Группы безопасностиSecurity groups

Отфильтровать трафик, поступающий из ресурсов Azure и обратно, в виртуальной сети можно с помощью группы безопасности сети.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. В этой группе содержатся правила безопасности, которые разрешают или запрещают исходящий и входящий трафик нескольких типов ресурсов Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Дополнительные сведения о том, какие ресурсы Azure можно развернуть в виртуальной сети и какие группы безопасности сети можно связать с ними, см. в статье Интеграция виртуальной сети для служб Azure.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Для каждого правила можно указать источник и назначение, порт и протокол.For each rule, you can specify source and destination, port, and protocol.

В этой статье объясняются основные понятия групп безопасности сети, что позволит использовать их эффективно.This article explains network security group concepts, to help you use them effectively. Если вы еще не создавали группу безопасности сети, вы можете пройти краткое руководство, чтобы получить такой опыт создания.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Если вы ознакомлены с группами безопасности сети и вам нужно управлять ими, см. сведения в статье Создание, изменение и удаление группы безопасности сети.If you're familiar with network security groups and need to manage them, see Manage a network security group. Если возникают проблемы с обменом данными и вам необходимо устранить неполадки с группами безопасности сети, см. сведения в статье Диагностика проблемы с фильтрацией трафика на виртуальной машине.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Для анализа трафика, поступающего из ресурсов со связанной группой безопасности сети и обратно, можно включить журналы потоков группы безопасности сети.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

Правила безопасностиSecurity rules

Группа безопасности сети может не содержать правила или содержать любое их число в пределах ограничений подписки Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. В каждом правиле указываются следующие свойства:Each rule specifies the following properties:

СвойствоProperty ОбъяснениеExplanation
ИмяName Уникальное имя в пределах группы безопасности сети.A unique name within the network security group.
PriorityPriority Значение в диапазоне от 100 до 4096.A number between 100 and 4096. Правила обрабатываются в порядке приоритета. Числа обрабатываются по возрастанию, так как меньшие числа имеют более высокий приоритет.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Если показатель трафика соответствует установленному в правиле, обработка останавливается.Once traffic matches a rule, processing stops. В результате все правила с более низким приоритетом (большие числа) и тем же атрибутом,что и правила с высоким приоритетом, не обрабатываются.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Источник или назначениеSource or destination Значение "Любой" или отдельный IP-адрес, блок бесклассовой междоменной маршрутизации (CIDR) (например, 10.0.0.0/24), тег службы или группа безопасности приложений.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. При указании адреса ресурса Azure необходимо указать частный IP-адрес, назначенный ресурсу.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Группы безопасности сети обрабатываются после того, как Azure преобразует общедоступный IP-адрес в частный для входящего трафика, и до того, как Azure преобразует частный IP-адрес в общедоступный для исходящего трафика.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Узнайте больше об IP-адресах.Learn more about Azure IP addresses. Если выбрать диапазон, тег службы или группу безопасности приложений, можно создавать меньше правил безопасности.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. Возможность указать несколько отдельных IP-адресов и диапазонов (нельзя указать несколько тегов служб или групп приложений) в правиле относится к расширенным правилам безопасности.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Нельзя одновременно задать несколько IP-адресов и их диапазонов в группах безопасности сети, созданных с помощью классической модели развертывания.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Узнайте больше о моделях развертывания Azure.Learn more about Azure deployment models.
ПротоколProtocol TCP, UDP, ICMP или любой.TCP, UDP, ICMP or Any.
DirectionDirection Определяет тип трафика (входящий или исходящий), к которому применяется правило.Whether the rule applies to inbound, or outbound traffic.
Диапазон портовPort range Можно задать отдельный порт или их диапазон.You can specify an individual or range of ports. Например, вы можете указать 80 или 10000–10005.For example, you could specify 80 or 10000-10005. Если указать диапазон, можно создавать меньше правил безопасности.Specifying ranges enables you to create fewer security rules. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Нельзя задать несколько портов или их диапазонов в одном и том же правиле безопасности в группах безопасности сети, созданных с помощью классической модели развертывания.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
ActionAction Разрешить или запретить доступAllow or deny

Правила безопасности групп безопасности сети оцениваются по приоритету и на основе кортежей из 5 элементов (источник, порт источника, назначение, порт назначения и протокол), чтобы разрешить или запретить трафик.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Запись потока создается для имеющихся подключений.A flow record is created for existing connections. Обмен данными разрешен или запрещен в зависимости от состояния подключения записи потока.Communication is allowed or denied based on the connection state of the flow record. С помощью записи потока можно отслеживать состояние группы безопасности сети.The flow record allows a network security group to be stateful. Если вы задаете правило безопасности для исходящего трафика по любому адресу, например, через порт 80, устанавливать правило безопасности входящего трафика для ответа на исходящий трафик не обязательно.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Если связь инициируется извне, достаточно задать правило безопасности для входящего трафика.You only need to specify an inbound security rule if communication is initiated externally. Обратное также верно.The opposite is also true. Если через порт разрешено поступление входящего трафика, задавать правило безопасности исходящего трафика для ответа на трафик через порт не требуется.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. Имеющиеся подключения могут не прерываться, когда вы удаляете правило безопасности, разрешавшее этот поток.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Поток трафика прерывается, когда подключения разрываются, то есть в течение нескольких минут трафик не передается в любом направлении.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Количество правил безопасности, которые можно создать в группе безопасности сети, ограничено.There are limits to the number of security rules you can create in a network security group. Дополнительные сведения см. в разделе Ограничения сети.For details, see Azure limits.

Расширенные правила безопасностиAugmented security rules

Расширенные правила безопасности упрощают определение безопасности для виртуальных сетей, позволяя определять масштабные и комплексные политики безопасности сети с меньшим числом правил.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Несколько портов, несколько явных IP-адресов и диапазонов можно объединить в одном простом правиле безопасности.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Используйте расширенные правила в полях источника, назначения и порта для правила.Use augmented rules in the source, destination, and port fields of a rule. Чтобы упростить поддержку для определения правила безопасности, объедините расширенные правила безопасности с тегами служб или группами безопасности приложений.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Количество адресов, диапазонов и портов, которые можно указать в правиле, ограничено.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Дополнительные сведения см. в разделе Ограничения сети.For details, see Azure limits.

Теги службService tags

Тег службы представляет группу префиксов IP-адресов, чтобы упростить создание правила безопасности.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Нельзя создать собственный тег службы или задать IP-адреса, которые будут входить в тег.You cannot create your own service tag, nor specify which IP addresses are included within a tag. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности.You can use service tags in place of specific IP addresses when creating security rules.

Следующие теги служб доступны для использования в правилах групп безопасности сети.The following service tags are available for use in network security groups rules. Теги службы со звездочкой в конце (т. е. AzureCloud *) также можно использовать в правилах сети брандмауэра Azure.Service tags with asterisk at the end (i.e. AzureCloud*) can also be used in Azure Firewall network rules.

  • VirtualNetwork (для развертываний Resource Manager) или VIRTUAL_NETWORK (для классических развертываний). Этот тег включает адресное пространство виртуальной сети (все диапазоны CIDR, определенные для виртуальной сети), все подключенные локальные адресные пространства, одноранговые виртуальные сети или виртуальную сеть, подключенные к шлюзу и адресу виртуальной сети . префиксы, используемые в определяемых пользователем маршрутах.VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (all CIDR ranges defined for the virtual network), all connected on-premises address spaces, peered virtual networks or virtual network connected to a virtual network gateway and address prefixes used on user defined routes. Имейте в виду, что этот тег может содержать маршрут по умолчанию.Be aware that this tag may contain default route.
  • AzureLoadBalancer (для развертываний Resource Manager) или AZURE_LOADBALANCER (для классических развертываний). Это тег по умолчанию, обозначающий подсистему балансировки нагрузки для инфраструктуры Azure.AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure's infrastructure load balancer. Этот тег преобразуется в виртуальный IP-адрес узла (168.63.129.16), из которого поступают пробы работоспособности Azure.The tag translates to the Virtual IP address of the host (168.63.129.16) where Azure's health probes originate. Если подсистема балансировки нагрузки Azure не используется, это правило можно переопределить.If you are not using the Azure load balancer, you can override this rule.
  • Internet (для развертываний Resource Manager) или INTERNET (для классических развертываний). Это тег, обозначающий пространство IP-адресов, которые находятся за пределами виртуальной сети и к которым можно получить доступ из общедоступного сегмента Интернета.Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by the public Internet. К этим адресам относится общедоступное пространство IP-адресов, принадлежащее Azure.The address range includes the Azure owned public IP address space.
  • AzureCloud* (только диспетчер ресурсов): Этот тег определяет пространство IP-адресов для Azure, включая все общедоступные IP-адреса центра обработки данных.AzureCloud* (Resource Manager only): This tag denotes the IP address space for Azure including all datacenter public IP addresses. Значение AzureCloud отвечает за разрешение или запрет трафика к общедоступным IP-адресам Azure.If you specify AzureCloud for the value, traffic is allowed or denied to Azure public IP addresses. Если вы хотите разрешить доступ только к AzureCloud в определенном регионе, можно указать регион в следующем формате AzureCloud. [имя региона].If you only want to allow access to AzureCloud in a specific region, you can specify the region in the following format AzureCloud.[region name]. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • AzureTrafficManager* (только диспетчер ресурсов): Этот тег определяет диапазон IP-адресов для IP-адресов пробы диспетчера трафика Azure.AzureTrafficManager* (Resource Manager only): This tag denotes the IP address space for the Azure Traffic Manager probe IP addresses. Дополнительные сведения об IP-адресах пробы диспетчера трафика см. в статье Диспетчер трафика Azure: вопросы и ответы.More information on Traffic Manager probe IP addresses can be found in the Azure Traffic Manager FAQ. Этот тег рекомендуется для правила безопасности входящего трафика.This tag is recommended for inbound security rule.
  • Хранилище* (только диспетчер ресурсов): Этот тег определяет пространство IP-адресов для службы хранилища Azure.Storage* (Resource Manager only): This tag denotes the IP address space for the Azure Storage service. Если указать значение Storage, трафик будет разрешен или запрещен в хранилище.If you specify Storage for the value, traffic is allowed or denied to storage. Если вы хотите разрешить доступ только к хранилищу в определенном регионе, вы можете указать регион в следующем формате хранилища. [имя региона].If you only want to allow access to storage in a specific region, you can specify the region in the following format Storage.[region name]. Тег представляет службу, но не определенные экземпляры службы.The tag represents the service, but not specific instances of the service. Например, тег представляет службу хранилища Azure, но не определенную учетную запись хранения Azure.For example, the tag represents the Azure Storage service, but not a specific Azure Storage account. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • SQL* (только диспетчер ресурсов): Этот тег указывает префиксы адресов базы данных SQL Azure, базы данных Azure для MySQL, базы данных Azure для PostgreSQL и служб хранилища данных SQL Azure.Sql* (Resource Manager only): This tag denotes the address prefixes of the Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, and Azure SQL Data Warehouse services. Значение Sql отвечает за разрешение или запрет трафика в SQL.If you specify Sql for the value, traffic is allowed or denied to Sql. Если вы хотите разрешить доступ только к SQL в определенном регионе, можно указать регион в следующем формате: SQL. [имя региона].If you only want to allow access to Sql in a specific region, you can specify the region in the following format Sql.[region name]. Тег представляет службу, но не определенные экземпляры службы.The tag represents the service, but not specific instances of the service. Например, тег представляет службу "База данных SQL Microsoft Azure", но не определенную базу данных или сервер SQL Azure.For example, the tag represents the Azure SQL Database service, but not a specific SQL database or server. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • Азурекосмосдб* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для службы базы данных Azure Cosmos.AzureCosmosDB* (Resource Manager only): This tag denotes the address prefixes of the Azure Cosmos Database service. Значение AzureCosmosDB отвечает за разрешение или запрет трафика к Azure Cosmos DB.If you specify AzureCosmosDB for the value, traffic is allowed or denied to AzureCosmosDB. Если вы хотите только разрешить доступ к Azure Cosmos DB в определенном регионе, укажите этот регион в формате AzureCosmosDB.[имя региона].If you only want to allow access to AzureCosmosDB in a specific region, you can specify the region in the following format AzureCosmosDB.[region name]. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • AzureKeyVault* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для службы Azure Key Vault.AzureKeyVault* (Resource Manager only): This tag denotes the address prefixes of the Azure KeyVault service. Значение AzureKeyVault отвечает за разрешение или запрет трафика к Azure Key Vault.If you specify AzureKeyVault for the value, traffic is allowed or denied to AzureKeyVault. Если вы хотите только разрешить доступ к Azure Key Vault в определенном регионе, укажите этот регион в формате AzureKeyVault.[имя региона].If you only want to allow access to AzureKeyVault in a specific region, you can specify the region in the following format AzureKeyVault.[region name]. Этот тег имеет зависимость от тега AzureActiveDirectory .This tag has dependency on the AzureActiveDirectory tag. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • EventHub* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для службы концентратора событий Azure.EventHub* (Resource Manager only): This tag denotes the address prefixes of the Azure EventHub service. Значение EventHub отвечает за разрешение или запрет трафика в концентратор событий.If you specify EventHub for the value, traffic is allowed or denied to EventHub. Если вы хотите только разрешить доступ к концентратору событий в определенном регионе, укажите этот регион в формате "EventHub.[имя региона]".If you only want to allow access to EventHub in a specific region, you can specify the region in the following format EventHub.[region name]. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • Servicebus* (только диспетчер ресурсов): Этот тег обозначает префиксы адресов службы Azure ServiceBus, используя уровень служб Premium.ServiceBus* (Resource Manager only): This tag denotes the address prefixes of the Azure ServiceBus service using the Premium service tier. Значение ServiceBus отвечает за разрешение или запрет трафика в Служебную шину.If you specify ServiceBus for the value, traffic is allowed or denied to ServiceBus. Если вы хотите разрешить доступ к Служебной шине только в определенном регионе, укажите этот регион в формате "ServiceBus.[имя региона]".If you only want to allow access to ServiceBus in a specific region, you can specify the region in the following format ServiceBus.[region name]. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • Микрософтконтаинеррегистри* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для службы "Реестр контейнеров Майкрософт".MicrosoftContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Microsoft Container Registry service. Значение MicrosoftContainerRegistry отвечает за разрешение или запрет трафика в Реестр контейнеров Майкрософт.If you specify MicrosoftContainerRegistry for the value, traffic is allowed or denied to MicrosoftContainerRegistry. Если вы хотите разрешить доступ к Реестру контейнеров Майкрософт только в определенном регионе, укажите этот регион в формате "MicrosoftContainerRegistry.[имя региона]".If you only want to allow access to MicrosoftContainerRegistry in a specific region, you can specify the region in the following format MicrosoftContainerRegistry.[region name]. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • Азуреконтаинеррегистри* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для службы "Реестр контейнеров Azure".AzureContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Azure Container Registry service. Значение AzureContainerRegistry отвечает за разрешение или запрет трафика в Реестр контейнеров Azure.If you specify AzureContainerRegistry for the value, traffic is allowed or denied to AzureContainerRegistry. Если вы хотите разрешить доступ к Реестру контейнеров Azure только в определенном регионе, укажите этот регион в формате "AzureContainerRegistry.[имя региона]".If you only want to allow access to AzureContainerRegistry in a specific region, you can specify the region in the following format AzureContainerRegistry.[region name]. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • AppService* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для Службы приложений Azure.AppService* (Resource Manager only): This tag denotes the address prefixes of the Azure AppService service. Значение AppService отвечает за разрешение или запрет трафика в Службу приложений.If you specify AppService for the value, traffic is allowed or denied to AppService. Если вы хотите разрешить доступ к Службе приложений только в определенном регионе, укажите этот регион в формате "AppService.[имя региона]".If you only want to allow access to AppService in a specific region, you can specify the region in the following format AppService.[region name]. Этот тег рекомендуется для исходящего правила безопасности для внешних интерфейсов веб-приложений.This tag is recommended for outbound security rule to WebApps frontends.
  • Аппсервицеманажемент* (только диспетчер ресурсов): Этот тег обозначает префиксы адресов трафика управления для Среда службы приложений выделенных развертываний.AppServiceManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for App Service Environment dedicated deployments. Значение AppServiceManagement отвечает за разрешение или запрет трафика в службу "Управление Службой приложений".If you specify AppServiceManagement for the value, traffic is allowed or denied to AppServiceManagement. Этот тег рекомендуется для правила безопасности входящего и исходящего трафика.This tag is recommended for inbound/outbound security rule.
  • ApiManagement* (только диспетчер ресурсов): Этот тег обозначает префиксы адресов трафика управления для выделенных развертываний APIM.ApiManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for APIM dedicated deployments. Значение ApiManagement отвечает за разрешение или запрет трафика в службу управления API.If you specify ApiManagement for the value, traffic is allowed or denied to ApiManagement. Этот тег рекомендуется для правила безопасности входящего и исходящего трафика.This tag is recommended for inbound/outbound security rule.
  • Азуреконнекторс* (только диспетчер ресурсов): Этот тег обозначает префиксы адресов Logic Apps соединителей для подключений проверки/внутреннего сервера.AzureConnectors* (Resource Manager only): This tag denotes the address prefixes of the Logic Apps connectors for probe/backend connections. Значение AzureConnectors отвечает за разрешение или запрет трафика в Соединители Azure.If you specify AzureConnectors for the value, traffic is allowed or denied to AzureConnectors. Если вы хотите разрешить доступ к Соединителям Azure только в определенном регионе, укажите этот регион в формате "AzureConnectors.[имя региона]".If you only want to allow access to AzureConnectors in a specific region, you can specify the region in the following format AzureConnectors.[region name]. Этот тег рекомендуется для правила безопасности входящего трафика.This tag is recommended for inbound security rule.
  • GatewayManager (только для развертываний с помощью Resource Manager). Этот тег указывает префиксы адресов трафика управления для выделенных развертываний VPN и шлюзов приложений.GatewayManager (Resource Manager only): This tag denotes the address prefixes of the management traffic for VPN/App Gateways dedicated deployments. Значение GatewayManager отвечает за разрешение или запрет трафика в Диспетчер шлюзов.If you specify GatewayManager for the value, traffic is allowed or denied to GatewayManager. Этот тег рекомендуется для правила безопасности входящего трафика.This tag is recommended for inbound security rule.
  • AzureDataLake* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для службы Azure Data Lake.AzureDataLake* (Resource Manager only): This tag denotes the address prefixes of the Azure Data Lake service. Значение AzureDataLake отвечает за разрешение или запрет трафика в Azure Data Lake.If you specify AzureDataLake for the value, traffic is allowed or denied to AzureDataLake. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • AzureActiveDirectory* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для службы Azure Active Directory.AzureActiveDirectory* (Resource Manager only): This tag denotes the address prefixes of the AzureActiveDirectory service. Значение AzureActiveDirectory отвечает за разрешение или запрет трафика в Azure Active Directory.If you specify AzureActiveDirectory for the value, traffic is allowed or denied to AzureActiveDirectory. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • Азуремонитор* (только диспетчер ресурсов): Этот тег обозначает префиксы адресов Log Analytics, Application Insights, Азмон и пользовательские метрики (конечные точки с префиксом "ГБ").AzureMonitor* (Resource Manager only): This tag denotes the address prefixes of the Log Analytics, App Insights, AzMon, and custom metrics (GiG endpoints). Значение AzureMonitor отвечает за разрешение или запрет трафика в AzureMonitor.If you specify AzureMonitor for the value, traffic is allowed or denied to AzureMonitor. Для Log Analytics Этот тег имеет зависимость от тега хранилища .For Log Analytics, this tag has dependency on the Storage tag. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • ServiceFabric* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для службы ServiceFabric.ServiceFabric* (Resource Manager only): This tag denotes the address prefixes of the ServiceFabric service. Значение ServiceFabric отвечает за разрешение или запрет трафика в службе ServiceFabric.If you specify ServiceFabric for the value, traffic is allowed or denied to ServiceFabric. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • Азуремачинелеарнинг* (только диспетчер ресурсов): Этот тег определяет префиксы адресов для службы AzureMachineLearning.AzureMachineLearning* (Resource Manager only): This tag denotes the address prefixes of the AzureMachineLearning service. Значение AzureMachineLearning отвечает за разрешение или запрет трафика в службе AzureMachineLearning.If you specify AzureMachineLearning for the value, traffic is allowed or denied to AzureMachineLearning. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • Батчнодеманажемент* (только диспетчер ресурсов): Этот тег указывает префиксы адресов трафика управления для выделенных развертываний пакетной службы Azure.BatchNodeManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Batch dedicated deployments. Если указать значение батчнодеманажемент , трафик будет разрешен или запрещен в пакетной службе для вычислений узлов.If you specify BatchNodeManagement for the value, traffic is allowed or denied from the Batch service to compute nodes. Этот тег рекомендуется для правила безопасности входящего и исходящего трафика.This tag is recommended for inbound/outbound security rule.
  • AzureBackup* (только диспетчер ресурсов): Этот тег обозначает префиксы адресов службы AzureBackup.AzureBackup* (Resource Manager only): This tag denotes the address prefixes of the AzureBackup service. При указании значения AzureBackup для параметра трафик разрешается или отклоняется для AzureBackup.If you specify AzureBackup for the value, traffic is allowed or denied to AzureBackup. Этот тег имеет зависимость от хранилища и тега AzureActiveDirectory . Этот тег рекомендуется для исходящего правила безопасности.This tag has dependency on the Storage and AzureActiveDirectory tag.This tag is recommended for outbound security rule.
  • Азуреактиведиректоридомаинсервицес* (только диспетчер ресурсов): Этот тег обозначает префиксы адресов трафика управления для Azure Active Directory выделенных развертываний доменных служб.AzureActiveDirectoryDomainServices* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Active Directory Domain Services dedicated deployments. При указании значения азуреактиведиректоридомаинсервицес для параметра трафик разрешается или отклоняется для азуреактиведиректоридомаинсервицес.If you specify AzureActiveDirectoryDomainServices for the value, traffic is allowed or denied to AzureActiveDirectoryDomainServices. Этот тег рекомендуется для правила безопасности входящего и исходящего трафика.This tag is recommended for inbound/outbound security rule.
  • SqlManagement* (только диспетчер ресурсов): Этот тег обозначает префиксы адресов трафика управления для выделенных развертываний SQL.SqlManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for SQL dedicated deployments. При указании значения SqlManagement для параметра трафик разрешается или отклоняется для SqlManagement.If you specify SqlManagement for the value, traffic is allowed or denied to SqlManagement. Этот тег рекомендуется для правила безопасности входящего и исходящего трафика.This tag is recommended for inbound/outbound security rule.
  • Когнитивесервицесманажемент (Только диспетчер ресурсов): Этот тег обозначает префиксы адресов трафика для Cognitive Services.CognitiveServicesManagement (Resource Manager only): This tag denotes the address prefixes of traffic for Cognitive Services. При указании значения когнитивесервицесманажемент для параметра трафик разрешается или отклоняется для когнитивесервицесманажемент.If you specify CognitiveServicesManagement for the value, traffic is allowed or denied to CognitiveServicesManagement. Этот тег рекомендуется для исходящего правила безопасности.This tag is recommended for outbound security rule.
  • Dynamics365ForMarketingEmail (Только диспетчер ресурсов): Этот тег обозначает префиксы адресов службы маркетинговой электронной почты Dynamics 365.Dynamics365ForMarketingEmail (Resource Manager only): This tag denotes the address prefixes of the marketing email service of Dynamics 365. При указании значения Dynamics365ForMarketingEmail для параметра трафик разрешается или отклоняется для Dynamics365ForMarketingEmail.If you specify Dynamics365ForMarketingEmail for the value, traffic is allowed or denied to Dynamics365ForMarketingEmail. Если вы хотите разрешить доступ только к Dynamics365ForMarketingEmail в определенном регионе, можно указать регион в следующем формате Dynamics365ForMarketingEmail. [имя региона].If you only want to allow access to Dynamics365ForMarketingEmail in a specific region, you can specify the region in the following format Dynamics365ForMarketingEmail.[region name].
  • Азуреплатформднс (Только диспетчер ресурсов): Этот тег указывает DNS, который является базовой службой инфраструктуры.AzurePlatformDNS (Resource Manager only): This tag denotes DNS which is a basic infrastructure service. Если для значения задано значение азуреплатформднс , можно отключить заданную по умолчанию ПЛАТФОРМУ Azure для DNS.If you specify AzurePlatformDNS for the value, you can disable the default Azure platform consideration for DNS. Будьте внимательны при использовании этого тега.Please take caution in using this tag. Перед использованием этого тега рекомендуется тестирование.Testing is recommended before using this tag.
  • Азуреплатформимдс (Только диспетчер ресурсов): Этот тег обозначает IMDS, который является базовой службой инфраструктуры.AzurePlatformIMDS (Resource Manager only): This tag denotes IMDS which is a basic infrastructure service. Если для этого параметра задано значение азуреплатформимдс , можно отключить заданную по умолчанию ПЛАТФОРМУ Azure для IMDS.If you specify AzurePlatformIMDS for the value, you can disable the default Azure platform consideration for IMDS. Будьте внимательны при использовании этого тега.Please take caution in using this tag. Перед использованием этого тега рекомендуется тестирование.Testing is recommended before using this tag.
  • Азуреплатформлкм (Только диспетчер ресурсов): Этот тег обозначает лицензирование Windows или службу управления ключами.AzurePlatformLKM (Resource Manager only): This tag denotes Windows licensing or key management service. Если для значения задано значение азуреплатформлкм , то для лицензирования можно отключить заданную по умолчанию платформу Azure .If you specify AzurePlatformLKM for the value, you can disable the default Azure platform consideration for licensing. Будьте внимательны при использовании этого тега.Please take caution in using this tag. Перед использованием этого тега рекомендуется тестирование.Testing is recommended before using this tag.

Примечание

Теги службы для служб Azure обозначают используемые префиксы адресов из определенного облака.Service tags of Azure services denotes the address prefixes from the specific cloud being used.

Примечание

Если вы реализуете конечную точку службы для виртуальной сети для службы, такой как служба хранилища Azure или "База данных SQL Azure", Azure добавляет для нее маршрут в подсеть виртуальной сети.If you implement a virtual network service endpoint for a service, such as Azure Storage or Azure SQL Database, Azure adds a route to a virtual network subnet for the service. Префиксы адресов для маршрута — это те же префиксы или диапазоны CIDR, которые заданы в теге соответствующей службы.The address prefixes in the route are the same address prefixes, or CIDR ranges, as the corresponding service tag.

Теги службы в локальной средеService tags in on-premises

Вы можете скачать и интегрировать его с локальным брандмауэром. список тегов служб с префиксом см. в следующих еженедельных публикациях для общедоступных публикаций Azure, государственных организаций США, Китаяи Германии.You can download and integrate with an on-premises firewall the list of service tags with prefix details on the following weekly publications for Azure Public, US government, China, and Germany clouds.

Кроме того, эти сведения можно получить программным способом с помощью API обнаружения тегов службы (общедоступная Предварительная версия) — RESTful, Azure PowerShellи Azure CLI.You can also programmatically retrieve this information using the Service Tag Discovery API (Public Preview) - REST, Azure PowerShell, and Azure CLI.

Примечание

Следующие еженедельные публикации (старая версия) для общедоступных, китайских и Германии облаков станут устаревшими до 30 июня 2020.Following weekly publications (old version) for Azure Public, China, and Germany clouds will be deprecated by June 30, 2020. Начните использовать обновленные публикации, как описано выше.Please start using the updated publications as described above.

Правила безопасности по умолчаниюDefault security rules

Azure создает следующие правила по умолчанию в каждой создаваемой группе безопасности сети:Azure creates the following default rules in each network security group that you create:

Входящий трафикInbound

AllowVNetInBoundAllowVNetInBound

PriorityPriority SourceSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny РАЗРЕШИТЬAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PriorityPriority SourceSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny РАЗРЕШИТЬAllow

DenyAllInboundDenyAllInbound

PriorityPriority SourceSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny ЗапретDeny

ИсходящиеOutbound

AllowVnetOutBoundAllowVnetOutBound

PriorityPriority SourceSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny РАЗРЕШИТЬAllow

AllowInternetOutBoundAllowInternetOutBound

PriorityPriority SourceSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 ИнтернетInternet 0-655350-65535 AnyAny РАЗРЕШИТЬAllow

DenyAllOutBoundDenyAllOutBound

PriorityPriority SourceSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny ЗапретDeny

В столбцах Источник и Место назначения значения VirtualNetwork, AzureLoadBalancer и Internet являются тегами служб, а не IP-адресами.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. В столбце Протокол включает TCP , UDP и ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. При создании правила можно указать TCP, UDP, ICMP или любой из них.When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 в столбцах Источник и Назначение представляет все адреса.0.0.0.0/0 in the Source and Destination columns represents all addresses. Такие клиенты, как портал Azure, Azure CLI или PowerShell, могут использовать для этого выражения * или ANY.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Правила по умолчанию нельзя удалить, но их можно переопределить, создав правила с более высоким приоритетом.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Группы безопасности приложенийApplication security groups

Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Вы можете повторно использовать политику безопасности в нужном масштабе без обслуживания явных IP-адресов вручную.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Платформа сама обрабатывает явные IP-адреса и множество наборов правил, позволяя вам сосредоточиться на бизнес-логике.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Чтобы лучше понять группы безопасности приложений, рассмотрим следующий пример:To better understand application security groups, consider the following example:

Группы безопасности приложений

На предыдущем рисунке NIC1 и NIC2 — это члены группы безопасности приложений AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 — это член группы безопасности приложений AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 — это член группы безопасности приложений AsgDb.NIC4 is a member of the AsgDb application security group. Несмотря на то что в этом примере каждый сетевой интерфейс является членом только одной группы безопасности приложений, он может быть членом нескольких групп безопасности приложений в соответствии с ограничениями Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Ни один из сетевых интерфейсов не имеет связанных групп безопасности сети.None of the network interfaces have an associated network security group. NSG1 связана с обеими подсетями и содержит следующие правила.NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Это правило требуется для разрешения трафика из Интернета на веб-серверы.This rule is needed to allow traffic from the internet to the web servers. Так как входящий трафик из Интернета запрещен правилом безопасности по умолчанию DenyAllInbound, для групп безопасности приложений AsgLogic или AsgDb дополнительных правил не требуется.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PriorityPriority SourceSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
100100 ИнтернетInternet * AsgWebAsgWeb 8080 TCPTCP РАЗРЕШИТЬAllow

Deny-Database-AllDeny-Database-All

Так как правило безопасности по умолчанию AllowVNetInBound разрешает весь обмен данными между ресурсами в одной и той же виртуальной сети, это правило необходимо для запрета трафика из всех ресурсов.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PriorityPriority SourceSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 AnyAny ЗапретDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Это правило разрешает трафик из группы безопасности приложений AsgLogic в группу безопасности приложений AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. Приоритет для этого правила выше, чем приоритет правила Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Таким образом, это правило обрабатывается до правила Deny-Database-All, поэтому трафик из группы безопасности приложений AsgLogic разрешен, тогда как весь остальной трафик запрещен.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PriorityPriority SourceSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP РАЗРЕШИТЬAllow

Правила, определяющие группу безопасности приложений в качестве источника или назначения, применяются только к сетевым интерфейсам, которые входят в ее состав.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Если сетевой интерфейс не является членом группы безопасности приложений, правило не применяется к нему, несмотря на то, что группа безопасности сети связана с подсетью.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Группы безопасности приложений имеют следующие ограничения:Application security groups have the following constraints:

  • Есть ограничения на количество групп безопасности приложений в подписке, а также другие ограничения, связанные с группами безопасности приложений.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Дополнительные сведения см. в разделе Ограничения сети.For details, see Azure limits.
  • Вы можете указать одну группу безопасности приложений в правиле безопасности как источник и назначение.You can specify one application security group as the source and destination in a security rule. Указать несколько групп безопасности приложений как источник или назначение нельзя.You cannot specify multiple application security groups in the source or destination.
  • Все сетевые интерфейсы, назначенные группе безопасности приложений, должны существовать в той же виртуальной сети, где размещался первый сетевой интерфейс, назначенный этой группе безопасности приложений.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Например, если группе безопасности приложений был первым назначен сетевой интерфейс с именем AsgWeb в виртуальной сети VNet1, все остальные сетевые интерфейсы, назначаемые ASGWeb, должны существовать в VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Невозможно добавить сетевые интерфейсы из разных виртуальных сетей в одну группу безопасности приложения.You cannot add network interfaces from different virtual networks to the same application security group.
  • При указании группы безопасности приложений в качестве источника и назначения в правиле безопасности сетевые интерфейсы в обеих группах безопасности приложения должны существовать в одной виртуальной сети.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Например, если AsgLogic содержит сетевые интерфейсы из VNet1, а AsgDb — сетевые интерфейсы из VNet2, вы не сможете назначить AsgLogic в качестве источника и AsgDb в качестве назначения в правиле.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Все сетевые интерфейсы для групп безопасности приложений источника и назначения должны существовать в одной и той же виртуальной сети.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Совет

Чтобы свести к минимуму количество требуемых правил безопасности и необходимость изменять правила, составьте план необходимых групп безопасности приложений и создайте правила, по возможности используя теги служб или группы безопасности приложений вместо отдельных IP-адресов или диапазонов IP-адресов.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Оценка трафикаHow traffic is evaluated

В виртуальную сеть Azure можно развернуть ресурсы из нескольких служб Azure.You can deploy resources from several Azure services into an Azure virtual network. Полный список см. в разделе Службы, которые можно развернуть в виртуальной сети.For a complete list, see Services that can be deployed into a virtual network. Вы можете связать не более одной группы безопасности сети с каждой подсетью виртуальной сети и сетевым интерфейсом на виртуальной машине.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Одну и ту же группу безопасности сети можно связать с любым выбранным количеством подсетей или сетевых интерфейсов.The same network security group can be associated to as many subnets and network interfaces as you choose.

На следующем рисунке показаны различные сценарии развертывания групп безопасности сети для разрешения трафика, поступающего из Интернета и обратно через TCP-порт 80:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

NSG-processing

Чтобы понять, как Azure обрабатывает входящие и исходящие правила для групп безопасности сети, см. предыдущий рисунок, а также следующий текст.Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Входящий трафикInbound traffic

Для входящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с подсетью, если таковая имеется, а затем правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1. Обрабатываются правила безопасности в NSG1, так как она связана с Subnet1, а VM1 находится в Subnet1.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. Если вы не создали правило, разрешающее входящий трафик через порт 80, трафик будет запрещен правилом безопасности по умолчанию DenyAllInbound и никогда не будет вычислен группой NSG2, так как NSG2 связана с сетевым интерфейсом.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Если в группе NSG1 есть правило безопасности, разрешающее трафик через порт 80, трафик будет обрабатываться группой NSG2.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Чтобы разрешить трафик к виртуальной машине через порт 80, в NSG1 и NSG2 должно быть правило, разрешающее трафик из Интернета через порт 80.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2. Обрабатываются правила в NSG1, потому что VM2 также находится в Subnet1.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Так как у VM2 нет группы безопасности сети, связанной с ее сетевым интерфейсом, она получает весь трафик, разрешенный NSG1, или не получает трафик, запрещенный NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Если группа безопасности сети связана с подсетью, трафик разрешен или запрещен для всех ресурсов в одной и той же подсети.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3. Так как с Subnet2 не связана ни одна группа безопасности сети, трафик разрешен в подсеть и обрабатывается NSG2, потому что NSG2 связана с сетевым интерфейсом, подключенным к VM3.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4. Трафик разрешен в VM4, так как группа безопасности сети не связана с Subnet3 или сетевым интерфейсом в виртуальной машине.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Весь трафик пропускается через подсеть и сетевой интерфейс, если с ними не связана группа безопасности сети.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Исходящий трафикOutbound traffic

Для исходящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется, а затем правила в группе безопасности сети, связанной с подсетью, если таковая имеется.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1. Обрабатываются правила безопасности в NSG2.VM1: The security rules in NSG2 are processed. Если вы не создали правило безопасности, которое запрещает исходящий трафик в Интернет через порт 80, трафик разрешается правилом безопасности по умолчанию AllowInternetOutbound в NSG1 и NSG2.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещен и никогда не вычисляется NSG1.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Чтобы запретить исходящий трафик через порт 80 на виртуальной машине, у одной из группы безопасности сети или у обеих должно быть правило, которое запрещает трафик, поступающий в Интернет через порт 80.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2. Весь трафик отправляется через этот сетевой интерфейс к подсети, так как с сетевым интерфейсом, подключенным к VM2, не связана группа безопасности сети.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Обрабатываются правила в NSG1.The rules in NSG1 are processed.
  • VM3. Если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещается.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Если в NSG2 есть правило безопасности, разрешающее трафик через порт 80, входящий трафик, поступающий в Интернет, разрешается через порт 80, так как группа безопасности сети не связана с Subnet2.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4. Весь трафик разрешен из VM4, так как группа безопасности сети не связана с сетевым интерфейсом, подключенным к виртуальной машине или к Subnet3.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Все правила, применяемые к сетевому интерфейсу, можно просмотреть в списке действующих правил безопасности сетевого интерфейса.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Кроме того, вы можете воспользоваться функцией Проверка IP-потока в службе "Наблюдатель за сетями Azure", чтобы определить, разрешен ли обмен данными с сетевым интерфейсом.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. Проверка IP-потока позволяет узнать, разрешен ли обмен данными или запрещен и какие правила безопасности сети разрешают или запрещают трафик.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Примечание

Группы безопасности сети связаны с подсетями или с виртуальными машинами и облачными службами, развернутыми в классической модели развертывания, а также с подсетями или сетевыми интерфейсами в модели развертывания диспетчер ресурсов.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Дополнительные сведения о моделях развертывания Azure см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.To learn more about Azure deployment models, see Understand Azure deployment models.

Совет

Если у вас нет особых причин сделать обратное, мы рекомендуем связать группу безопасности сети с подсетью или сетевым интерфейсом, но не обоими сразу.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Так как правила в группе безопасности сети, связанной с подсетью, могут конфликтовать с правилами в группе безопасности сети, связанной с сетевым интерфейсом, могут возникнуть непредвиденные проблемы с обменом данными, требующие устранения неполадок.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Сведения о платформе AzureAzure platform considerations

  • Виртуальный IP-адрес главного узла. Базовые службы инфраструктуры, например DHCP, DNS, IMDS и служба мониторинга работоспособности, предоставляются через виртуальные IP-адреса 168.63.129.16 и 169.254.169.254.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Эти IP-адреса принадлежат корпорации Майкрософт. Они являются единственными виртуализированными IP-адресами, которые используются для этих целей во всех регионах.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Лицензирование (служба управления ключами) . Для используемых на виртуальных машинах образов Windows требуется лицензия.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Чтобы получить лицензию, на серверы узлов службы управления ключами отправляется соответствующий запрос.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. Для отправки запроса используется исходящий порт 1688.The request is made outbound through port 1688. Для развертываний, в которых используется конфигурация маршрута по умолчанию 0.0.0.0/0, это правило платформы будет отключено.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Виртуальные машины в пулах с балансировкой нагрузки. Применяемые исходный порт и диапазон адресов относятся к исходному компьютеру, а не подсистеме балансировки нагрузки.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. Конечный порт и диапазон адресов относятся к целевому компьютеру, а не подсистеме балансировки нагрузки.The destination port and address range are for the destination computer, not the load balancer.

  • Экземпляры служб Azure. В подсетях виртуальной сети развертываются экземпляры нескольких служб Azure, таких как HDInsight, среды службы приложений и Масштабируемые наборы виртуальных машин.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Полный список служб, которые можно развернуть в виртуальной сети, см. в статье Интеграция виртуальной сети для служб Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Обязательно ознакомьтесь с требования к портам для каждой службы, прежде чем применять группу безопасности сети к подсети, в которой развернут ресурс.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Если запретить порты, которые требуются для службы, она будет работать неправильно.If you deny ports required by the service, the service doesn't function properly.

  • Отправка исходящих сообщений электронной почты. Корпорация Майкрософт рекомендует использовать аутентифицированные службы ретрансляции SMTP (обычно подключаются через TCP-порт 587, но часто через другие порты) для отправки электронной почты с виртуальных машин Azure.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Службы ретрансляции SMTP оптимизируют репутацию отправителя, чтобы минимизировать риск отклонения сообщений сторонними поставщиками почтовых служб.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Такие службы ретрансляции SMTP включают среди прочих Exchange Online Protection и SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Использование служб ретрансляции SMTP никак не ограничено в Azure независимо от типа подписки.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Если вы создали подписку Azure до 15 ноября 2017 г., кроме возможности использовать службы ретрансляции SMTP, вы также можете отправлять электронную почту непосредственно через TCP-порт 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Если вы создали подписку Azure после 15 ноября 2017 г., вам может быть недоступна отправка электронной почты непосредственно через порт 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Поведение исходящего трафика через порт 25, зависит от типа вашей подписки, как показано ниже.The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Соглашение Enterprise. Разрешен исходящий трафик через порт 25.Enterprise Agreement: Outbound port 25 communication is allowed. Вы можете отправлять исходящие сообщения электронной почты непосредственно с виртуальных машин на платформе Azure внешним поставщикам почтовых служб без ограничений.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Оплата по мере использования. Передача исходящих данных через порт 25 заблокирована для всех ресурсов.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Если необходимо отправить электронное письмо с виртуальной машины непосредственно внешним поставщикам почтовых служб (без использования аутентифицированной ретрансляции SMTP), можно сделать запрос на снятие ограничения.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Запросы проверяет и одобряет только корпорация Майкрософт. Они утверждаются только после проверок для защиты от мошенничества.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Чтобы создать запрос, откройте обращение в службу поддержки с типом проблемы Техническая, Подключение к виртуальной сети, Не удается отправить сообщение электронной почты (SMTP/порт 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). В обращении в службу поддержки объясните, зачем для вашей подписки требуется отправка электронной почты непосредственно поставщикам почтовых служб вместо отправки с помощью аутентифицированной службы ретрансляции SMTP.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Если для вашей подписки будет создано исключение из правила, только виртуальные машины, созданные после даты создания исключения, смогут передавать исходящие данные через порт 25.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure с открытой лицензией, для образования, BizSpark и бесплатная пробная версия. Передача исходящих данных через порт 25 заблокирована для всех ресурсов.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Запросы на снятие ограничения отправить невозможно.No requests to remove the restriction can be made, because requests are not granted. Если нужно отправить сообщение электронной почты с виртуальной машины, используйте службу ретрансляции SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Поставщик облачных служб. Клиенты, которые используют ресурсы Azure через поставщика облачных служб, могут обратиться к своему поставщику с просьбой разблокировки от своего имени, если безопасную ретрансляцию SMTP использовать нельзя.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Если Azure позволяет отправлять сообщения электронной почты через порт 25, корпорация Майкрософт не гарантирует, что поставщики электронной почты примут такие сообщения, отправленные с вашей виртуальной машины.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Если конкретный поставщик отклоняет почту, отправленную с вашей виртуальной машины, обратитесь к такому поставщику, чтобы решить проблемы, связанные с доставкой сообщений или фильтрацией нежелательной почты. Или используйте службу ретрансляции SMTP, прошедшую проверку подлинности.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Следующие шагиNext steps