NetwerkbeveiligingsgroepenNetwork security groups

U kunt een Azure-netwerk beveiligings groep gebruiken voor het filteren van netwerk verkeer naar en van Azure-resources in een virtueel Azure-netwerk.You can use an Azure network security group to filter network traffic to and from Azure resources in an Azure virtual network. Een netwerk beveiligings groep bevat beveiligings regels voor het toestaan of weigeren van binnenkomend netwerk verkeer naar of uitgaand netwerk verkeer van verschillende typen Azure-resources.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Voor elke regel kunt u de bron en het doel, de poort en het protocol opgeven.For each rule, you can specify source and destination, port, and protocol.

In dit artikel worden de eigenschappen van een regel voor de netwerk beveiligings groep, de standaard beveiligings regels die worden toegepast en de regel eigenschappen beschreven die u kunt wijzigen om een uitgebreide beveiligings regelte maken.This article describes properties of a network security group rule, the default security rules that are applied, and the rule properties that you can modify to create an augmented security rule.

Beveiligings regelsSecurity rules

Een netwerkbeveiligingsgroep bevat nul regels of zoveel regels als u wilt binnen de limieten van uw Azure-abonnement.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Elke regel geeft de volgende eigenschappen aan:Each rule specifies the following properties:

EigenschapProperty UitlegExplanation
NaamName Een unieke naam binnen de netwerkbeveiligingsgroep.A unique name within the network security group.
PrioriteitPriority Een getal tussen 100 en 4096.A number between 100 and 4096. Regels worden verwerkt in volgorde van prioriteit, waarbij lagere getallen worden verwerkt vóór hogere getallen omdat lagere getallen een hogere prioriteit hebben.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Zodra het verkeer overeenkomt met een regel, wordt de verwerking beëindigd.Once traffic matches a rule, processing stops. Daardoor worden regels met een lagere prioriteit (een hoger getal) die dezelfde kenmerken hebben als regels met een hogere prioriteit, niet verwerkt.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Bron of doelSource or destination Een IP-adres, CIDR-blok (bijvoorbeeld 10.0.0.0/24), servicetag of toepassingsbeveiligingsgroep.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Als u een adres opgeeft voor een Azure-resource, geeft u het privé-IP-adres op dat aan de resource is toegewezen.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Netwerkbeveiligingsgroepen worden verwerkt nadat Azure een openbaar IP-adres vertaalt naar een privé-IP-adres voor binnenkomend verkeer en voordat Azure een privé-IP-adres naar een openbaar IP-adres voor uitgaand verkeer vertaalt.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. .. Als u een bereik, servicetag of toepassingsbeveiligingsgroep opgeeft, hoeft u minder beveiligingsregels te maken.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. De mogelijkheid om meerdere afzonderlijke IP-adressen en-bereiken op te geven (u kunt niet meerdere service tags of toepassings groepen opgeven) in een regel worden uitgebreide beveiligings regelsgenoemd.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Uitgebreide beveiligingsregels kunnen alleen worden gemaakt in netwerkbeveiligingsgroepen die zijn gemaakt via het Resource Manager-implementatiemodel.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. U kunt niet meerdere IP-adressen en IP-adresbereiken opgeven in netwerkbeveiligingsgroepen die zijn gemaakt via het klassieke implementatiemodel.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model.
ProtocolProtocol TCP, UDP, ICMP of any.TCP, UDP, ICMP or Any.
RichtingDirection Hiermee wordt aangegeven of de regel van toepassing is op binnenkomend of uitgaand verkeer.Whether the rule applies to inbound, or outbound traffic.
PoortbereikPort range U kunt één poort of een poortbereik opgeven.You can specify an individual or range of ports. U kunt bijvoorbeeld 80 of 10000-10005 opgeven.For example, you could specify 80 or 10000-10005. Als u bereiken opgeeft, hoeft u minder beveiligingsregels te maken.Specifying ranges enables you to create fewer security rules. Uitgebreide beveiligingsregels kunnen alleen worden gemaakt in netwerkbeveiligingsgroepen die zijn gemaakt via het Resource Manager-implementatiemodel.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. U kunt niet meerdere poorten of poortbereiken opgeven in dezelfde beveiligingsregel in netwerkbeveiligingsgroepen die zijn gemaakt via het klassieke implementatiemodel.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
BewerkingAction Toestaan of weigerenAllow or deny

Beveiligingsregels voor netwerkbeveiligingsgroepen worden op prioriteit geëvalueerd op basis van de 5 tuple-gegevens (bron, bronpoort, doel, doelpoort en protocol) voor het toestaan of weigeren van het verkeer.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Voor bestaande verbindingen wordt een stroomrecord gemaakt.A flow record is created for existing connections. Communicatie wordt toegestaan of geweigerd op basis van de verbindingsstatus van de stroomrecord.Communication is allowed or denied based on the connection state of the flow record. Met de stroomrecord wordt een netwerkbeveiligingsgroep toegestaan stateful te zijn.The flow record allows a network security group to be stateful. Als u bijvoorbeeld een beveiligingsregel voor uitgaand verkeer opgeeft voor elk adres via poort 80, hoeft u geen beveiligingsregel voor binnenkomend verkeer op te geven voor de reacties op het uitgaande verkeer.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. U hoeft alleen een beveiligingsregel voor binnenkomend verkeer op te geven als de communicatie extern is gestart.You only need to specify an inbound security rule if communication is initiated externally. Het omgekeerde geldt ook.The opposite is also true. Als binnenkomend verkeer via een poort is toegestaan, is het niet nodig om een beveiligingsregel voor uitgaand verkeer op te geven om te reageren op verkeer via die poort.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port.

Bestaande verbindingen kunnen niet worden onderbroken wanneer u een beveiligingsregel verwijdert die de stroom mogelijk heeft gemaakt.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Verkeersstromen worden onderbroken wanneer er verbindingen worden gestopt en er gedurende minstens een paar minuten in beide richtingen geen verkeer stroomt.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Er gelden beperkingen voor het aantal beveiligingsregels dat u in een netwerkbeveiligingsgroep kunt maken.There are limits to the number of security rules you can create in a network security group. Zie Netwerkenlimieten voor meer informatie.For details, see Azure limits.

Standaard beveiligings regelsDefault security rules

Azure maakt de volgende standaardregels in elke netwerkbeveiligingsgroep die u maakt:Azure creates the following default rules in each network security group that you create:

InkomendInbound

AllowVNetInBoundAllowVNetInBound
PrioriteitPriority BronSource BronpoortenSource ports DoelDestination DoelpoortenDestination ports ProtocolProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AlleAny ToestaanAllow
AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound
PrioriteitPriority BronSource BronpoortenSource ports DoelDestination DoelpoortenDestination ports ProtocolProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AlleAny ToestaanAllow
DenyAllInboundDenyAllInbound
PrioriteitPriority BronSource BronpoortenSource ports DoelDestination DoelpoortenDestination ports ProtocolProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AlleAny WeigerenDeny

UitgaandOutbound

AllowVnetOutBoundAllowVnetOutBound
PrioriteitPriority BronSource BronpoortenSource ports DoelDestination DoelpoortenDestination ports ProtocolProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AlleAny ToestaanAllow
AllowInternetOutBoundAllowInternetOutBound
PrioriteitPriority BronSource BronpoortenSource ports DoelDestination DoelpoortenDestination ports ProtocolProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 AlleAny ToestaanAllow
DenyAllOutBoundDenyAllOutBound
PrioriteitPriority BronSource BronpoortenSource ports DoelDestination DoelpoortenDestination ports ProtocolProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AlleAny WeigerenDeny

In de kolommen Bron en Doel zijn VirtualNetwork, AzureLoadBalancer en Internetservicetags in plaats van IP-adressen.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. In de kolom Protocol omvat elk het TCP, UDP en ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Wanneer u een regel maakt, kunt u TCP, UDP, ICMP of any opgeven.When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 in de kolommen Bron en Doel vertegenwoordigt alle adressen.0.0.0.0/0 in the Source and Destination columns represents all addresses. Clients als Azure Portal, Azure CLI of Power shell kunnen * of een wille keurige voor deze expressie gebruiken.Clients like Azure portal, Azure CLI, or PowerShell can use * or any for this expression.

U kunt de standaardregels niet verwijderen, maar u kunt ze negeren door regels te maken met een hogere prioriteit.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Uitgebreide beveiligings regelsAugmented security rules

Uitgebreide beveiligingsregels vereenvoudigen de beveiligingsdefinitie voor virtuele netwerken, zodat u een uitgebreider en complexer netwerkbeveiligingsbeleid kunt definiëren met minder regels.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. U kunt meerdere poorten en meerdere expliciete IP-adressen en -bereiken combineren tot één gemakkelijk te begrijpen beveiligingsregel.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. U kunt uitgebreide regels gebruiken in de velden voor bron, doel en poort van een regel.Use augmented rules in the source, destination, and port fields of a rule. Om het onderhoud van de definitie van uw beveiligingsregel te vereenvoudigen, kunt u uitgebreide beveiligingsregels combineren met servicetags of toepassingsbeveiligingsgroepen.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Er zijn limieten voor het aantal adressen, bereiken en poorten die u in een regel kunt opgeven.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Zie Netwerkenlimieten voor meer informatie.For details, see Azure limits.

ServicetagsService tags

Een servicetag vertegenwoordigt een groep IP-adres voorvoegsels van een bepaalde Azure-service.A service tag represents a group of IP address prefixes from a given Azure service. Zo kunt u de complexiteit van regel matige updates voor netwerk beveiligings regels minimaliseren.It helps to minimize the complexity of frequent updates on network security rules.

Zie Azure service Tags(Engelstalig) voor meer informatie.For more information, see Azure service tags. Zie netwerk toegang tot PaaS-resources beperkenvoor een voor beeld van het gebruik van het tag Storage-service om netwerk toegang te beperken.For an example on how to use the Storage service tag to restrict network access, see Restrict network access to PaaS resources.

ToepassingsbeveiligingsgroepenApplication security groups

Met behulp van toepassingsbeveiligingsgroepen kunt u netwerkbeveiliging configureren als een natuurlijk verlengstuk van de structuur van een toepassing, waarbij u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van die groepen.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. U kunt het beveiligingsbeleid op grote schaal opnieuw gebruiken zonder handmatig onderhoud van expliciete IP-adressen.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Zie toepassings beveiligings groepenvoor meer informatie.To learn more, see Application security groups.

Verkeer evaluerenHow traffic is evaluated

U kunt resources van diverse Azure-services in een virtueel Azure-netwerk implementeren.You can deploy resources from several Azure services into an Azure virtual network. Zie Services die kunnen worden geïmplementeerd in een virtueel netwerk voor de volledige lijst.For a complete list, see Services that can be deployed into a virtual network. U kunt nul of één netwerkbeveiligingsgroep aan elk subnet van een virtueel netwerk en netwerkinterface in een virtuele machine koppelen.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Dezelfde netwerkbeveiligingsgroep kan aan zoveel subnetten en netwerkinterfaces worden gekoppeld als u wilt.The same network security group can be associated to as many subnets and network interfaces as you choose.

In de volgende afbeelding ziet u verschillende scenario's voor het implementeren van netwerkbeveiligingsgroepen om netwerkverkeer naar en van internet via TCP-poort 80 toe te staan:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

Verwerken van NSG's

Raadpleeg de afbeelding hierboven in combinatie met de volgende tekst als u wilt weten hoe binnenkomende en uitgaande regels voor netwerkbeveiligingsgroepen worden verwerkt:Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Binnenkomend verkeerInbound traffic

Voor binnenkomend verkeer worden eerst de regels verwerkt in een netwerkbeveiligingsgroep die aan een subnet is gekoppeld, indien aanwezig. Vervolgens worden de regels verwerkt die zijn gekoppeld aan een netwerkinterface, indien aanwezig.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: de beveiligingsregels in NSG1 worden verwerkt, omdat deze is gekoppeld aan Subnet1 en VM1 zich in Subnet1 bevindt.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. Tenzij u een regel hebt gemaakt waardoor poort 80 binnenkomend verkeer toestaat, wordt het verkeer geweigerd door de standaardbeveiligingsregel DenyAllInbound en nooit geëvalueerd door NSG2, omdat NSG2 is gekoppeld aan de netwerkinterface.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Als NSG1 een beveiligingsregel bevat die poort 80 toestaat, wordt het verkeer door NSG2 verwerkt.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Als u poort 80 voor de virtuele machine wilt toestaan, moet zowel NSG1 als NSG2 een regel bevatten die verkeer vanaf internet via poort 80 toestaat.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: de regels in NSG1 worden verwerkt omdat VM2 zich ook in Subnet1 bevindt.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Omdat VM2 geen netwerkinterface bevat die aan de bijbehorende netwerkinterface is gekoppeld, wordt hier alle verkeer ontvangen dat is toegestaan via NSG1 of wordt alle verkeer geweigerd dat is geweigerd door NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Verkeer wordt voor alle resources in hetzelfde subnet toegestaan of geweigerd als een netwerkbeveiligingsgroep aan een subnet is gekoppeld.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: omdat er geen netwerkbeveiligingsgroep is gekoppeld aan Subnet2, wordt verkeer naar het subnet toegestaan en verwerkt door NSG2, omdat NSG2 is gekoppeld aan de netwerkinterface die met VM3 is verbonden.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: verkeer naar VM4 is toegestaan omdat er geen netwerkbeveiligingsgroep is gekoppeld aan Subnet3 of de netwerkinterface in de virtuele machine.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Alle netwerkverkeer wordt toegestaan via een subnet en netwerkinterface als er geen netwerkbeveiligingsgroep aan is gekoppeld.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Uitgaand verkeerOutbound traffic

Voor uitgaand verkeer worden eerst de regels verwerkt in een netwerkbeveiligingsgroep die aan een netwerkinterface is gekoppeld, indien aanwezig. Vervolgens worden de regels in een netwerkbeveiligingsgroep verwerkt die zijn gekoppeld aan het subnet, indien aanwezig.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: de beveiligingsregels in NSG2 worden verwerkt.VM1: The security rules in NSG2 are processed. Tenzij u een beveiligingsregel maakt die uitgaand verkeer naar internet via poort 80 weigert, wordt in zowel NSG1 als NSG2 verkeer toegestaan door de standaardbeveiligingsregel AllowInternetOutbound.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Als NSG2 een beveiligingsregel bevat die poort 80 weigert, wordt het verkeer geweigerd en nooit door NSG1 geëvalueerd.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Als u binnenkomend verkeer van de virtuele machine via poort 80 wilt weigeren, moet een van de netwerkbeveiligingsgroepen, of beide, een regel bevatten die uitgaand verkeer naar internet via poort 80 weigert.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: al het verkeer wordt via de netwerkinterface naar het subnet verzonden, omdat aan de netwerkinterface die met VM2 is verbonden, geen netwerkbeveiligingsgroep is gekoppeld.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. De regels in NSG1 worden verwerkt.The rules in NSG1 are processed.
  • VM3: als NSG2 een beveiligingsregel bevat die poort 80 weigert, wordt het verkeer geweigerd.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Als NSG2 een beveiligingsregel bevat die poort 80 toestaat, wordt via poort 80 uitgaand verkeer naar internet toegestaan, omdat er geen netwerkbeveiligingsgroep aan Subnet2 is gekoppeld.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: al het netwerkverkeer naar VM4 is toegestaan omdat er geen netwerkbeveiligingsgroep is gekoppeld aan de netwerkinterface die met de virtuele machine is verbonden, of aan Subnet3.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Verkeer binnen het subnetIntra-Subnet traffic

Het is belang rijk te weten dat beveiligings regels in een NSG die aan een subnet zijn gekoppeld, de connectiviteit van de virtuele machine van de VM kunnen beïnvloeden.It's important to note that security rules in an NSG associated to a subnet can affect connectivity between VM's within it. Als er bijvoorbeeld een regel wordt toegevoegd aan NSG1 die al het binnenkomende en uitgaande verkeer weigert, kunnen VM1 en VM2 niet meer met elkaar communiceren.For example, if a rule is added to NSG1 which denies all inbound and outbound traffic, VM1 and VM2 will no longer be able to communicate with each other. Een andere regel moet specifiek worden toegevoegd om dit toe te staan.Another rule would have to be added specifically to allow this.

U kunt eenvoudig de cumulatieve regels bekijken die op een netwerkinterface worden toegepast door de effectieve beveiligingsregels voor een netwerkinterface te bekijken.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. U kunt ook de functie IP-stroom controleren in Azure Network Watcher gebruiken om te bepalen of de communicatie van of naar een netwerkinterface is toegestaan.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. Met IP-stroom controle wordt aangegeven of een communicatie wordt toegestaan of geweigerd en welke netwerk beveiligings regel het verkeer toestaat of weigert.IP flow verify tells you whether a communication is allowed or denied, and which network security rule allows or denies the traffic.

Notitie

Netwerk beveiligings groepen zijn gekoppeld aan subnetten of virtuele machines en Cloud Services die zijn geïmplementeerd in het klassieke implementatie model, en op subnetten of netwerk interfaces in het Resource Manager-implementatie model.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Zie Over Azure-implementatiemodellen voor meer informatie over Azure-implementatiemodellen.To learn more about Azure deployment models, see Understand Azure deployment models.

Tip

Tenzij u een specifieke reden hebt voor, wordt u aangeraden een netwerk beveiligings groep te koppelen aan een subnet of een netwerk interface, maar niet beide.Unless you have a specific reason to, we recommend that you associate a network security group to a subnet, or a network interface, but not both. Aangezien regels in een netwerkbeveiligingsgroep die aan een subnet is gekoppeld, kunnen conflicteren met regels in een netwerkbeveiligingsgroep die aan een netwerkinterface is gekoppeld, kunnen er onverwachte communicatieproblemen optreden waarvoor een probleemoplossing dient te worden uitgevoerd.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Overwegingen bij het Azure-platformAzure platform considerations

  • Virtueel IP-adres van het host-knoop punt: basis infrastructuur services zoals DHCP, DNS, IMDS en status controle worden verschaft via de gevirtualiseerde host-IP-adressen 168.63.129.16 en 169.254.169.254.Virtual IP of the host node: Basic infrastructure services like DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Deze IP-adressen zijn van Microsoft en zijn de enige gevirtualiseerde IP-adressen die in alle regio's voor dit doel worden gebruikt.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. De juiste beveiligings regels en de juiste routes bevatten deze platform regels niet.Effective security rules and effective routes will not include these platform rules. Als u deze basis infrastructuur communicatie wilt overschrijven, kunt u een beveiligings regel voor het weigeren van verkeer maken met behulp van de volgende service Tags in de regels voor de netwerk beveiligings groep: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM.To override this basic infrastructure communication, you can create a security rule to deny traffic by using the following service tags on your Network Security Group rules: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Meer informatie over het vaststellen van het filteren van netwerk verkeer en het diagnosticeren van netwerk routering.Learn how to diagnose network traffic filtering and diagnose network routing.

  • Licentieverlening (Key Management Service): voor alle Windows installatiekopieën die op virtuele machines worden uitgevoerd, is een licentie vereist.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Hiervoor wordt een licentieaanvraag verstuurd naar de Key Management Service-hostservers waarop dergelijke query's worden afgehandeld.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. De uitgaande aanvraag wordt gedaan via poort. 1688.The request is made outbound through port 1688. Voor implementaties die gebruikmaken van een configuratie met de standaardroute 0.0.0.0/0, wordt deze platformregel uitgeschakeld.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Virtuele machines in groepen met gelijke taakverdeling: de bronpoort en het bronadresbereik die worden toegepast, zijn die van de oorspronkelijke computer, niet van de load balancer.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. De doelpoort en het doeladresbereik zijn die van de doelcomputer, niet van de load balancer.The destination port and address range are for the destination computer, not the load balancer.

  • Azure-service-exemplaren: exemplaren van verschillende Azure-services, zoals HDInsight, toepassingsserviceomgevingen en virtuele-machineschaalsets, worden geïmplementeerd in virtuele netwerksubnetten.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Zie Virtueel netwerk voor Azure-services voor een volledige lijst met services die u in virtuele netwerken kunt implementeren.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Zorg ervoor dat u vertrouwd raakt met de poortvereisten voor elke service voordat u een netwerkbeveiligingsgroep toepast op het subnet waarin de resource is geïmplementeerd.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Als u poorten weigert die vereist zijn voor de service, werkt de service niet naar behoren.If you deny ports required by the service, the service doesn't function properly.

  • Verzenden van uitgaande e-mail: micro soft raadt u aan om GEVERIFIEERDe SMTP-relay-Services (meestal verbonden via TCP-poort 587, maar ook vaak andere) te gebruiken om e-mail te verzenden vanuit Azure virtual machines.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. SMTP-relayservices leggen zich toe op de reputatie van de afzender, om zo de kans dat e-mailproviders van derden berichten weigeren, tot het uiterste terug te dringen.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Dergelijke SMTP-relayservices omvatten, maar beperken zich niet tot Exchange Online Protection en SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Het gebruik van de SMTP-relayservices wordt in Azure op geen enkele wijze beperkt, ongeacht welk type abonnement u hebt.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Als u uw Azure-abonnement vóór 15 november 2017 hebt gemaakt, kunt u naast de mogelijkheid om gebruik te maken van SMTP-relayservices ook rechtstreeks e-mail verzenden via TCP-poort 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Als u uw abonnement na 15 november 2017 hebt gemaakt kunt u mogelijk geen e-mail rechtstreeks via poort 25 verzenden.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Hoe uitgaande communicatie via poort 25 verloopt, hangt als volgt samen met het type abonnement dat u hebt:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Enterprise Overeenkomst: communicatie via poort 25 is toegestaan.Enterprise Agreement: Outbound port 25 communication is allowed. U kunt een uitgaand e-mail bericht rechtstreeks van virtuele machines naar externe e-mail providers verzenden, zonder beperkingen van het Azure-platform.You are able to send an outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Betalen naar gebruik: communicatie via uitgaande poort 25 is voor alle resources geblokkeerd.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Als u e-mail vanaf een virtuele machine rechtstreeks naar de externe e-mailproviders wilt verzenden (niet via een geverifieerde SMTP-relay), kunt u een aanvraag indienen om de beperking op te heffen.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Het is aan Microsoft om te bepalen of aanvragen worden gecontroleerd en goedgekeurd, en aanvragen worden alleen toegekend nadat er controles ter voorkoming van fraude zijn uitgevoerd.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Als u een aanvraag wilt indienen, opent u een ondersteuningsaanvraag met het probleemtype Technisch, Virtuele netwerkverbinding, Kan geen e-mail verzenden (SMTP/poort 25).To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). Vermeld in uw ondersteuningsaanvraag informatie zoals waarom uw abonnement e-mail rechtstreeks naar e-mailproviders moet kunnen verzenden in plaats van via een geverifieerde SMTP-relay.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Als de aanvraag voor uw abonnement wordt toegekend, kunnen alleen de virtuele machines die na de toekenningsdatum zijn gemaakt poort 25 voor uitgaande communicatie gebruiken.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure in Open, Education, BizSpark en gratis proefabonnementen: uitgaande communicatie via poort 25 voor alle resources geblokkeerd.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Er kunnen geen aanvragen worden ingediend voor het opheffen van de beperking, omdat zulke aanvragen niet worden toegekend.No requests to remove the restriction can be made, because requests are not granted. Als u e-mail moet verzenden vanaf uw virtuele machine, dient u een SMTP-relayservice te gebruiken.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Cloudserviceprovider: klanten die Azure-resources via een cloudserviceprovider gebruiken, kunnen een ondersteuningsaanvraag maken bij hun cloudserviceprovider. Zij kunnen vervolgens aanvragen dat de provider namens hen een blokkering opheft, als er geen beveiligde SMTP-relay kan worden gebruikt.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Als u in Azure e-mail kunt verzenden via poort 25, garandeert Microsoft niet dat e-mailproviders inkomende e-mail vanaf uw virtuele machine accepteren.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Als een specifieke provider e-mail van uw virtuele machine weigert, dient u samen met de provider alle eventuele problemen met de aflevering van berichten of met de spamfilter op te lossen, of u moet een geverifieerde SMTP-relayservice gebruiken.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Volgende stappenNext steps