Grupy zabezpieczeńSecurity groups

Ruch sieciowy przychodzący do zasobów platformy Azure i wychodzący z nich w sieci wirtualnej platformy Azure można filtrować za pomocą grupy zabezpieczeń sieci.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. Grupa zabezpieczeń sieci zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Aby dowiedzieć się więcej o zasobach platformy Azure, które można wdrożyć w sieci wirtualnej i skojarzyć z nimi grupy zabezpieczeń sieci, zobacz Integracja z siecią wirtualną dla usług platformy Azure.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół.For each rule, you can specify source and destination, port, and protocol.

W tym artykule pojęcia dotyczące grup zabezpieczeń sieci, aby ułatwić efektywne korzystanie z nich.This article explains network security group concepts, to help you use them effectively. Jeśli nie masz doświadczenia w tworzeniu grup zabezpieczeń sieci, możesz ukończyć szybki samouczek, aby zyskać pewne doświadczenie w tym zakresie.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Jeśli znasz grupy zabezpieczeń sieci i chcesz nimi zarządzać, zobacz Manage a network security group (Zarządzanie sieciową grupą zabezpieczeń).If you're familiar with network security groups and need to manage them, see Manage a network security group. Jeśli występują problemy z komunikacją i musisz rozwiązać problemy z grupami zabezpieczeń sieci, zobacz Diagnozowanie problemu z filtrowaniem ruchu sieciowego maszyny wirtualnej.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Możesz włączyć dzienniki przepływu grupy zabezpieczeń sieci w celu analizowania ruchu sieciowego do i z zasobów, z którymi skojarzono grupę zabezpieczeń sieci.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

Reguły zabezpieczeńSecurity rules

Grupa zabezpieczeń sieci nie zawiera żadnych reguł lub dowolną liczbę reguł zgodnie z potrzebami, w ramach limitów subskrypcji platformy Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Każda reguła określa następujące właściwości:Each rule specifies the following properties:

WłaściwośćProperty WyjaśnienieExplanation
NazwaName Unikatowa nazwa w obrębie grupy zabezpieczeń sieci.A unique name within the network security group.
PriorytetPriority Liczba z zakresu od 100 do 4096.A number between 100 and 4096. Reguły są przetwarzane w kolejności priorytetów. Im niższy numer, tym wyższy priorytet, więc te o niższych numerach są przetwarzane przed tymi o wyższych numerach.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Kiedy ruch jest zgodny z regułą, przetwarzanie zostaje zatrzymane.Once traffic matches a rule, processing stops. W związku z tym żadne istniejące reguły o niższych priorytetach (wyższych numerach), które mają takie same atrybuty jak reguły o wyższych priorytetach, nie będą przetwarzane.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Obiekt źródłowy lub docelowySource or destination Dowolny lub indywidualny adres IP, blok CIDR (na przykład 10.0.0.0/24), tag usługi lub grupa zabezpieczeń aplikacji.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. W przypadku określenia adresu dla zasobu platformy Azure należy określić prywatny adres IP przypisany do zasobu.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. W przypadku ruchu przychodzącego grupy zabezpieczeń sieci są przetwarzane po tym, jak platforma Azure przetłumaczy publiczny adres IP na prywatny adres IP, a w przypadku ruchu wychodzącego — zanim platforma Azure przetłumaczy prywatny adres IP na publiczny adres IP.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Dowiedz się więcej o adresach IP platformy Azure.Learn more about Azure IP addresses. Określenie zakresu, tagu usługi lub grupy zabezpieczeń aplikacji umożliwia utworzenie mniejszej liczby reguł zabezpieczeń.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. Możliwość określenia wielu poszczególnych adresów IP i zakresów (nie można określić wielu tagów usługi ani grup aplikacji) w regule nosi nazwę rozszerzonych reguł zabezpieczeń.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Nie można określić wielu adresów IP i zakresów adresów IP w grupach zabezpieczeń sieci utworzonych za pomocą klasycznego modelu wdrażania.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Dowiedz się więcej o modelach wdrażania platformy Azure.Learn more about Azure deployment models.
Protocol (Protokół)Protocol TCP, UDP, ICMP lub dowolny.TCP, UDP, ICMP or Any.
KierunekDirection Określa, czy ta reguła ma zastosowanie do ruchu przychodzącego, czy wychodzącego.Whether the rule applies to inbound, or outbound traffic.
Zakres portówPort range Można określić pojedynczy port lub zakres portów.You can specify an individual or range of ports. Na przykład można określić port 80 lub 10000–10005.For example, you could specify 80 or 10000-10005. Określenie zakresów umożliwia utworzenie mniejszej liczby reguł zabezpieczeń.Specifying ranges enables you to create fewer security rules. Rozszerzone reguły zabezpieczeń można tworzyć tylko w grupach zabezpieczeń sieci utworzonych za pośrednictwem modelu wdrażania przy użyciu usługi Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Nie można określić wielu portów lub zakresów portów w grupach zabezpieczeń sieci utworzonych za pomocą klasycznego modelu wdrażania.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
DziałanieAction Zezwolenie lub zablokowanieAllow or deny

Reguły zabezpieczeń grupy zabezpieczeń sieci są oceniane według priorytetu na podstawie krotki składającej się z pięciu informacji (źródło, port źródłowy, obiekt docelowy, port docelowy i protokół) w celu zezwolenia na ruch lub zablokowania go.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Rekord przepływu tworzony jest dla istniejących połączeń.A flow record is created for existing connections. Komunikacja jest dozwolona lub zablokowana na podstawie stanu połączenia z rekordu przepływu.Communication is allowed or denied based on the connection state of the flow record. Dzięki rekordowi przepływu grupa zabezpieczeń sieci jest stanowa.The flow record allows a network security group to be stateful. Jeśli zostanie określona reguła zabezpieczeń dla ruchu wychodzącego do dowolnego adresu za pośrednictwem (na przykład) portu 80, nie trzeba określać żadnej reguły zabezpieczeń ruchu przychodzącego dla odpowiedzi na ruch wychodzący.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Należy tylko określić regułę zabezpieczeń dla ruchu przychodzącego w przypadku, jeśli komunikacja jest inicjowana zewnętrznie.You only need to specify an inbound security rule if communication is initiated externally. Jest to również prawdziwe w odwrotnym przypadku.The opposite is also true. Jeśli ruch przychodzący jest dozwolony przez port, nie trzeba określać reguły zabezpieczeń dla ruchu wychodzącego, aby odpowiadać na ruch przychodzący przez port.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. Istniejące połączenia mogą nie zostać przerwane po usunięciu reguły zabezpieczeń, która zezwoliła na przepływ.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Przepływy ruchu są przerywane po zakończeniu połączenia, gdy przez co najmniej kilka minut nie ma ruchu z żadnej strony.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Istnieją ograniczenia dotyczące liczby reguł zabezpieczeń, które można utworzyć w grupie zabezpieczeń sieci.There are limits to the number of security rules you can create in a network security group. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).For details, see Azure limits.

Rozszerzone reguły zabezpieczeńAugmented security rules

Rozszerzone reguły zabezpieczeń upraszczają definicję zabezpieczeń dla sieci wirtualnych, umożliwiając definiowanie zasad zabezpieczeń większych i złożonych sieci przy użyciu mniejszej liczby reguł.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Można połączyć wiele portów, wiele jawnych adresów IP i zakresów w jedną, łatwo zrozumiałą regułę zabezpieczeń.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Rozszerzone reguły stosuje się w polach źródła, obiektu docelowego i portów reguły.Use augmented rules in the source, destination, and port fields of a rule. Aby uprościć zarządzanie definicją reguły zabezpieczeń, połącz rozszerzone reguły zabezpieczeń z tagami usług lub grupami zabezpieczeń aplikacji.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Istnieją limity liczby adresów, zakresów i portów, które można określić w regule.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).For details, see Azure limits.

Tagi usługiService tags

Tag usługi reprezentuje grupę prefiksów adresów IP z danej usługi platformy Azure.A service tag represents a group of IP address prefixes from a given Azure service. Pomaga zminimalizować złożoność częstych aktualizacji w regułach zabezpieczeń sieci.It helps to minimize complexity of frequent updates on network security rules.

Aby uzyskać więcej informacji, zobacz Tagi usług platformy Azure.For more information, see Azure service tags.

Domyślne reguły zabezpieczeńDefault security rules

Platforma Azure tworzy następujące reguły domyślne w każdej tworzonej grupie zabezpieczeń sieci:Azure creates the following default rules in each network security group that you create:

PrzychodząceInbound

AllowVNetInBoundAllowVNetInBound

PriorytetPriority ŹródłoSource Porty źródłoweSource ports CelDestination Porty doceloweDestination ports Protocol (Protokół)Protocol DostępAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 DowolneAny ZezwólAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PriorytetPriority ŹródłoSource Porty źródłoweSource ports CelDestination Porty doceloweDestination ports Protocol (Protokół)Protocol DostępAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 DowolneAny ZezwólAllow

DenyAllInboundDenyAllInbound

PriorytetPriority ŹródłoSource Porty źródłoweSource ports CelDestination Porty doceloweDestination ports Protocol (Protokół)Protocol DostępAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 DowolneAny OdmówDeny

WychodząceOutbound

AllowVnetOutBoundAllowVnetOutBound

PriorytetPriority ŹródłoSource Porty źródłoweSource ports CelDestination Porty doceloweDestination ports Protocol (Protokół)Protocol DostępAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 DowolneAny ZezwólAllow

AllowInternetOutBoundAllowInternetOutBound

PriorytetPriority ŹródłoSource Porty źródłoweSource ports CelDestination Porty doceloweDestination ports Protocol (Protokół)Protocol DostępAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 DowolneAny ZezwólAllow

DenyAllOutBoundDenyAllOutBound

PriorytetPriority ŹródłoSource Porty źródłoweSource ports CelDestination Porty doceloweDestination ports Protocol (Protokół)Protocol DostępAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 DowolneAny OdmówDeny

W kolumnach Źródło i Obiekt docelowy elementy VirtualNetwork, AzureLoadBalancer i Internettagami usługi, a nie adresami IP.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. W kolumnie Protokół wszystkie obejmują protokoły TCP, UDP i ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Podczas tworzenia reguły można określić protokół TCP, UDP, ICMP lub dowolny.When creating a rule, you can specify TCP, UDP, ICMP or Any. Wartość 0.0.0.0/0 w kolumnach Źródło i Obiekt docelowy reprezentuje wszystkie adresy.0.0.0.0/0 in the Source and Destination columns represents all addresses. Klienci, takie jak Azure Portal, interfejs wiersza polecenia platformy Azure lub program PowerShell, mogą używać dla tego wyrażenia znaku * lub dowolnego z nich.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Nie można usunąć reguł domyślnych, ale można je przesłonić, tworząc reguły o wyższych priorytetach.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Grupy zabezpieczeń aplikacjiApplication security groups

Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Platforma obsługuje złożoność jawnych adresów IP i wiele zestawów reguł, co pozwala skupić się na logice biznesowej.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Aby lepiej zrozumieć grupy zabezpieczeń aplikacji, rozważmy następujący przykład:To better understand application security groups, consider the following example:

Grupy zabezpieczeń aplikacji

Na poprzedniej ilustracji interfejsy sieciowe NIC1 i NIC2 są elementami członkowskimi grupy zabezpieczeń aplikacji AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. Interfejs sieciowy NIC3 jest elementem członkowskim grupy zabezpieczeń aplikacji AsgLogic.NIC3 is a member of the AsgLogic application security group. Interfejs sieciowy NIC4 jest elementem członkowskim grupy zabezpieczeń aplikacji AsgDb.NIC4 is a member of the AsgDb application security group. Chociaż każdy interfejs sieciowy w tym przykładzie jest elementem członkowskim tylko jednej grupy zabezpieczeń aplikacji, interfejs sieciowy może być elementem członkowskim wielu grup zabezpieczeń aplikacji, w granicach limitów platformy Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Żaden z interfejsów sieciowych nie ma skojarzonej grupy zabezpieczeń sieci.None of the network interfaces have an associated network security group. Grupa NSG1 jest skojarzona z obiema podsieciami i zawiera następujące reguły:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Ta reguła jest potrzebna w celu zezwolenia na ruch z Internetu do serwerów internetowych.This rule is needed to allow traffic from the internet to the web servers. Ponieważ ruch przychodzący z Internetu jest blokowany przez domyślną regułę zabezpieczeń DenyAllInbound, dodatkowa reguła nie jest potrzebna w przypadku grup zabezpieczeń aplikacji AsgLogic i AsgDb.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PriorytetPriority ŹródłoSource Porty źródłoweSource ports CelDestination Porty doceloweDestination ports Protocol (Protokół)Protocol DostępAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP ZezwólAllow

Deny-Database-AllDeny-Database-All

Ponieważ domyślna reguła zabezpieczeń AllowVNetInBound zezwala na całą komunikację między zasobami w tej samej sieci wirtualnej, ta zasada jest potrzebna w celu blokowania ruchu ze wszystkich zasobów.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PriorytetPriority ŹródłoSource Porty źródłoweSource ports CelDestination Porty doceloweDestination ports Protocol (Protokół)Protocol DostępAccess
120120 * * AsgDbAsgDb 14331433 DowolneAny OdmówDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Ta reguła zezwala na ruch z grupy zabezpieczeń aplikacji AsgLogic do grupy zabezpieczeń aplikacji AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. Priorytet tej reguły jest wyższy niż priorytet reguły Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. W rezultacie ta reguła jest przetwarzana przed regułą Deny-Database-All, a więc ruch z grupy zabezpieczeń aplikacji AsgLogic jest dozwolony, natomiast cały pozostały ruch jest blokowany.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PriorytetPriority ŹródłoSource Porty źródłoweSource ports CelDestination Porty doceloweDestination ports Protocol (Protokół)Protocol DostępAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP ZezwólAllow

Reguły określające grupę zabezpieczeń aplikacji jako źródło lub obiekt docelowy są stosowane tylko do interfejsów sieciowych, które są elementami członkowskimi grupy zabezpieczeń aplikacji.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Jeśli interfejs sieciowy nie jest elementem członkowskim grupy zabezpieczeń aplikacji, reguła nie jest stosowana do tego interfejsu sieciowego, mimo że grupa zabezpieczeń sieci jest skojarzona z podsiecią.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Grupy zabezpieczeń aplikacji mają następujące ograniczenia:Application security groups have the following constraints:

  • Istnieją limity liczby grup zabezpieczeń aplikacji, które możesz mieć w ramach subskrypcji, a także inne ograniczenia dotyczące grup zabezpieczeń aplikacji.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Aby uzyskać więcej informacji, zobacz Azure limits (Ograniczenia platformy Azure).For details, see Azure limits.
  • Jako źródło i obiekt docelowy reguły zabezpieczeń można określić pojedynczą grupę zabezpieczeń aplikacji.You can specify one application security group as the source and destination in a security rule. Jako źródła lub obiektu docelowego nie można określić kilku grup zabezpieczeń aplikacji.You cannot specify multiple application security groups in the source or destination.
  • Wszystkie interfejsy sieciowe przypisane do grupy zabezpieczeń aplikacji muszą istnieć w tej samej sieci wirtualnej, co pierwszy interfejs sieciowy przypisany do danej grupy zabezpieczeń aplikacji.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Na przykład jeśli pierwszy interfejs sieciowy przypisany do grupy zabezpieczeń aplikacji o nazwie AsgWeb istnieje w sieci wirtualnej o nazwie VNet1, wszystkie kolejne interfejsy sieciowe przypisane do grupy AsgWeb muszą istnieć w sieci VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Interfejsy sieciowe z różnych sieci wirtualnych nie mogą być dodawane do tej samej grupy zabezpieczeń aplikacji.You cannot add network interfaces from different virtual networks to the same application security group.
  • Jeśli określisz grupy zabezpieczeń aplikacji jako źródło i obiekt docelowy w regule zabezpieczeń, interfejsy sieciowe w obu grupach zabezpieczeń aplikacji muszą istnieć w tej samej sieci wirtualnej.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Na przykład jeśli grupa AsgLogic zawiera interfejsy sieciowe z sieci VNet1, a grupa AsgDb zawiera interfejsy sieciowe z sieci VNet2, nie można przypisać grupy AsgLogic jako źródła i grupy AsgDb jako obiektu docelowego w regule.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Wszystkie interfejsy sieciowe dla źródłowych i docelowych grup zabezpieczeń aplikacji muszą istnieć w tej samej sieci wirtualnej.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Porada

Jeśli to możliwe, aby zminimalizować liczbę niezbędnych reguł zabezpieczeń i konieczność zmiany reguł, zaplanuj potrzebne grupy zabezpieczeń aplikacji i utwórz reguły przy użyciu tagów usług lub grup zabezpieczeń aplikacji, a nie pojedynczych adresów IP lub zakresów adresów IP.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Sposób oceniania ruchuHow traffic is evaluated

W sieci wirtualnej platformy Azure można wdrożyć zasoby z kilku usług platformy Azure.You can deploy resources from several Azure services into an Azure virtual network. Aby uzyskać pełną listę, zobacz Services that can be deployed into a virtual network (Usługi, które można wdrożyć w sieci wirtualnej).For a complete list, see Services that can be deployed into a virtual network. Z każdą siecią podsiecią i interfejsem sieciowym sieci wirtualnej na maszynie wirtualnej możesz skojarzyć zero lub jedną grupę zabezpieczeń sieci.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Tę samą grupę zabezpieczeń sieci można zastosować do dowolnej liczby interfejsów sieciowych i podsieci.The same network security group can be associated to as many subnets and network interfaces as you choose.

Poniższa ilustracja przedstawia różne scenariusze dotyczące sposobu wdrażania grup zabezpieczeń sieci w celu zezwolenia na ruch sieciowy do i z Internetu przez port TCP 80:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

Sieciowe grupy zabezpieczeń — przetwarzanie

Odwołaj się do poprzedniej ilustracji i następującego tekstu, aby zrozumieć, w jaki sposób platforma Azure przetwarza reguły ruchu przychodzącego i wychodzącego dla grup zabezpieczeń sieci:Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Ruch przychodzącyInbound traffic

W przypadku ruchu przychodzącego platforma Azure przetwarza najpierw reguły w grupie zabezpieczeń sieci skojarzonej z podsiecią, jeśli taka istnieje, a następnie reguły w grupie zabezpieczeń sieci skojarzonej z interfejsem sieciowym, jeśli taka istnieje.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: przetwarzane są reguły zabezpieczeń w grupie NSG1, ponieważ jest ona skojarzona z podsiecią Subnet1, a maszyna wirtualna VM1 znajduje się w podsieci Subnet1.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. O ile nie utworzono reguły zezwalającej na port 80 dla ruchu przychodzącego, ruch jest blokowany przez domyślną regułę zabezpieczeń DenyAllInbound i nigdy nie jest oceniany przez grupę NSG2, ponieważ grupa NSG2 jest skojarzona z interfejsem sieciowym.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Jeśli grupa NSG1 zawiera regułę zabezpieczeń, która zezwala na port 80, ruch jest następnie przetwarzany przez grupę NSG2.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Aby zezwolić na ruch przychodzący na porcie 80 do maszyny wirtualnej, obie grupy NSG1 i NSG2 muszą zawierać regułę zezwalającą ruch przychodzący na porcie 80 z Internetu.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: przetwarzane są reguły w grupie NSG1, ponieważ maszyna wirtualna VM2 znajduje się również w podsieci Subnet1.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Ponieważ maszyna wirtualna VM2 nie ma grupy zabezpieczeń sieci skojarzonej z jej interfejsem sieciowym, odbiera cały ruch dozwolony przez grupę NSG1 lub nie odbiera całego ruchu blokowanego przez grupę NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Ruch jest dozwolony albo blokowany dla wszystkich zasobów w tej samej podsieci, gdy grupa zabezpieczeń sieci jest skojarzona z podsiecią.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: ponieważ ma żadnej sieciowej grupy zabezpieczeń skojarzonej z podsiecią Subnet2, ruch jest dozwolony do tej podsieci i przetwarzany przez grupę NSG2, ponieważ grupa NSG2 jest skojarzona z interfejsem sieciowym dołączonym do maszyny wirtualnej VM3.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: ruch jest dozwolony do maszyny wirtualnej VM4, ponieważ grupa zabezpieczeń sieci nie jest skojarzona z podsiecią Subnet3 ani interfejsem sieciowym w tej maszynie wirtualnej.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Cały ruch sieciowy przez podsieć i interfejs sieciowy jest dozwolony, jeśli nie mają one skojarzonej żadnej sieciowej grupy zabezpieczeń.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Ruch wychodzącyOutbound traffic

W przypadku ruchu wychodzącego platforma Azure przetwarza najpierw reguły w grupie zabezpieczeń sieci skojarzonej z interfejsem sieciowym, jeśli taka istnieje, a następnie reguły w grupie zabezpieczeń sieci skojarzonej z podsiecią, jeśli taka istnieje.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • Maszyna VM1: przetwarzane są reguły zabezpieczeń w grupie NSG2.VM1: The security rules in NSG2 are processed. O ile nie utworzono reguły zabezpieczeń, która blokuje ruch wychodzący do Internetu na porcie 80, ruch jest dozwolony przez domyślną regułą zabezpieczeń AllowInternetOutbound w obu grupach NSG1 i NSG2.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Jeśli grupa NSG2 zawiera regułę zabezpieczeń, która nie zezwala na port 80, ruch jest blokowany i nigdy nie jest oceniany przez grupę NSG1.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Aby zablokować port 80 na maszynie wirtualnej, jedna lub obie grupy zabezpieczeń sieci muszą zawierać regułę, która blokuje ruch do Internetu na porcie 80.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • Maszyna VM2: cały ruch jest wysyłany przez interfejs sieciowy do podsieci, ponieważ interfejs sieciowy dołączony do maszyny wirtualnej VM2 nie ma skojarzonej grupy zabezpieczeń sieci.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Reguły w grupie NSG1 są przetwarzane.The rules in NSG1 are processed.
  • VM3: jeśli grupa NSG2 zawiera regułę zabezpieczeń, która blokuje port 80, ruch jest blokowany.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Jeśli grupa NSG2 zawiera regułę zabezpieczeń, która zezwala na użycie portu 80, ruch wychodzący do Internetu przez port 80 jest dozwolony, ponieważ grupa zabezpieczeń sieci nie jest skojarzona z podsiecią Subnet2.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: cały ruch sieciowy z maszyny wirtualnej VM4 jest dozwolony, ponieważ żadna grupa zabezpieczeń sieci nie jest skojarzona z interfejsem sieciowym dołączonym do maszyny wirtualnej ani z podsiecią Subnet3.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Ruch wewnątrz podsieciIntra-Subnet traffic

Należy pamiętać, że reguły zabezpieczeń w sieciowej grupy zabezpieczeń skojarzonej z podsiecią mogą mieć wpływ na łączność między MASZYNami wirtualnymi.It's important to note that security rules in an NSG associated to a subnet can affect connectivity between VM's within it. Na przykład, jeśli reguła zostanie dodana do NSG1 , która odmówi cały ruch przychodzący i wychodzący, VM1 i VM2 nie będą już mogły komunikować się ze sobą.For example, if a rule is added to NSG1 which denies all inbound and outbound traffic, VM1 and VM2 will no longer be able to communicate with each other. Aby to umożliwić, należy dodać inną regułę.Another rule would have to be added specifically to allow this.

Reguły agregowane stosowane do interfejsu sieciowego można łatwo wyświetlić, wyświetlając obowiązujące reguły zabezpieczeń dla interfejsu sieciowego.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Możesz również skorzystać z możliwości weryfikowania przepływu protokołu IP w celu ustalenia, czy komunikacja z lub do interfejsu sieciowego jest dozwolona.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. Weryfikowanie przepływu adresów IP informuje, czy komunikacja jest dozwolona lub zablokowana, oraz która reguła zabezpieczeń sieci zezwala lub nie zezwala na ruch.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Uwaga

Sieciowe grupy zabezpieczeń są skojarzone z podsieciami lub do maszyn wirtualnych i usług w chmurze wdrożonych w klasycznym modelu wdrażania, a także do podsieci lub interfejsów sieciowych w Menedżer zasobów model wdrażania.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Aby dowiedzieć się więcej na temat modeli wdrażania platformy Azure, zapoznaj się z artykułem Understand Azure deployment models (Informacje na temat modeli wdrażania platformy Azure).To learn more about Azure deployment models, see Understand Azure deployment models.

Porada

Zaleca się skojarzenie grupy zabezpieczeń sieci z podsiecią lub interfejsem sieciowym, ale nie obydwoma tymi elementami naraz, o ile nie ma po temu konkretnego powodu.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Ponieważ reguły w grupie zabezpieczeń sieci skojarzonej z podsiecią mogą powodować konflikt z regułami w grupie zabezpieczeń sieci skojarzonej z interfejsem sieciowym, możesz napotkać nieoczekiwane problemy z komunikacją, co będzie wymagać rozwiązywania problemów.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Zagadnienia dotyczące platformy AzureAzure platform considerations

  • Wirtualny adres IP węzła hosta: podstawowe usługi infrastruktury, takie jak DHCP, DNS, IMDS i monitorowania kondycji, są udostępniane za pomocą zwirtualizowanych adresów IP hosta 168.63.129.16 i 169.254.169.254.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Te adresy IP należą do firmy Microsoft i są jedynymi zwirtualizowanymi adresami IP używanymi do tego celu we wszystkich regionach.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Licencjonowanie (usługa zarządzania kluczami): obrazy systemu Windows uruchomione na maszynach wirtualnych muszą być licencjonowane.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. W celu zapewnienia licencjonowania do serwerów hosta usługi zarządzania kluczami zostaje wysłane żądanie licencjonowania, które takie żądania obsługują.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. Żądanie jest wysyłane za pomocą portu 1688.The request is made outbound through port 1688. W przypadku wdrożeń korzystających z konfiguracji default route 0.0.0.0/0 ta reguła platformy zostanie wyłączona.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Maszyny wirtualne w pulach ze zrównoważonym obciążeniem: port źródłowy i zakres adresów stosowane są z komputera źródłowego, nie modułu równoważenia obciążenia.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. Port docelowy i zakres adresów dotyczą komputera docelowego, a nie modułu równoważenia obciążenia.The destination port and address range are for the destination computer, not the load balancer.

  • Wystąpienia usług platformy Azure: wystąpienia kilku usług platformy Azure, takich jak usługa HDInsight, środowiska usług aplikacji i zestawy skalowania maszyn wirtualnych, są wdrażane w podsieciach sieci wirtualnej.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Aby uzyskać pełną listę usług, które można wdrażać w sieciach wirtualnych, zobacz Virtual network for Azure services (Sieć wirtualna dla usług platformy Azure).For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Upewnij się, że należy zapoznać się z wymaganiami dotyczącymi portów dla każdej usługi przed zastosowaniem grupy zabezpieczeń sieci do podsieci, w której zasób został wdrożony.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Jeśli porty wymagane przez usługę zostaną zablokowane, usługa nie będzie działać prawidłowo.If you deny ports required by the service, the service doesn't function properly.

  • Wysyłanie wychodzących wiadomości e-mail: firma Microsoft zaleca używanie usług uwierzytelnionego przekazywania SMTP (zwykle połączonych za pośrednictwem portu 587 protokołu TCP, ale często również innych portów) do wysyłania wiadomości e-mail z usługi Azure Virtual Machines.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Usługi przekazywania SMTP specjalizują się w obsłudze reputacji nadawcy, aby ograniczyć możliwość odrzucenia wiadomości e-mail przez zewnętrznych dostawców poczty e-mail.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Takie usługi przekazywania SMTP obejmują między innymi usługi Exchange Online Protection i SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Korzystanie z usług przekazywania SMTP nie jest w żaden sposób ograniczone na platformie Azure, niezależnie od typu subskrypcji.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Jeśli subskrypcja platformy Azure została utworzona przed 15 listopada 2017 r., oprócz używania usług przekazywania SMTP można wysłać wiadomości e-mail bezpośrednio za pośrednictwem portu 25 protokołu TCP.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Jeśli subskrypcja została utworzona po 15 listopada 2017 r., wysyłanie wiadomości e-mail bezpośrednio przez port 25 może okazać się niemożliwe.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Zachowanie komunikacji wychodzącej za pośrednictwem portu 25 zależy od typu Twojej subskrypcji w następujący sposób:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Umowa Enterprise Agreement: komunikacja wychodząca przez port 25 jest dozwolona.Enterprise Agreement: Outbound port 25 communication is allowed. Wychodzące wiadomości e-mail można wysyłać bezpośrednio z maszyn wirtualnych do zewnętrznych dostawców poczty e-mail bez żadnych ograniczeń powiązanych z platformą Azure.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Płatność zgodnie z rzeczywistym użyciem: komunikacja wychodząca przez port 25 jest zablokowana dla wszystkich zasobów.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Jeśli musisz wysyłać wiadomości e-mail z maszyny wirtualnej bezpośrednio do zewnętrznych dostawców poczty e-mail (bez użycia uwierzytelnionego przekazywania SMTP), możesz zgłosić wniosek o usunięcie ograniczenia.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Wnioski są przeglądane i zatwierdzane według uznania firmy Microsoft, a odpowiednie prawa są przyznawane dopiero po pomyślnym zakończeniu kontroli mającej na celu zapobieganie oszustwom.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Aby przesłać wniosek, otwórz zgłoszenie do pomocy technicznej z typem problemu Techniczny, Łączność sieciowa, Nie można wysłać wiadomości e-mail (SMTP/port 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). W tym zgłoszeniu do pomocy technicznej szczegółowo opisz, dlaczego w ramach subskrypcji musisz wysyłać wiadomości e-mail bezpośrednio do dostawców poczty, zamiast korzystać z uwierzytelnionego przekazywania protokołu SMTP.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Jeśli subskrypcja zostanie uznana za wyjątek, tylko maszyny wirtualne utworzone po dacie uznania będą mogły obsługiwać komunikację wychodzącą przez port 25.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure — dostęp próbny, Azure w ramach programu licencjonowania Open, Education, BizSpark i bezpłatna wersja próbna: komunikacja wychodząca przez port 25 jest zablokowana dla wszystkich zasobów.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Nie można wysyłać żadnych wniosków o usunięcie ograniczenia, ponieważ takie prawa nie są przyznawane.No requests to remove the restriction can be made, because requests are not granted. Aby wysyłać wiadomości e-mail z maszyny wirtualnej, musisz skorzystać z usługi przekazywania SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Dostawca usług w chmurze: klienci korzystający z zasobów platformy Azure za pośrednictwem dostawcy usług w chmurze mogą utworzyć zgłoszenie do pomocy technicznej za pomocą swojego dostawcy usług w chmurze i zażądać, aby dostawca utworzył przypadek odblokowania w ich imieniu, jeśli nie można użyć bezpiecznego przekazywania protokołu SMTP.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Jeśli platforma Azure zezwoli Ci na wysyłanie wiadomości e-mail za pośrednictwem portu 25, firma Microsoft nie gwarantuje, że dostawcy poczty e-mail będą akceptować przychodzące wiadomości e-mail z maszyny wirtualnej.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Jeśli określony dostawca odrzuca pocztę z maszyny wirtualnej, musisz w bezpośredniej współpracy z dostawcą rozwiązać wszelkie problemy z dostarczaniem wiadomości lub filtrowaniem spamu albo użyć usługi uwierzytelnionego przekazywania SMTP.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Następne krokiNext steps