Grupos de segurança de redeNetwork security groups

Pode utilizar um grupo de segurança da rede Azure para filtrar o tráfego da rede de e para os recursos Azure numa rede virtual Azure.You can use an Azure network security group to filter network traffic to and from Azure resources in an Azure virtual network. Os grupos de segurança de rede contêm regras de segurança que permitem ou negam o tráfego de entrada ou de saída de e para vários tipos de recursos do Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Para cada regra, pode especificar a origem e o destino, a porta e o protocolo.For each rule, you can specify source and destination, port, and protocol.

Este artigo descreve propriedades de uma regra de grupo de segurança de rede, as regras de segurança padrão que são aplicadas, e as propriedades de regra que você pode modificar para criar uma regra de segurança aumentada.This article describes properties of a network security group rule, the default security rules that are applied, and the rule properties that you can modify to create an augmented security rule.

Regras de segurançaSecurity rules

Os grupos de segurança de rede contêm zero ou tantas regras conforme pretender, dentro dos limites das subscrições do Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Cada regra especifica as propriedades seguintes:Each rule specifies the following properties:

PropriedadeProperty ExplicaçãoExplanation
NomeName Um nome exclusivo no grupo de segurança de rede.A unique name within the network security group.
PrioridadePriority Um número entre 100 e 4096.A number between 100 and 4096. As regras são processadas por ordem de prioridade, sendo os números mais baixos processados antes dos mais elevados, uma vez que têm uma prioridade superior.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Quando o tráfego corresponder a uma regra, o processamento para.Once traffic matches a rule, processing stops. Como resultado, qualquer regra que exista com prioridades inferiores (números mais elevados) e que tenham os mesmos atributos das regras com prioridades superiores não é processada.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Origem ou destinoSource or destination Qualquer endereço IP ou um endereço IP individual, um bloco CIDR (Classless Inter-domain Routing) (por exemplo, 10.0.0.0/24), uma etiqueta de serviço ou um grupo de segurança de aplicação.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Se especificar um endereço para um recurso do Azure, indique o endereço IP privado atribuído ao mesmo.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Os grupos de segurança de rede são processados depois de o Azure traduzir um endereço IP público num privado para tráfego de entrada e antes de traduzir um endereço IP privado num público para tráfego de saída.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. .. Especificar um intervalo, uma etiqueta de serviço ou um grupo de segurança de aplicações permite-lhe criar menos regras de segurança.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. A capacidade de especificar vários endereços IP individuais e intervalos de endereços IP (não pode indicar etiquetas de serviço ou grupos de aplicações) numa regra é denominada regras de segurança aumentadas.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede gerados através do modelo de implementação do Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Não pode especificar vários endereços IP nem intervalos de endereços IP em grupos de segurança de rede criados com o modelo de implementação clássica.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model.
ProtocoloProtocol TCP, UDP, ICMP, ESP, AH, ou Qualquer outro.TCP, UDP, ICMP, ESP, AH, or Any.
DireçãoDirection Indica se a regra se aplica a tráfego de entrada ou de saída.Whether the rule applies to inbound, or outbound traffic.
Intervalo de portasPort range Pode especificar uma porta individual ou um intervalo de portas.You can specify an individual or range of ports. Por exemplo, pode indicar 80 ou 10000-10005.For example, you could specify 80 or 10000-10005. Especificar intervalos permite-lhe criar menos regras de segurança.Specifying ranges enables you to create fewer security rules. As regras de segurança aumentadas só podem ser criadas em grupos de segurança de rede gerados através do modelo de implementação do Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Não pode especificar várias portas nem intervalos de portas na mesma regra de segurança em grupos de segurança de rede criados com o modelo de implementação clássica.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
AçãoAction Permitir ou negarAllow or deny

As regras de segurança dos grupos de segurança de rede são avaliadas por prioridade, utilizando as informações de cinco cadeias de identificação (origem, porta de origem, destino, porta de destino e protocolo) para permitir ou negar o tráfego.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Não pode criar duas regras de segurança com a mesma prioridade e direção.You may not create two security rules with the same priority and direction. É criado um registo de fluxo para as ligações existentes.A flow record is created for existing connections. A comunicação é permitida ou negada com base no estado da ligação do registo do fluxo.Communication is allowed or denied based on the connection state of the flow record. O registo do fluxo permite que um grupo de segurança de rede tenha monitoração de estado.The flow record allows a network security group to be stateful. Se especificar uma regra de segurança de saída para qualquer endereço através da porta 80, por exemplo, não é necessário especificar uma regra de segurança de entrada para a resposta ao tráfego de saída.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Só tem de especificar uma regra de segurança de entrada se a comunicação for iniciada externamente.You only need to specify an inbound security rule if communication is initiated externally. O oposto também se aplica.The opposite is also true. Se o tráfego de entrada for permitido numa porta, não é necessário especificar uma regra de segurança de saída para responder ao tráfego através da porta.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port.

As ligações existentes não podem ser interrompidas quando remover uma regra de segurança que ativou o fluxo.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Os fluxos de tráfego são interrompidos quando as ligações são paradas e não há qualquer tráfego a fluir em qualquer direção, pelo menos, durante alguns minutos.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Há limites ao número de regras de segurança que pode criar num grupo de segurança de rede.There are limits to the number of security rules you can create in a network security group. Para obter mais detalhes, veja Limites do Azure.For details, see Azure limits.

Regras de segurança predefinidosDefault security rules

O Azure cria as seguintes regras predefinidas em cada grupo de segurança de rede que criar:Azure creates the following default rules in each network security group that you create:

EntradaInbound

AllowVNetInBoundAllowVNetInBound
PrioridadePriority OrigemSource Portas de origemSource ports DestinoDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QualquerAny PermitirAllow
AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound
PrioridadePriority OrigemSource Portas de origemSource ports DestinoDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QualquerAny PermitirAllow
DenyAllInboundDenyAllInbound
PrioridadePriority OrigemSource Portas de origemSource ports DestinoDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QualquerAny NegarDeny

SaídaOutbound

AllowVnetOutBoundAllowVnetOutBound
PrioridadePriority OrigemSource Portas de origemSource ports DestinoDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QualquerAny PermitirAllow
AllowInternetOutBoundAllowInternetOutBound
PrioridadePriority OrigemSource Portas de origemSource ports DestinoDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 QualquerAny PermitirAllow
DenyAllOutBoundDenyAllOutBound
PrioridadePriority OrigemSource Portas de origemSource ports DestinoDestination Portas de destinoDestination ports ProtocoloProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QualquerAny NegarDeny

Nas colunas Source (Origem) e Destination (Destino), VirtualNetwork, AzureLoadBalancer e Internet são etiquetas de serviço e não endereços IP.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. Na coluna do protocolo, qualquer abarca TCP, UDP e ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Ao criar uma regra, pode especificar TCP, UDP, ICMP ou Qualquer.When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 nas colunas Source e Destination representa todos os endereços.0.0.0.0/0 in the Source and Destination columns represents all addresses. Clientes como o portal Azure, Azure CLI ou PowerShell podem usar * ou qualquer um para esta expressão.Clients like Azure portal, Azure CLI, or PowerShell can use * or any for this expression.

Não pode remover as regras predefinidas, mas pode criar regras com prioridades superiores para substituí-las.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Regras de segurança aumentadasAugmented security rules

As regras de segurança aumentadas simplificam a definição de segurança das redes virtuais, permitindo-lhe definir políticas de segurança de rede maiores e mais complexas com menos regras.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Pode combinar várias portas e vários endereços IP explícitos e intervalos numa regra de segurança individual e facilmente compreendida.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Utilize as regras aumentadas nos campos de origem, destino e porta das regras.Use augmented rules in the source, destination, and port fields of a rule. Para simplificar a manutenção da definição de segurança de rede, combine regras de segurança aumentadas com etiquetas de serviço ou grupos de segurança de aplicações.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Existem limites para o número de endereços, intervalos e portas que pode especificar numa regra.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Para obter mais detalhes, veja Limites do Azure.For details, see Azure limits.

Etiquetas de serviçoService tags

Uma etiqueta de serviço representa um grupo de prefixos de endereço IP de um determinado serviço Azure.A service tag represents a group of IP address prefixes from a given Azure service. Ajuda a minimizar a complexidade de atualizações frequentes sobre as regras de segurança da rede.It helps to minimize the complexity of frequent updates on network security rules.

Para mais informações, consulte as etiquetas de serviço da Azure.For more information, see Azure service tags. Para um exemplo sobre como utilizar a etiqueta de serviço de Armazenamento para restringir o acesso à rede, consulte restringir o acesso da rede aos recursos paaS.For an example on how to use the Storage service tag to restrict network access, see Restrict network access to PaaS resources.

Grupos de segurança de aplicaçõesApplication security groups

Os grupos de segurança de aplicações permitem-lhe configurar a segurança de rede como uma extensão natural da estrutura de uma aplicação, possibilitando o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Pode reutilizar a política de segurança em escala sem a manutenção manual de endereços IP explícitos.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Para saber mais, consulte os grupos de segurança da Aplicação.To learn more, see Application security groups.

Considerações sobre a plataforma do AzureAzure platform considerations

  • IP virtual do nó de anfitrião: Serviços básicos de infraestrutura como DHCP, DNS, IMDS e monitorização de saúde são fornecidos através dos endereços IP de hospedeiro virtualizado 168.63.129.16 e 169.254.169.254.Virtual IP of the host node: Basic infrastructure services like DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Estes endereços IP pertencem à Microsoft e são os únicos endereços IP virtualizados utilizados em todas as regiões para este fim.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. Regras de segurança eficazes e rotas eficazes não incluirão estas regras da plataforma.Effective security rules and effective routes will not include these platform rules. Para anular esta comunicação básica de infraestrutura, pode criar uma regra de segurança para negar o tráfego utilizando as seguintes etiquetas de serviço nas regras do Grupo de Segurança da Rede: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM.To override this basic infrastructure communication, you can create a security rule to deny traffic by using the following service tags on your Network Security Group rules: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Saiba como diagnosticar a filtragem do tráfego da rede e diagnosticar o encaminhamento da rede.Learn how to diagnose network traffic filtering and diagnose network routing.

  • Licenciamento (Serviço de Gestão de Chaves): as imagens do Windows em execução nas máquinas virtuais têm de ser licenciadas.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Para garantir o licenciamento, é enviado um pedido para os servidores de anfitrião do Key Management Service que processam estas consultas.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. O pedido é feito através da porta 1688 de saída.The request is made outbound through port 1688. Para implementações que utilizam a configuração de rota predefinida 0.0.0.0/0, esta regra de plataforma será desativada.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Máquinas virtuais em conjuntos com balanceamento de carga: a porta de destino e o intervalo de endereços aplicados são provenientes do computador de origem, não do balanceador de carga.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. A porta de destino e o intervalo de endereços destinam-se ao computador de destino, não ao balanceador de carga.The destination port and address range are for the destination computer, not the load balancer.

  • Instâncias de serviço do Azure: as instâncias de vários serviços do Azure, como o HDInsight, os Ambientes de Serviço de Aplicações e os Conjuntos de Dimensionamento de Máquinas Virtuais, são implementados em sub-redes da rede virtual.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Para obter uma lista completa dos serviços que pode implementar em redes virtuais, veja Rede virtual para os serviços do Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Certifique-se de que se familiariza com os requisitos de portas de cada serviço antes de aplicar um grupo de segurança de rede à sub-rede na qual o recurso está implementado.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Se negar portas de que os serviços precisam, estes não funcionarão corretamente.If you deny ports required by the service, the service doesn't function properly.

  • Envio de e-mail de saída: A Microsoft recomenda que utilize serviços de retransmissão SMTP autenticados (normalmente ligados através da porta TCP 587, mas muitas vezes outros, bem como) para enviar e-mails de Máquinas Virtuais Azure.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Os serviços de reencaminhamento de SMTP especializam-se na reputação do remetente, para minimizar a possibilidade de os fornecedores de e-mail de terceiros rejeitarem mensagens.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Esses serviços de reencaminhamento de SMTP incluem, sem estarem limitados, o Exchange Online Protection e o SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. A utilização dos serviços de reencaminhamento de SMTP não está de forma alguma restringida no Azure, independentemente do seu tipo de subscrição.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Se tiver criado a sua subscrição do Azure antes de 15 de novembro de 2017, para além de poder utilizar os serviços de reencaminhamento de SMTP, também pode enviar e-mails diretamente através da porta TCP 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Se tiver criado a sua subscrição após 15 de novembro de 2017, poderá não conseguir enviar e-mails diretamente através da porta 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. O comportamento da comunicação de saída através da porta 25 depende do seu tipo de subscrição, da seguinte forma:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Contrato Enterprise: a comunicação de saída através da porta 25 é permitida.Enterprise Agreement: Outbound port 25 communication is allowed. É possível enviar um e-mail de saída diretamente de máquinas virtuais para fornecedores de e-mail externos, sem restrições da plataforma Azure.You are able to send an outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Pay as you go: a comunicação de saída através da porta 25 está bloqueada a partir de todos os recursos.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Se tiver de enviar e-mails a partir de uma máquina virtual diretamente para fornecedores de e-mail externos (sem utilizar um reencaminhamento de SMTP autenticado), pode fazer um pedido para remover a restrição.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Os pedidos são analisados e aprovados à discrição da Microsoft, apenas sendo concedidos após as verificações contra fraudes.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Para fazer um pedido, abra um processo de suporte com o tipo de problema Técnico, Conectividade da Rede Virtual, Não é possível enviar e-mails (SMTP/Porta 25).To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). No processo de suporte, inclua detalhes sobre o motivo pelo qual a subscrição tem de enviar e-mails diretamente para fornecedores de e-mail, em vez de utilizar um reencaminhamento de SMTP autenticado.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Se a sua subscrição for isenta, apenas as máquinas virtuais criadas após a data de isenção conseguem realizar comunicações de saída através da porta 25.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure no Open, Education, BizSpark e Avaliação gratuita: a comunicação de saída através da porta 25 está bloqueada a partir de todos os recursos.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Não pode fazer pedidos para remover a restrição, porque os pedidos não são concedidos.No requests to remove the restriction can be made, because requests are not granted. Se tiver de enviar e-mails a partir da sua máquina virtual, tem de utilizar um serviço de reencaminhamento de SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Fornecedor de serviços cloud: Os clientes que consomem recursos do Azure através de um fornecedor de serviços cloud podem criar um pedido de suporte no respetivo fornecedor de serviços cloud e pedir que o fornecedor crie um pedido de desbloqueio em seu nome, se não for possível utilizar uma transmissão SMTP segura.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Se o Azure lhe permitir enviar e-mails através da porta 25, a Microsoft não pode garantir que os fornecedores de e-mail aceitarão e-mails enviados a partir da sua máquina virtual.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Se um fornecedor específico rejeitar e-mails da sua máquina virtual, trabalhe diretamente com o fornecedor para resolver quaisquer problemas relacionados com a entrega de mensagens ou com a filtragem de spam, ou tem de utilizar um serviço de reencaminhamento de SMTP autenticado.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Passos seguintesNext steps