkbeveiligingsgroepen wordt weergegeven voor uw abonnement.

Opdracht

Details van een netwerkbeveiligingsgroep weergeven

1. Ga naar de Azure Portal uw netwerkbeveiligingsgroepen weer te bieden. Zoek en selecteer Netwerkbeveiligingsgroepen.

2. Selecteer de naam van uw netwerkbeveiligingsgroep.

In de menubalk van de netwerkbeveiligingsgroep, onder Instellingen, kunt u de inkomende beveiligingsregels, uitgaande beveiligingsregels, netwerkinterfaces en subnetten bekijken die aan de netwerkbeveiligingsgroep zijn gekoppeld.

Onder Bewaking kunt u diagnostische instellingen in- of uitschakelen. Onder Ondersteuning en probleemoplossing kunt u Effectieve beveiligingsregels weergeven. Zie Diagnostische logboekregistratie voor een netwerkbeveiligingsgroep en Diagnose uitvoeren voor een probleem met een VM-netwerkverkeersfilter voor meer informatie.

Zie de volgende artikelen voor meer informatie over de algemene vermelde Azure-instellingen:

• Activiteitenlogboek
• Toegangsbeheer (IAM)
• Tags
• Vergrendelingen
• Automation-script

Opdracht

Een netwerkbeveiligingsgroep wijzigen

1. Ga naar de Azure Portal uw netwerkbeveiligingsgroepen weer te bieden. Zoek en selecteer Netwerkbeveiligingsgroepen.

2. Selecteer de naam van de netwerkbeveiligingsgroep die u wilt wijzigen.

De meest voorkomende wijzigingen zijn het toevoegen van een beveiligingsregel, het verwijderen van een regel enhet koppelen of ontkoppelen van een netwerkbeveiligingsgroep van of naar een subnet of netwerkinterface.

Opdracht

Een netwerkbeveiligingsgroep koppelen aan of loskoppelen van een subnet of netwerkinterface

Zie Een netwerkbeveiligingsgroepkoppelen aan of een netwerkbeveiligingsgroep loskoppelen van een netwerkinterface als u een netwerkbeveiligingsgroep wilt koppelen aan of loskoppelen van een netwerkinterface. Zie Subnetinstellingen wijzigen als u een netwerkbeveiligingsgroep wilt koppelen aan of een netwerkbeveiligingsgroep wilt loskoppelen van een subnet.

Een netwerkbeveiligingsgroep verwijderen

Als een netwerkbeveiligingsgroep is gekoppeld aan subnetten of netwerkinterfaces, kan deze niet worden verwijderd. Koppel een netwerkbeveiligingsgroep los van alle subnetten en netwerkinterfaces voordat u deze probeert te verwijderen.

1. Ga naar de Azure Portal uw netwerkbeveiligingsgroepen weer te bieden. Zoek en selecteer Netwerkbeveiligingsgroepen.

2. Selecteer de naam van de netwerkbeveiligingsgroep die u wilt verwijderen.

3. Selecteer Verwijderen op de werkbalk van de netwerkbeveiligingsgroep. Selecteer vervolgens Ja in het bevestigingsvenster.

Opdracht

Werken met beveiligingsregels

Een netwerkbeveiligingsgroep bevat nul of meer beveiligingsregels. U kunt alle maken, weergeven, details vanweergeven, wijzigenen een beveiligingsregel verwijderen.

Een beveiligingsregel maken

Er is een limiet voor het aantal regels per netwerkbeveiligingsgroep dat u voor elke Azure-locatie en elk azure-abonnement kunt maken. Zie Azure subscription and service limits, quotas, and constraints (Limieten, quota en beperkingen voor Azure-abonnementen en -service) voor meer informatie.

1. Ga naar de Azure Portal uw netwerkbeveiligingsgroepen weer te bieden. Zoek en selecteer Netwerkbeveiligingsgroepen.

2. Selecteer de naam van de netwerkbeveiligingsgroep waar u een beveiligingsregel aan wilt toevoegen.

3. Kies in de menubalk van de netwerkbeveiligingsgroep Inkomende beveiligingsregels of Uitgaande beveiligingsregels.

   Er worden verschillende bestaande regels vermeld, waaronder regels die u mogelijk niet hebt toegevoegd. Wanneer u een netwerkbeveiligingsgroep maakt, worden er verschillende standaardbeveiligingsregels in gemaakt. Zie Standaardbeveiligingsregels voor meer informatie. U kunt standaardbeveiligingsregels niet verwijderen, maar u kunt ze wel overschrijven met regels met een hogere prioriteit.

4. Selecteer Toevoegen. Selecteer of voeg waarden toe voor de volgende instellingen en selecteer vervolgens OK:

   Instelling	Waarde	Details
   Bron	Een van de volgende: Alle IP-adressen Servicetag (beveiligingsregel voor binnenkomende gegevens) of VirtualNetwork (uitgaande beveiligingsregel) **    Toepassingsbeveiligingsgroep**	Als u IP-adressen kiest, moet u ook bron-IP-adressen/CIDR-adresbereiken opgeven. Als u kiest voor Servicetag, kunt u ook een bronservicetag kiezen. Als u Toepassingsbeveiligingsgroep kiest, moet u ook een bestaande toepassingsbeveiligingsgroep kiezen. Als u toepassingsbeveiligingsgroep kiest voor zowel Bron als Doel, moeten de netwerkinterfaces binnen beide toepassingsbeveiligingsgroepen zich in hetzelfde virtuele netwerk.
   BRON-IP-adressen/CIDR-adresbereiken	Een door komma's scheidingstekenslijst met IP-adressen en CIDR-adresbereiken (Classless Interdomain Routing)	Deze instelling wordt weergegeven als u Bron wijzigt in IP-adressen. U moet één waarde of een door komma's gescheiden lijst met meerdere waarden opgeven. Een voorbeeld van meerdere waarden is 10.0.0.0/16, 192.188.1.1 . Er gelden limieten voor het aantal waarden dat u kunt opgeven. Zie Azure-limieten voor meer informatie. Als het IP-adres dat u opgeeft, is toegewezen aan een Azure-VM, geeft u het privé-IP-adres op, niet het openbare IP-adres. Azure verwerkt beveiligingsregels nadat het openbare IP-adres is omgezet in een privé-IP-adres voor inkomende beveiligingsregels, maar voordat een privé-IP-adres wordt omgezet in een openbaar IP-adres voor uitgaande regels. Zie IP-adrestypen voor meer informatie over openbare en privé-IP-adressenin Azure.
   Bronservicetag	Een servicetag uit de vervolgkeuzelijst	Deze optionele instelling wordt weergegeven als u Bron instelt op Servicetag voor een beveiligingsregel voor binnenkomende gegevens. Een servicetag is een vooraf gedefinieerde id voor een categorie IP-adressen. Zie Servicetags voor meer informatie over beschikbare servicetags en wat elke tag vertegenwoordigt.
   Beveiligingsgroep voor brontoepassing	Een bestaande toepassingsbeveiligingsgroep	Deze instelling wordt weergegeven als u Bron instelt op Toepassingsbeveiligingsgroep. Selecteer een toepassingsbeveiligingsgroep die zich in dezelfde regio bevindt als de netwerkinterface. Meer informatie over het maken van een toepassingsbeveiligingsgroep.
   Poortbereiken van bron	Een van de volgende: Eén poort, zoals 80 Een bereik van poorten, zoals 1024-65535 Een door komma's gescheiden lijst met enkele poorten en/of poortbereiken, zoals 80, 1024-65535 Een sterretje ( * ) om verkeer op elke poort toe te staan	Met deze instelling geeft u de poorten op waarop de regel verkeer toestaat of toestaat. Er gelden limieten voor het aantal poorten dat u kunt opgeven. Zie Azure-limieten voor meer informatie.
   Doel	Een van de volgende: Alle IP-adressen Servicetag (uitgaande beveiligingsregel) of VirtualNetwork (beveiligingsregel voor binnenkomende gegevens) **    Toepassingsbeveiligingsgroep**	Als u IP-adressen kiest, geeft u ook IP-doeladressen/CIDR-bereiken op. Als u VirtualNetwork kiest, wordt verkeer naar alle IP-adressen binnen de adresruimte van het virtuele netwerk toegestaan. VirtualNetwork is een servicetag. Als u Toepassingsbeveiligingsgroep selecteert, moet u vervolgens een bestaande toepassingsbeveiligingsgroep selecteren. Meer informatie over het maken van een toepassingsbeveiligingsgroep.
   DOEL-IP-adressen/CIDR-bereiken	Een door komma's scheidingstekenslijst met IP-adressen en CIDR-adresbereiken	Deze instelling wordt weergegeven als u Doel wijzigt in IP-adressen. Net als bij bron- en bron-IP-adressen/CIDR-adresbereiken, kunt u één of meerdere adressen of reeksen opgeven. Er gelden limieten voor het getal dat u kunt opgeven. Zie Azure-limieten voor meer informatie. Als het IP-adres dat u opgeeft, is toegewezen aan een Azure-VM, moet u ervoor zorgen dat u het privé-IP-adres opgeeft, niet het openbare IP-adres. Azure verwerkt beveiligingsregels nadat het openbare IP-adres heeft omgezet in een privé-IP-adres voor inkomende beveiligingsregels, maar voordat Azure een privé-IP-adres vertaalt naar een openbaar IP-adres voor uitgaande regels. Zie IP-adrestypen voor meer informatie over openbare en privé-IP-adressenin Azure.
   Doelservicetag	Een servicetag uit de vervolgkeuzelijst	Deze optionele instelling wordt weergegeven als u Doel wijzigt in Servicetag voor een uitgaande beveiligingsregel. Een servicetag is een vooraf gedefinieerde id voor een categorie IP-adressen. Zie Servicetags voor meer informatie over beschikbare servicetags en wat elke tag vertegenwoordigt.
   Doeltoepassingsbeveiligingsgroep	Een bestaande toepassingsbeveiligingsgroep	Deze instelling wordt weergegeven als u Doel instelt op Toepassingsbeveiligingsgroep. Selecteer een toepassingsbeveiligingsgroep die zich in dezelfde regio bevindt als de netwerkinterface. Meer informatie over het maken van een toepassingsbeveiligingsgroep.
   Poortbereiken van doel	Een van de volgende: Eén poort, zoals 80 Een bereik van poorten, zoals 1024-65535 Een door komma's gescheiden lijst met enkele poorten en/of poortbereiken, zoals 80, 1024-65535 Een sterretje ( * ) om verkeer op elke poort toe te staan	Net als bij Bronpoortbereiken kunt u enkele of meerdere poorten en bereik opgeven. Er gelden limieten voor het getal dat u kunt opgeven. Zie Azure-limieten voor meer informatie.
   Protocol	Alle, TCP, UDP of ICMP	U kunt de regel beperken tot Transmission Control Protocol (TCP), User Datagram Protocol (UDP) of Internet Control Message Protocol (ICMP). De standaardwaarde is dat de regel van toepassing is op alle protocollen.
   Actie	Toestaan of weigeren	Met deze instelling geeft u aan of deze regel de toegang voor de opgegeven bron- en doelconfiguratie toestaat of niet.
   Priority	Een waarde tussen 100 en 4096 die uniek is voor alle beveiligingsregels binnen de netwerkbeveiligingsgroep	In Azure worden beveiligingsregels in volgorde van prioriteit verwerkt. Hoe lager het getal, hoe hoger de prioriteit. We raden u aan om een hiaat tussen prioriteitsnummers te laten wanneer u regels maakt, zoals 100, 200 en 300. Door hiaten achter te laten, kunt u in de toekomst eenvoudiger regels toevoegen, zodat u ze een hogere of lagere prioriteit kunt geven dan bestaande regels.
   Naam	Een unieke naam voor de regel binnen de netwerkbeveiligingsgroep	De naam mag maximaal 80 tekens lang zijn. Het moet beginnen met een letter of cijfer en moet eindigen met een letter, cijfer of onderstrepingsteken. De naam mag alleen letters, cijfers, onderstrepingstekens, punten of afbreekstreepingen bevatten.
   Beschrijving	Een tekstbeschrijving	U kunt eventueel een tekstbeschrijving voor de beveiligingsregel opgeven. De beschrijving mag niet langer zijn dan 140 tekens.

Opdracht

Alles weergeven beveiligingsregels

Een netwerkbeveiligingsgroep bevat nul of meer regels. Zie Overzicht van netwerkbeveiligingsgroep voor meer informatie over de informatie die wordt weergegeven bij het weergeven van regels.

1. Ga naar de Azure Portal de regels van een netwerkbeveiligingsgroep weer te bieden. Zoek en selecteer Netwerkbeveiligingsgroepen.

2. Selecteer de naam van de netwerkbeveiligingsgroep waar u de regels voor wilt weergeven.

3. Kies in de menubalk van de netwerkbeveiligingsgroep Inkomende beveiligingsregels of Uitgaande beveiligingsregels.

De lijst bevat alle regels die u hebt gemaakt en de standaardbeveiligingsregels van de netwerkbeveiligingsgroep.

Opdracht

Details van een beveiligingsregel weergeven

1. Ga naar de Azure Portal de regels van een netwerkbeveiligingsgroep weer te bieden. Zoek en selecteer Netwerkbeveiligingsgroepen.

2. Selecteer de naam van de netwerkbeveiligingsgroep voor wie u de details van een regel wilt weergeven.

3. Kies in de menubalk van de netwerkbeveiligingsgroep Inkomende beveiligingsregels of Uitgaande beveiligingsregels.

4. Selecteer de regel voor wie u de details wilt weergeven. Zie Beveiligingsregelinstellingen voor een uitleg van alle instellingen.

   Notitie

   Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. Dit werkt niet als u een standaardbeveiligingsregel kiest.

Opdracht

Een beveiligingsregel wijzigen

1. Voltooi de stappen in Details van een beveiligingsregel weergeven.

2. Wijzig de instellingen naar behoefte en selecteer vervolgens Opslaan. Zie Beveiligingsregelinstellingen voor een uitleg van alle instellingen.

   Notitie

   Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. U mag geen standaardbeveiligingsregel wijzigen.

Opdracht

Een beveiligingsregel verwijderen

1. Voltooi de stappen in Details van een beveiligingsregel weergeven.

2. Selecteer Verwijderen en selecteer vervolgens Ja.

   Notitie

   Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. U mag geen standaardbeveiligingsregel verwijderen.

Opdracht

Werken met toepassingsbeveiligingsgroepen

Een toepassingsbeveiligingsgroep bevat nul of meer netwerkinterfaces. Zie Toepassingsbeveiligingsgroepen voor meer informatie. Alle netwerkinterfaces in een toepassingsbeveiligingsgroep moeten zich in hetzelfde virtuele netwerk hebben. Zie Een netwerkinterface toevoegen aan een toepassingsbeveiligingsgroep voor meer informatie over het toevoegen van een netwerkinterface aan een toepassingsbeveiligingsgroep.

Een toepassingsbeveiligingsgroep maken

1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

2. Voer in het zoekvak Toepassingsbeveiligingsgroep in.

3. Selecteer maken op de pagina Toepassingsbeveiligingsgroep.

4. Stel op de pagina Een toepassingsbeveiligingsgroep maken op het tabblad Basisbeginselen waarden in voor de volgende instellingen:

   Instelling	Bewerking
   Abonnement	Kies uw abonnement.
   Resourcegroep	Kies een bestaande resourcegroep of selecteer Nieuwe maken om een nieuwe resourcegroep te maken.
   Naam	Voer een unieke tekstreeks in een resourcegroep in.
   Regio	Kies de locatie die u wilt.

5. Selecteer Controleren + maken.

6. Selecteer op het tabblad Beoordelen en maken, nadat u het bericht Validatie geslaagd ziet, de optie Maken.

Opdracht

Alles weergeven van toepassingsbeveiligingsgroepen

Ga naar de Azure Portal uw toepassingsbeveiligingsgroepen te bekijken. Zoek en selecteer Toepassingsbeveiligingsgroepen. In Azure Portal wordt een lijst met uw toepassingsbeveiligingsgroepen weergegeven.

Opdracht

Details van een specifieke toepassingsbeveiligingsgroep weergeven

1. Ga naar de Azure Portal een toepassingsbeveiligingsgroep weer te bieden. Zoek en selecteer Toepassingsbeveiligingsgroepen.

2. Selecteer de naam van de toepassingsbeveiligingsgroep waar u de details van wilt bekijken.

Opdracht

Een toepassingsbeveiligingsgroep wijzigen

1. Ga naar de Azure Portal een toepassingsbeveiligingsgroep weer te bieden. Zoek en selecteer Toepassingsbeveiligingsgroepen.

2. Selecteer de naam van de toepassingsbeveiligingsgroep die u wilt wijzigen.

3. Selecteer Wijzigen naast de instelling die u wilt wijzigen. U kunt bijvoorbeeld Tags toevoegen of verwijderen, of u kunt de resourcegroep of het abonnement wijzigen.

   Notitie

   U kunt de locatie niet wijzigen.

   In de menubalk kunt u ook Toegangsbeheer (IAM) selecteren. Op de pagina Toegangsbeheer (IAM) kunt u machtigingen toewijzen aan of verwijderen voor de toepassingsbeveiligingsgroep.

Opdracht

Een toepassingsbeveiligingsgroep verwijderen

U kunt een toepassingsbeveiligingsgroep niet verwijderen als deze netwerkinterfaces bevat. Als u alle netwerkinterfaces uit de toepassingsbeveiligingsgroep wilt verwijderen, wijzigt u de instellingen van de netwerkinterface of verwijdert u de netwerkinterfaces. Zie Toevoegen aan of verwijderen uit toepassingsbeveiligingsgroepen of Een netwerkinterface verwijderenvoor meer informatie.

1. Ga naar de Azure Portal om uw toepassingsbeveiligingsgroepen te beheren. Zoek en selecteer Toepassingsbeveiligingsgroepen.

2. Selecteer de naam van de toepassingsbeveiligingsgroep die u wilt verwijderen.

3. Selecteer Verwijderen en selecteer vervolgens Ja om de toepassingsbeveiligingsgroep te verwijderen.

Opdracht

Machtigingen

Als u taken wilt uitvoeren voor netwerkbeveiligingsgroepen, beveiligingsregels en toepassingsbeveiligingsgroepen, moet uw account worden toegewezen aan de rol Netwerkbijdrager of aan een aangepaste rol die de juiste machtigingen krijgt toegewezen, zoals vermeld in de volgende tabellen:

Netwerkbeveiligingsgroep

Regel voor netwerkbeveiligingsgroep

Toepassingsbeveiligingsgroep

Volgende stappen

• Een netwerk- of toepassingsbeveiligingsgroep maken met behulp van PowerShell- of Azure CLI-voorbeeldscripts of Azure Resource Manager sjablonen
• Definities voor virtuele Azure Policy maken en toewijzen