Группы безопасностиSecurity groups

Отфильтровать трафик, поступающий из ресурсов Azure и обратно, в виртуальной сети можно с помощью группы безопасности сети.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. В этой группе содержатся правила безопасности, которые разрешают или запрещают исходящий и входящий трафик нескольких типов ресурсов Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Дополнительные сведения о том, какие ресурсы Azure можно развернуть в виртуальной сети и какие группы безопасности сети можно связать с ними, см. в статье Интеграция виртуальной сети для служб Azure.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Для каждого правила можно указать источник и назначение, порт и протокол.For each rule, you can specify source and destination, port, and protocol.

В этой статье объясняются основные понятия групп безопасности сети, что позволит использовать их эффективно.This article explains network security group concepts, to help you use them effectively. Если вы еще не создавали группу безопасности сети, вы можете пройти краткое руководство, чтобы получить такой опыт создания.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Если вы ознакомлены с группами безопасности сети и вам нужно управлять ими, см. сведения в статье Создание, изменение и удаление группы безопасности сети.If you're familiar with network security groups and need to manage them, see Manage a network security group. Если возникают проблемы с обменом данными и вам необходимо устранить неполадки с группами безопасности сети, см. сведения в статье Диагностика проблемы с фильтрацией трафика на виртуальной машине.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Для анализа трафика, поступающего из ресурсов со связанной группой безопасности сети и обратно, можно включить журналы потоков группы безопасности сети.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

Правила безопасностиSecurity rules

Группа безопасности сети может не содержать правила или содержать любое их число в пределах ограничений подписки Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. В каждом правиле указываются следующие свойства:Each rule specifies the following properties:

СвойствоProperty ПояснениеExplanation
ИмяName Уникальное имя в пределах группы безопасности сети.A unique name within the network security group.
ПриоритетPriority Значение в диапазоне от 100 до 4096.A number between 100 and 4096. Правила обрабатываются в порядке приоритета. Числа обрабатываются по возрастанию, так как меньшие числа имеют более высокий приоритет.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Если показатель трафика соответствует установленному в правиле, обработка останавливается.Once traffic matches a rule, processing stops. В результате все правила с более низким приоритетом (большие числа) и тем же атрибутом,что и правила с высоким приоритетом, не обрабатываются.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Источник или назначениеSource or destination Значение "Любой" или отдельный IP-адрес, блок бесклассовой междоменной маршрутизации (CIDR) (например, 10.0.0.0/24), тег службы или группа безопасности приложений.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. При указании адреса ресурса Azure необходимо указать частный IP-адрес, назначенный ресурсу.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Группы безопасности сети обрабатываются после того, как Azure преобразует общедоступный IP-адрес в частный для входящего трафика, и до того, как Azure преобразует частный IP-адрес в общедоступный для исходящего трафика.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Узнайте больше об IP-адресах.Learn more about Azure IP addresses. Если выбрать диапазон, тег службы или группу безопасности приложений, можно создавать меньше правил безопасности.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. Возможность указать несколько отдельных IP-адресов и диапазонов (нельзя указать несколько тегов служб или групп приложений) в правиле относится к расширенным правилам безопасности.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Нельзя одновременно задать несколько IP-адресов и их диапазонов в группах безопасности сети, созданных с помощью классической модели развертывания.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Узнайте больше о моделях развертывания Azure.Learn more about Azure deployment models.
ПротоколProtocol TCP, UDP, ICMP или любой.TCP, UDP, ICMP or Any.
НаправлениеDirection Определяет тип трафика (входящий или исходящий), к которому применяется правило.Whether the rule applies to inbound, or outbound traffic.
Диапазон портовPort range Можно задать отдельный порт или их диапазон.You can specify an individual or range of ports. Например, вы можете указать 80 или 10000–10005.For example, you could specify 80 or 10000-10005. Если указать диапазон, можно создавать меньше правил безопасности.Specifying ranges enables you to create fewer security rules. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Нельзя задать несколько портов или их диапазонов в одном и том же правиле безопасности в группах безопасности сети, созданных с помощью классической модели развертывания.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
ДействиеAction Разрешить или запретить доступAllow or deny

Правила безопасности групп безопасности сети оцениваются по приоритету и на основе кортежей из 5 элементов (источник, порт источника, назначение, порт назначения и протокол), чтобы разрешить или запретить трафик.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Запись потока создается для имеющихся подключений.A flow record is created for existing connections. Обмен данными разрешен или запрещен в зависимости от состояния подключения записи потока.Communication is allowed or denied based on the connection state of the flow record. С помощью записи потока можно отслеживать состояние группы безопасности сети.The flow record allows a network security group to be stateful. Если вы задаете правило безопасности для исходящего трафика по любому адресу, например, через порт 80, устанавливать правило безопасности входящего трафика для ответа на исходящий трафик не обязательно.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Если связь инициируется извне, достаточно задать правило безопасности для входящего трафика.You only need to specify an inbound security rule if communication is initiated externally. Обратное также верно.The opposite is also true. Если через порт разрешено поступление входящего трафика, задавать правило безопасности исходящего трафика для ответа на трафик через порт не требуется.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. Имеющиеся подключения могут не прерываться, когда вы удаляете правило безопасности, разрешавшее этот поток.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Поток трафика прерывается, когда подключения разрываются, то есть в течение нескольких минут трафик не передается в любом направлении.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Количество правил безопасности, которые можно создать в группе безопасности сети, ограничено.There are limits to the number of security rules you can create in a network security group. Дополнительные сведения см. в разделе Ограничения сети.For details, see Azure limits.

Расширенные правила безопасностиAugmented security rules

Расширенные правила безопасности упрощают определение безопасности для виртуальных сетей, позволяя определять масштабные и комплексные политики безопасности сети с меньшим числом правил.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Несколько портов, несколько явных IP-адресов и диапазонов можно объединить в одном простом правиле безопасности.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Используйте расширенные правила в полях источника, назначения и порта для правила.Use augmented rules in the source, destination, and port fields of a rule. Чтобы упростить поддержку для определения правила безопасности, объедините расширенные правила безопасности с тегами служб или группами безопасности приложений.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Количество адресов, диапазонов и портов, которые можно указать в правиле, ограничено.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Дополнительные сведения см. в разделе Ограничения сети.For details, see Azure limits.

Теги службService tags

Тег службы представляет группу префиксов IP-адресов из заданной службы Azure.A service tag represents a group of IP address prefixes from a given Azure service. Это помогает снизить сложность частого обновления правил сетевой безопасности.It helps to minimize complexity of frequent updates on network security rules.

Дополнительные сведения см. в статье теги служб Azure.For more information, see Azure service tags.

Правила безопасности по умолчаниюDefault security rules

Azure создает следующие правила по умолчанию в каждой создаваемой группе безопасности сети:Azure creates the following default rules in each network security group that you create:

Входящий трафикInbound

AllowVNetInBoundAllowVNetInBound

ПриоритетPriority ИсточникSource Исходные портыSource ports Место назначенияDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500065000 Виртуальная сетьVirtualNetwork 0-655350-65535 Виртуальная сетьVirtualNetwork 0-655350-65535 ЛюбойAny РазрешениеAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

ПриоритетPriority ИсточникSource Исходные портыSource ports Место назначенияDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 ЛюбойAny РазрешениеAllow

DenyAllInboundDenyAllInbound

ПриоритетPriority ИсточникSource Исходные портыSource ports Место назначенияDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 ЛюбойAny ЗАПРЕТИТЬDeny

ИсходящиеOutbound

AllowVnetOutBoundAllowVnetOutBound

ПриоритетPriority ИсточникSource Исходные портыSource ports Место назначенияDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500065000 Виртуальная сетьVirtualNetwork 0-655350-65535 Виртуальная сетьVirtualNetwork 0-655350-65535 ЛюбойAny РазрешениеAllow

AllowInternetOutBoundAllowInternetOutBound

ПриоритетPriority ИсточникSource Исходные портыSource ports Место назначенияDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 ИнтернетInternet 0-655350-65535 ЛюбойAny РазрешениеAllow

DenyAllOutBoundDenyAllOutBound

ПриоритетPriority ИсточникSource Исходные портыSource ports Место назначенияDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 ЛюбойAny ЗАПРЕТИТЬDeny

В столбцах Источник и Место назначения значения VirtualNetwork, AzureLoadBalancer и Internet являются тегами служб, а не IP-адресами.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. В столбце Протокол включает TCP , UDP и ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. При создании правила можно указать TCP, UDP, ICMP или любой из них.When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 в столбцах Источник и Назначение представляет все адреса.0.0.0.0/0 in the Source and Destination columns represents all addresses. Такие клиенты, как портал Azure, Azure CLI или PowerShell, могут использовать для этого выражения * или ANY.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Правила по умолчанию нельзя удалить, но их можно переопределить, создав правила с более высоким приоритетом.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Группы безопасности приложенийApplication security groups

Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Вы можете повторно использовать политику безопасности в нужном масштабе без обслуживания явных IP-адресов вручную.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Платформа сама обрабатывает явные IP-адреса и множество наборов правил, позволяя вам сосредоточиться на бизнес-логике.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Чтобы лучше понять группы безопасности приложений, рассмотрим следующий пример:To better understand application security groups, consider the following example:

Группы безопасности приложений

На предыдущем рисунке NIC1 и NIC2 — это члены группы безопасности приложений AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 — это член группы безопасности приложений AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 — это член группы безопасности приложений AsgDb.NIC4 is a member of the AsgDb application security group. Несмотря на то что в этом примере каждый сетевой интерфейс является членом только одной группы безопасности приложений, он может быть членом нескольких групп безопасности приложений в соответствии с ограничениями Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Ни один из сетевых интерфейсов не имеет связанных групп безопасности сети.None of the network interfaces have an associated network security group. NSG1 связана с обеими подсетями и содержит следующие правила.NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Это правило требуется для разрешения трафика из Интернета на веб-серверы.This rule is needed to allow traffic from the internet to the web servers. Так как входящий трафик из Интернета запрещен правилом безопасности по умолчанию DenyAllInbound, для групп безопасности приложений AsgLogic или AsgDb дополнительных правил не требуется.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

ПриоритетPriority ИсточникSource Исходные портыSource ports Место назначенияDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
100100 ИнтернетInternet * AsgWebAsgWeb 8080 TCPTCP РазрешениеAllow

Deny-Database-AllDeny-Database-All

Так как правило безопасности по умолчанию AllowVNetInBound разрешает весь обмен данными между ресурсами в одной и той же виртуальной сети, это правило необходимо для запрета трафика из всех ресурсов.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

ПриоритетPriority ИсточникSource Исходные портыSource ports Место назначенияDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 ЛюбойAny ЗАПРЕТИТЬDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Это правило разрешает трафик из группы безопасности приложений AsgLogic в группу безопасности приложений AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. Приоритет для этого правила выше, чем приоритет правила Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Таким образом, это правило обрабатывается до правила Deny-Database-All, поэтому трафик из группы безопасности приложений AsgLogic разрешен, тогда как весь остальной трафик запрещен.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

ПриоритетPriority ИсточникSource Исходные портыSource ports Место назначенияDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP РазрешениеAllow

Правила, определяющие группу безопасности приложений в качестве источника или назначения, применяются только к сетевым интерфейсам, которые входят в ее состав.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Если сетевой интерфейс не является членом группы безопасности приложений, правило не применяется к нему, несмотря на то, что группа безопасности сети связана с подсетью.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Группы безопасности приложений имеют следующие ограничения:Application security groups have the following constraints:

  • Есть ограничения на количество групп безопасности приложений в подписке, а также другие ограничения, связанные с группами безопасности приложений.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Дополнительные сведения см. в разделе Ограничения сети.For details, see Azure limits.
  • Вы можете указать одну группу безопасности приложений в правиле безопасности как источник и назначение.You can specify one application security group as the source and destination in a security rule. Указать несколько групп безопасности приложений как источник или назначение нельзя.You cannot specify multiple application security groups in the source or destination.
  • Все сетевые интерфейсы, назначенные группе безопасности приложений, должны существовать в той же виртуальной сети, где размещался первый сетевой интерфейс, назначенный этой группе безопасности приложений.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Например, если группе безопасности приложений был первым назначен сетевой интерфейс с именем AsgWeb в виртуальной сети VNet1, все остальные сетевые интерфейсы, назначаемые ASGWeb, должны существовать в VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Невозможно добавить сетевые интерфейсы из разных виртуальных сетей в одну группу безопасности приложения.You cannot add network interfaces from different virtual networks to the same application security group.
  • При указании группы безопасности приложений в качестве источника и назначения в правиле безопасности сетевые интерфейсы в обеих группах безопасности приложения должны существовать в одной виртуальной сети.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Например, если AsgLogic содержит сетевые интерфейсы из VNet1, а AsgDb — сетевые интерфейсы из VNet2, вы не сможете назначить AsgLogic в качестве источника и AsgDb в качестве назначения в правиле.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Все сетевые интерфейсы для групп безопасности приложений источника и назначения должны существовать в одной и той же виртуальной сети.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Совет

Чтобы свести к минимуму количество требуемых правил безопасности и необходимость изменять правила, составьте план необходимых групп безопасности приложений и создайте правила, по возможности используя теги служб или группы безопасности приложений вместо отдельных IP-адресов или диапазонов IP-адресов.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Оценка трафикаHow traffic is evaluated

В виртуальную сеть Azure можно развернуть ресурсы из нескольких служб Azure.You can deploy resources from several Azure services into an Azure virtual network. Полный список см. в разделе Службы, которые можно развернуть в виртуальной сети.For a complete list, see Services that can be deployed into a virtual network. Вы можете связать не более одной группы безопасности сети с каждой подсетью виртуальной сети и сетевым интерфейсом на виртуальной машине.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Одну и ту же группу безопасности сети можно связать с любым выбранным количеством подсетей или сетевых интерфейсов.The same network security group can be associated to as many subnets and network interfaces as you choose.

На следующем рисунке показаны различные сценарии развертывания групп безопасности сети для разрешения трафика, поступающего из Интернета и обратно через TCP-порт 80:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

NSG-processing

Чтобы понять, как Azure обрабатывает входящие и исходящие правила для групп безопасности сети, см. предыдущий рисунок, а также следующий текст.Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Входящий трафикInbound traffic

Для входящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с подсетью, если таковая имеется, а затем правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: обрабатываются правила безопасности в NSG1, так как она связана с Subnet1 и VM1 в Subnet1.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. Если вы не создали правило, разрешающее входящий трафик через порт 80, трафик будет запрещен правилом безопасности по умолчанию DenyAllInbound и никогда не будет вычислен группой NSG2, так как NSG2 связана с сетевым интерфейсом.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Если в группе NSG1 есть правило безопасности, разрешающее трафик через порт 80, трафик будет обрабатываться группой NSG2.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Чтобы разрешить трафик к виртуальной машине через порт 80, в NSG1 и NSG2 должно быть правило, разрешающее трафик из Интернета через порт 80.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: обрабатываются правила в NSG1, потому что VM2 также существует в Subnet1.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Так как у VM2 нет группы безопасности сети, связанной с ее сетевым интерфейсом, она получает весь трафик, разрешенный NSG1, или не получает трафик, запрещенный NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Если группа безопасности сети связана с подсетью, трафик разрешен или запрещен для всех ресурсов в одной и той же подсети.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: так как с Subnet2 не связана ни одна группа безопасности сети, трафик разрешен в подсеть и обрабатывается NSG2, потому что NSG2 связана с сетевым интерфейсом, подключенным к VM3.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: трафик разрешен в VM4, , так как группа безопасности сети не связана с Subnet3 или сетевым интерфейсом в виртуальной машине.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Весь трафик пропускается через подсеть и сетевой интерфейс, если с ними не связана группа безопасности сети.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Исходящий трафикOutbound traffic

Для исходящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется, а затем правила в группе безопасности сети, связанной с подсетью, если таковая имеется.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: обрабатываются правила безопасности в NSG2.VM1: The security rules in NSG2 are processed. Если вы не создали правило безопасности, которое запрещает исходящий трафик в Интернет через порт 80, трафик разрешается правилом безопасности по умолчанию AllowInternetOutbound в NSG1 и NSG2.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещен и никогда не вычисляется NSG1.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Чтобы запретить исходящий трафик через порт 80 на виртуальной машине, у одной из группы безопасности сети или у обеих должно быть правило, которое запрещает трафик, поступающий в Интернет через порт 80.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: весь трафик отправляется через этот сетевой интерфейс к подсети, так как с сетевым интерфейсом, подключенным к VM2, не связана группа безопасности сети.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Обрабатываются правила в NSG1.The rules in NSG1 are processed.
  • VM3: если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещается.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Если в NSG2 есть правило безопасности, разрешающее трафик через порт 80, входящий трафик, поступающий в Интернет, разрешается через порт 80, так как группа безопасности сети не связана с Subnet2.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: весь трафик разрешен из VM4, так как группа безопасности сети не связана с сетевым интерфейсом, подключенным к виртуальной машине или к Subnet3.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Трафик внутри подсетиIntra-Subnet traffic

Важно отметить, что правила безопасности в NSG, связанном с подсетью, могут повлиять на подключение между виртуальными машинами.It's important to note that security rules in an NSG associated to a subnet can affect connectivity between VM's within it. Например, если правило Добавлено в NSG1 , которое запрещает весь входящий и исходящий трафик, то VM1 и VM2 больше не смогут взаимодействовать друг с другом.For example, if a rule is added to NSG1 which denies all inbound and outbound traffic, VM1 and VM2 will no longer be able to communicate with each other. Чтобы разрешить это, необходимо добавить другое правило.Another rule would have to be added specifically to allow this.

Все правила, применяемые к сетевому интерфейсу, можно просмотреть в списке действующих правил безопасности сетевого интерфейса.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Кроме того, вы можете воспользоваться функцией Проверка IP-потока в службе "Наблюдатель за сетями Azure", чтобы определить, разрешен ли обмен данными с сетевым интерфейсом.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. Проверка IP-потока позволяет узнать, разрешен ли обмен данными или запрещен и какие правила безопасности сети разрешают или запрещают трафик.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Примечание

Группы безопасности сети связаны с подсетями или с виртуальными машинами и облачными службами, развернутыми в классической модели развертывания, а также с подсетями или сетевыми интерфейсами в модели развертывания диспетчер ресурсов.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Дополнительные сведения о моделях развертывания Azure см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.To learn more about Azure deployment models, see Understand Azure deployment models.

Совет

Если у вас нет особых причин сделать обратное, мы рекомендуем связать группу безопасности сети с подсетью или сетевым интерфейсом, но не обоими сразу.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Так как правила в группе безопасности сети, связанной с подсетью, могут конфликтовать с правилами в группе безопасности сети, связанной с сетевым интерфейсом, могут возникнуть непредвиденные проблемы с обменом данными, требующие устранения неполадок.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Сведения о платформе AzureAzure platform considerations

  • Виртуальный IP-адрес узла узла. базовые службы инфраструктуры, такие как DHCP, DNS, IMDS и наблюдение за работоспособностью, предоставляются через ВИРТУАЛИЗИРОВАННЫЕ IP-адреса узлов 168.63.129.16 и 169.254.169.254.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Эти IP-адреса принадлежат корпорации Майкрософт. Они являются единственными виртуализированными IP-адресами, которые используются для этих целей во всех регионах.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Лицензирование (служба управления ключами) . Для используемых на виртуальных машинах образов Windows требуется лицензия.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Чтобы получить лицензию, на серверы узлов службы управления ключами отправляется соответствующий запрос.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. Для отправки запроса используется исходящий порт 1688.The request is made outbound through port 1688. Для развертываний, в которых используется конфигурация маршрута по умолчанию 0.0.0.0/0, это правило платформы будет отключено.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Виртуальные машины в пулах с балансировкой нагрузки. Применяемые исходный порт и диапазон адресов относятся к исходному компьютеру, а не подсистеме балансировки нагрузки.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. Конечный порт и диапазон адресов относятся к целевому компьютеру, а не подсистеме балансировки нагрузки.The destination port and address range are for the destination computer, not the load balancer.

  • Экземпляры служб Azure. В подсетях виртуальной сети развертываются экземпляры нескольких служб Azure, таких как HDInsight, среды службы приложений и масштабируемые наборы виртуальных машин.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Полный список служб, которые можно развернуть в виртуальной сети, см. в статье Интеграция виртуальной сети для служб Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Обязательно ознакомьтесь с требования к портам для каждой службы, прежде чем применять группу безопасности сети к подсети, в которой развернут ресурс.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Если запретить порты, которые требуются для службы, она будет работать неправильно.If you deny ports required by the service, the service doesn't function properly.

  • Отправка исходящих сообщений электронной почты. Корпорация Майкрософт рекомендует использовать аутентифицированные службы ретрансляции SMTP (обычно подключаются через TCP-порт 587, но часто через другие порты) для отправки электронной почты с виртуальных машин Azure.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Службы ретрансляции SMTP оптимизируют репутацию отправителя, чтобы минимизировать риск отклонения сообщений сторонними поставщиками почтовых служб.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Такие службы ретрансляции SMTP включают среди прочих Exchange Online Protection и SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Использование служб ретрансляции SMTP никак не ограничено в Azure независимо от типа подписки.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Если вы создали подписку Azure до 15 ноября 2017 г., кроме возможности использовать службы ретрансляции SMTP, вы также можете отправлять электронную почту непосредственно через TCP-порт 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Если вы создали подписку Azure после 15 ноября 2017 г., вам может быть недоступна отправка электронной почты непосредственно через порт 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Поведение исходящего трафика через порт 25, зависит от типа вашей подписки, как показано ниже.The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Соглашение Enterprise — разрешен исходящий трафик через порт 25.Enterprise Agreement: Outbound port 25 communication is allowed. Вы можете отправлять исходящие сообщения электронной почты непосредственно с виртуальных машин на платформе Azure внешним поставщикам почтовых служб без ограничений.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Оплата по мере использования. Передача исходящих данных через порт 25 заблокирована для всех ресурсов.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Если необходимо отправить электронное письмо с виртуальной машины непосредственно внешним поставщикам почтовых служб (без использования аутентифицированной ретрансляции SMTP), можно сделать запрос на снятие ограничения.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Запросы проверяет и одобряет только корпорация Майкрософт. Они утверждаются только после проверок для защиты от мошенничества.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Чтобы создать запрос, откройте обращение в службу поддержки с типом проблемы Техническая, Подключение к виртуальной сети, Не удается отправить сообщение электронной почты (SMTP/порт 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). В обращении в службу поддержки объясните, зачем для вашей подписки требуется отправка электронной почты непосредственно поставщикам почтовых служб вместо отправки с помощью аутентифицированной службы ретрансляции SMTP.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Если для вашей подписки будет создано исключение из правила, только виртуальные машины, созданные после даты создания исключения, смогут передавать исходящие данные через порт 25.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure с открытой лицензией, Education, BizSpark и бесплатная пробная версия. Передача исходящих данных через порт 25 заблокирована для всех ресурсов.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Запросы на снятие ограничения отправить невозможно.No requests to remove the restriction can be made, because requests are not granted. Если нужно отправить сообщение электронной почты с виртуальной машины, используйте службу ретрансляции SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Поставщик облачных служб. Клиенты, которые используют ресурсы Azure через поставщика облачных служб, могут обратиться к своему поставщику с просьбой разблокировки от своего имени, если безопасную ретрансляцию SMTP использовать нельзя.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Если Azure позволяет отправлять сообщения электронной почты через порт 25, корпорация Майкрософт не гарантирует, что поставщики электронной почты примут такие сообщения, отправленные с вашей виртуальной машины.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Если конкретный поставщик отклоняет почту, отправленную с вашей виртуальной машины, обратитесь к такому поставщику, чтобы решить проблемы, связанные с доставкой сообщений или фильтрацией нежелательной почты. Или используйте службу ретрансляции SMTP, прошедшую проверку подлинности.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Дальнейшие действияNext steps