Skapa, ändra eller ta bort en nätverkssäkerhetsgrupp

Med säkerhetsregler i nätverkssäkerhetsgrupper kan du filtrera vilken typ av nätverkstrafik som kan flöda in och ut ur undernät och nätverksgränssnitt för virtuella nätverk. Mer information om nätverkssäkerhetsgrupper finns i Översikt över säkerhetsgrupp för nätverk. Slutför sedan självstudiekursen Filtrera nätverkstrafik för att få viss erfarenhet av nätverkssäkerhetsgrupper.

Innan du börjar

Obs!

I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång med Az PowerShell finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i Migrera Azure PowerShell från AzureRM till Az.

Om du inte har ett kan du konfigurera ett Azure-konto med en aktiv prenumeration. Skapa ett konto kostnadsfritt. Utför en av dessa aktiviteter innan du påbörjar resten av den här artikeln:

  • Portalanvändare:Logga in på Azure Portal med ditt Azure-konto.

  • PowerShell-användare:Kör antingen kommandona i Azure Cloud Shelleller kör PowerShell från datorn. Azure Cloud Shell är ett kostnadsfritt interaktivt gränssnitt som du kan använda för att köra stegen i den här artikeln. Det har vanliga Azure-verktyg förinstallerade och konfigurerade att användas med ditt konto. På fliken Azure Cloud Shell-webbläsare hittar du listrutan Välj miljö och väljer sedan PowerShell om den inte redan är markerad.

    Om du kör PowerShell lokalt kan du Azure PowerShell version 1.0.0 eller senare. Kör Get-Module -ListAvailable Az.Network för att hitta den installerade versionen. Om du behöver uppgradera kan du gå till Installera Azure PowerShell. Kör Connect-AzAccount för att skapa en anslutning med Azure.

  • Azure CLI-användare:Kör kommandona via antingen Azure Cloud Shell ellerazure CLI som körs lokalt. Använd Azure CLI version 2.0.28 eller senare om du kör Azure CLI lokalt. Kör az --version för att hitta den installerade versionen. Om du behöver installera eller uppgradera kan du gå till Installera Azure CLI. Kör az login för att logga in på Azure.

Det konto du loggar in på, eller ansluter till Azure med, måste tilldelas rollen Nätverksdeltagare eller en Anpassad roll som har tilldelats lämpliga åtgärder i Behörigheter.

Arbeta med nätverkssäkerhetsgrupper

Du kan skapa, visa alla, visa information om, ändra ochta bort en nätverkssäkerhetsgrupp. Du kan också koppla eller avaktivera en nätverkssäkerhetsgrupp från ett nätverksgränssnitt eller undernät.

Skapa en säkerhetsgrupp för nätverk

Det finns en gräns för hur många nätverkssäkerhetsgrupper du kan skapa för varje Azure-plats och -prenumeration. Mer information finns i Begränsningar för Azure-prenumerationer och -tjänster, kvoter och begränsningar.

  1. Azure Portal-menyn eller på startsidan väljer du Skapa en resurs.

  2. Välj Nätverkoch sedan Nätverkssäkerhetsgrupp.

  3. På sidan Skapa nätverkssäkerhetsgrupp går du till fliken Grunder och anger värden för följande inställningar:

    Inställning Åtgärd
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj en befintlig resursgrupp eller välj Skapa ny om du vill skapa en ny resursgrupp.
    Namn Ange en unik textsträng inom en resursgrupp.
    Region Välj den plats du vill använda.
  4. Välj Granska + skapa.

  5. När du ser meddelandet Verifiering godkänd väljer du Skapa.

Kommandon

Verktyg Kommando
Azure CLI az network nsg create
PowerShell New-AzNetworkSecurityGroup

Visa alla nätverkssäkerhetsgrupper

Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper. Listan över nätverkssäkerhetsgrupper visas för din prenumeration.

Kommandon

Verktyg Kommando
Azure CLI az network nsg list
PowerShell Get-AzNetworkSecurityGroup

Visa information om en nätverkssäkerhetsgrupp

  1. Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper.

  2. Välj namnet på nätverkssäkerhetsgruppen.

I menyraden i säkerhetsgruppen under Inställningarkan du visa de säkerhetsregler för inkommandetrafik,utgående säkerhetsregler, nätverksgränssnitt och undernät som nätverkssäkerhetsgruppen är kopplad till.

Under Övervakningkan du aktivera eller inaktivera Diagnostikinställningar. Under Support + felsökningkan du se Gällande säkerhetsregler. Mer information finns i Diagnostikloggning för en nätverkssäkerhetsgrupp och Diagnostisera ett problem med ETT VM-nätverkstrafikfilter.

Mer information om de vanliga Azure-inställningarna finns i följande artiklar:

Kommandon

Verktyg Kommando
Azure CLI az network nsg show
PowerShell Get-AzNetworkSecurityGroup

Ändra en säkerhetsgrupp för nätverk

  1. Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper.

  2. Markera namnet på den nätverkssäkerhetsgrupp som du vill ändra.

De vanligaste ändringarna är att lägga till en säkerhetsregel ,ta bort en regel och koppla eller inaktivera en nätverkssäkerhetsgrupp till eller från ett undernät eller nätverksgränssnitt.

Kommandon

Verktyg Kommando
Azure CLI az network nsg update
PowerShell Set-AzNetworkSecurityGroup

Koppla eller bort en nätverkssäkerhetsgrupp till eller från ett undernät eller nätverksgränssnitt

Information om hur du kopplar en nätverkssäkerhetsgrupp till eller inte är en nätverkssäkerhetsgrupp från ett nätverksgränssnitt finns i Koppla en nätverkssäkerhetsgrupp till eller separera en nätverkssäkerhetsgrupp från ett nätverksgränssnitt. Information om hur du kopplar en nätverkssäkerhetsgrupp till eller inaktiverar en nätverkssäkerhetsgrupp från ett undernät finns i Ändra inställningar för undernät.

Ta bort en säkerhetsgrupp för nätverk

Om en nätverkssäkerhetsgrupp är kopplad till något undernät eller nätverksgränssnitt kan den inte tas bort. Avaktivera en nätverkssäkerhetsgrupp från alla undernät och nätverksgränssnitt innan du försöker ta bort den.

  1. Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper.

  2. Markera namnet på den nätverkssäkerhetsgrupp som du vill ta bort.

  3. Välj Ta bort i verktygsfältet för nätverkssäkerhetsgruppen. Välj sedan Ja i bekräftelsedialogrutan.

Kommandon

Verktyg Kommando
Azure CLI az network nsg delete
PowerShell Remove-AzNetworkSecurityGroup

Arbeta med säkerhetsregler

En nätverkssäkerhetsgrupp innehåller noll eller fler säkerhetsregler. Du kan skapa, visa alla, visa information om, ändra ochta bort en säkerhetsregel.

Skapa en säkerhetsregel

Det finns en gräns för hur många regler per nätverkssäkerhetsgrupp du kan skapa för varje Azure-plats och -prenumeration. Mer information finns i Begränsningar för Azure-prenumerationer och -tjänster, kvoter och begränsningar.

  1. Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper.

  2. Välj namnet på den nätverkssäkerhetsgrupp som du vill lägga till en säkerhetsregel för.

  3. Välj Säkerhetsregler för inkommande eller utgående i menyraden för gruppen nätverkssäkerhet.

    Flera befintliga regler visas, bland annat vissa som du kanske inte har lagt till. När du skapar en nätverkssäkerhetsgrupp skapas flera standardsäkerhetsregler i den. Mer information finns i standardsäkerhetsregler. Du kan inte ta bort standardsäkerhetsregler, men du kan åsidosätta dem med regler med högre prioritet.

  4. Välj . Välj eller lägg till värden för följande inställningar och välj sedan OK:

    Inställning Värde Information
    Källa Något av följande:
    • Alla
    • IP-adresser
    • Service Tag (regel för inkommande säkerhet) eller VirtualNetwork (utgående säkerhetsregel)
    • Programsäkerhetsgrupp

    Om du väljer IP-adressermåste du också ange käll-IP-adresser/CIDR-intervall.

    Om du väljer Tjänsttaggkan du även välja en källtjänsttagg.

    Om du väljer Programsäkerhetsgrupp, måste du också välja en befintlig programsäkerhetsgrupp. Om du väljer Programsäkerhetsgrupp för både Källa och Målmåste nätverksgränssnitten inom båda programsäkerhetsgrupperna finnas i samma virtuella nätverk.

    KÄLL-IP-adresser/CIDR-intervall En kommaavgränsad lista med IP-adresser och CIDR-intervall (Classless Interdomain Routing)

    Den här inställningen visas om du ändrar Källa till IP-adresser. Du måste ange ett enskilt värde eller en kommaavgränsad lista med flera värden. Ett exempel på flera värden är 10.0.0.0/16, 192.188.1.1 . Det finns gränser för antalet värden som du kan ange. Mer information finns i Azure-begränsningar.

    Om den IP-adress som du anger är tilldelad en Azure VM anger du dess privata IP-adress, inte dess offentliga IP-adress. Azure bearbetar säkerhetsregler efter att den har omvandlat den offentliga IP-adressen till en privat IP-adress för säkerhetsregler för inkommande trafik, men innan den översätter en privat IP-adress till en offentlig IP-adress för utgående regler. Mer information om offentliga och privata IP-adresser i Azure finns i IP-adresstyper.

    Källtjänsttagg En tjänsttagg från listrutan Den här valfria inställningen visas om du anger Tjänsttaggför källa för en inkommande säkerhetsregel. En tjänsttagg är en fördefinierad identifierare för en kategori med IP-adresser. Mer information om tillgängliga tjänsttaggar och vad respektive tagg representerar finns i Tjänsttaggar.
    Säkerhetsgrupp för källprogram En befintlig programsäkerhetsgrupp Den här inställningen visas om du ställer in Käll till Programsäkerhetsgrupp. Välj en programsäkerhetsgrupp som finns i samma region som nätverksgränssnittet. Lär dig hur du skapar en programsäkerhetsgrupp.
    Källportintervall Något av följande:
    • En enda port, till exempel 80
    • Ett intervall av portar, till exempel 1024-65535
    • En kommaavgränsad lista med enskilda portar och/eller portintervall, till exempel 80, 1024-65535
    • En asterisk ( * ) för att tillåta trafik på en port
    Den här inställningen anger vilka portar som regeln tillåter eller nekar trafik på. Det finns gränser för antalet portar du kan ange. Mer information finns i Azure-begränsningar.
    Mål Något av följande:
    • Alla
    • IP-adresser
    • Service Tag (utgående säkerhetsregel) eller VirtualNetwork (regel för inkommande säkerhet)
    • Programsäkerhetsgrupp

    Om du väljer IP-adresseranger du även IP-måladresser/CIDR-intervall.

    Om du väljer VirtualNetworktillåts trafik till alla IP-adresser i det virtuella nätverkets adressutrymme. VirtualNetwork är en tjänsttagg.

    Om du väljer Programsäkerhetsgruppmåste du sedan välja en befintlig programsäkerhetsgrupp. Lär dig hur du skapar en programsäkerhetsgrupp.

    Mål-IP-adresser/CIDR-intervall En kommaavgränsad lista med IP-adresser och CIDR-intervall

    Den här inställningen visas om du ändrar Mål till IP-adresser. På liknande sätt somkäll- och käll-IP-adresser/CIDR-intervallkan du ange en eller flera adresser eller områden. Det finns gränser för det antal som du kan ange. Mer information finns i Azure-begränsningar.

    Om den IP-adress som du anger är tilldelad till en Azure VM ska du kontrollera att du anger dess privata IP, inte dess offentliga IP-adress. Azure bearbetar säkerhetsregler efter att den har omvandlat den offentliga IP-adressen till en privat IP-adress för regler för inkommande trafik, men innan Azure översätter en privat IP-adress till en offentlig IP-adress för utgående regler. Mer information om offentliga och privata IP-adresser i Azure finns i IP-adresstyper.

    Måltjänsttagg En tjänsttagg från listrutan Den här valfria inställningen visas om du ändrar Destination till Service Tag för en utgående säkerhetsregel. En tjänsttagg är en fördefinierad identifierare för en kategori med IP-adresser. Mer information om tillgängliga tjänsttaggar och vad respektive tagg representerar finns i Tjänsttaggar.
    Säkerhetsgrupp för målprogram En befintlig programsäkerhetsgrupp Den här inställningen visas om du anger Mål till application security group. Välj en programsäkerhetsgrupp som finns i samma region som nätverksgränssnittet. Lär dig hur du skapar en programsäkerhetsgrupp.
    Målportintervall Något av följande:
    • En enda port, till exempel 80
    • Ett intervall av portar, till exempel 1024-65535
    • En kommaavgränsad lista med enskilda portar och/eller portintervall, till exempel 80, 1024-65535
    • En asterisk ( * ) för att tillåta trafik på en port
    Precis som med Källportintervallkan du ange en eller flera portar och områden. Det finns gränser för det antal som du kan ange. Mer information finns i Azure-begränsningar.
    Protocol Alla, TCP,UDPeller ICMP Du kan begränsa regeln till TCP (Transmission Control Protocol), UDP (User Datagram Protocol) eller ICMP (Internet Control Message Protocol). Standardinställningen är att regeln tillämpas på alla protokoll.
    Åtgärd Tillåteller Neka Den här inställningen anger om den här regeln tillåter eller nekar åtkomst för den angivna käll- och målkonfigurationen.
    Prioritet Ett värde mellan 100 och 4096 som är unikt för alla säkerhetsregler i nätverkssäkerhetsgruppen Azure bearbetar säkerhetsregler i prioritetsordning. Ju lägre tal, desto högre prioritet. Vi rekommenderar att du lämnar ett mellanrum mellan prioritetsnummer när du skapar regler, till exempel 100, 200 och 300. Att lämna luckor gör det enklare att lägga till regler i framtiden, så att du kan ge dem högre eller lägre prioritet än befintliga regler.
    Namn Ett unikt namn på regeln i säkerhetsgruppen i nätverket Namnet kan vara upp till 80 tecken. Den måste börja med en bokstav eller ett nummer och måste avslutas med en bokstav, ett nummer eller ett understreck. Namnet får endast innehålla bokstäver, siffror, understreck, punkter eller bindestreck.
    Beskrivning En textbeskrivning Om du vill kan du ange en textbeskrivning för säkerhetsregeln. Beskrivningen får inte vara längre än 140 tecken.

Kommandon

Verktyg Kommando
Azure CLI az network nsg rule create
PowerShell New-AzNetworkSecurityRuleConfig

Visa alla säkerhetsregler

En nätverkssäkerhetsgrupp innehåller noll eller fler regler. Mer information om den information som visas när du visar regler finns i Översikt över säkerhetsgrupp för nätverk.

  1. Gå till Azure Portal för att visa reglerna för en nätverkssäkerhetsgrupp. Sök efter och välj Nätverkssäkerhetsgrupper.

  2. Markera namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.

  3. Välj Säkerhetsregler för inkommande eller utgående i menyraden för gruppen nätverkssäkerhet.

Listan innehåller alla regler som du har skapat och nätverkssäkerhetsgruppens standardsäkerhetsregler.

Kommandon

Verktyg Kommando
Azure CLI az network nsg rule list
PowerShell Get-AzNetworkSecurityRuleConfig

Visa information om en säkerhetsregel

  1. Gå till Azure Portal för att visa reglerna för en nätverkssäkerhetsgrupp. Sök efter och välj Nätverkssäkerhetsgrupper.

  2. Markera namnet på den nätverkssäkerhetsgrupp som du vill visa information om en regel för.

  3. Välj Säkerhetsregler för inkommande eller utgående i menyraden för gruppen nätverkssäkerhet.

  4. Välj den regel som du vill visa information om. En förklaring av alla inställningar finns i Inställningar för säkerhetsregel.

    Obs!

    Den här proceduren gäller endast för en anpassad säkerhetsregel. Det fungerar inte om du väljer en standardsäkerhetsregel.

Kommandon

Verktyg Kommando
Azure CLI az network nsg rule show
PowerShell Get-AzNetworkSecurityRuleConfig

Ändra en säkerhetsregel

  1. Utför stegen i Visa information om en säkerhetsregel.

  2. Ändra inställningarna efter behov och välj sedan Spara. En förklaring av alla inställningar finns i Inställningar för säkerhetsregel.

    Obs!

    Den här proceduren gäller endast för en anpassad säkerhetsregel. Du får inte ändra en standardsäkerhetsregel.

Kommandon

Verktyg Kommando
Azure CLI az network nsg rule update
PowerShell Set-AzNetworkSecurityRuleConfig

Ta bort en säkerhetsregel

  1. Utför stegen i Visa information om en säkerhetsregel.

  2. Välj Tabort och välj sedan Ja.

    Obs!

    Den här proceduren gäller endast för en anpassad säkerhetsregel. Du får inte ta bort en standardsäkerhetsregel.

Kommandon

Verktyg Kommando
Azure CLI az network nsg rule delete
PowerShell Remove-AzNetworkSecurityRuleConfig

Arbeta med programsäkerhetsgrupper

En programsäkerhetsgrupp innehåller noll eller fler nätverksgränssnitt. Mer information finns i programsäkerhetsgrupper. Alla nätverksgränssnitt i en programsäkerhetsgrupp måste finnas i samma virtuella nätverk. Mer information om hur du lägger till ett nätverksgränssnitt till en programsäkerhetsgrupp finns i Lägga till ett nätverksgränssnitt till en programsäkerhetsgrupp.

Skapa en programsäkerhetsgrupp

  1. Azure Portal-menyn eller på startsidan väljer du Skapa en resurs.

  2. I sökrutan anger du Programsäkerhetsgrupp.

  3. På sidan Programsäkerhetsgrupp väljer du Skapa.

  4. På sidan Skapa en programsäkerhetsgrupp går du till fliken Grunder och anger värden för följande inställningar:

    Inställning Åtgärd
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj en befintlig resursgrupp eller välj Skapa ny om du vill skapa en ny resursgrupp.
    Namn Ange en unik textsträng inom en resursgrupp.
    Region Välj den plats du vill använda.
  5. Välj Granska + skapa.

  6. När du ser meddelandet Verifiering godkänd under fliken Granska + skapa väljer du Skapa.

Kommandon

Verktyg Kommando
Azure CLI az network asg create
PowerShell New-AzApplicationSecurityGroup

Visa alla programsäkerhetsgrupper

Gå till Azure Portal för att visa dina programsäkerhetsgrupper. Sök efter och välj Programsäkerhetsgrupper. Azure Portal visar en lista över dina programsäkerhetsgrupper.

Kommandon

Verktyg Kommando
Azure CLI az network asg list
PowerShell Get-AzApplicationSecurityGroup

Visa information om en specifik programsäkerhetsgrupp

  1. Gå till Azure Portal för att visa en programsäkerhetsgrupp. Sök efter och välj Programsäkerhetsgrupper.

  2. Markera namnet på den programsäkerhetsgrupp som du vill visa information om.

Kommandon

Verktyg Kommando
Azure CLI az network asg show
PowerShell Get-AzApplicationSecurityGroup

Ändra en programsäkerhetsgrupp

  1. Gå till Azure Portal för att visa en programsäkerhetsgrupp. Sök efter och välj Programsäkerhetsgrupper.

  2. Markera namnet på den programsäkerhetsgrupp som du vill ändra.

  3. Välj Ändra bredvid den inställning som du vill ändra. Du kan till exempel lägga till eller ta bort Taggareller ändra gruppen Resurs eller Prenumeration.

    Obs!

    Du kan inte ändra platsen.

    I menyraden kan du också välja Åtkomstkontroll (IAM). På sidan Åtkomstkontroll (IAM) kan du tilldela eller ta bort behörigheter till programmets säkerhetsgrupp.

Kommandon

Verktyg Kommando
Azure CLI az network asg update
PowerShell Ingen PowerShell-cmdlet

Ta bort en programsäkerhetsgrupp

Du kan inte ta bort programsäkerhetsgruppen om den innehåller något nätverksgränssnitt. Om du vill ta bort alla nätverksgränssnitt från programsäkerhetsgruppen ändrar du antingen inställningarna för nätverksgränssnittet eller tar bort nätverksgränssnitten. Mer information finns i Lägga till i eller ta bort från programsäkerhetsgrupper eller Ta bort ett nätverksgränssnitt.

  1. Gå till Azure Portal för att hantera dina programsäkerhetsgrupper. Sök efter och välj Programsäkerhetsgrupper.

  2. Markera namnet på den programsäkerhetsgrupp som du vill ta bort.

  3. Välj Tabort och välj sedan Ja för att ta bort programmets säkerhetsgrupp.

Kommandon

Verktyg Kommando
Azure CLI az network asg delete
PowerShell Remove-AzApplicationSecurityGroup

Behörigheter

Om du vill utföra uppgifter i nätverkssäkerhetsgrupper, säkerhetsregler och programsäkerhetsgrupper måste ditt konto tilldelas rollen Nätverksdeltagare eller en anpassad roll som har tilldelats lämpliga behörigheter enligt följande tabeller:

Säkerhetsgrupp för nätverk

Åtgärd Namn
Microsoft.Network/networkSecurityGroups/read Skaffa en nätverkssäkerhetsgrupp
Microsoft.Network/networkSecurityGroups/write Skapa eller uppdatera säkerhetsgrupp för nätverk
Microsoft.Network/networkSecurityGroups/delete Ta bort säkerhetsgrupp för nätverk
Microsoft.Network/networkSecurityGroups/join/action Koppla en nätverkssäkerhetsgrupp till ett undernät eller nätverksgränssnitt

Obs!

För att write utföra åtgärder i en nätverkssäkerhetsgrupp måste prenumerationskontot ha minst behörigheter för read resursgrupp tillsammans med Microsoft.Network/networkSecurityGroups/write behörighet.

Regel för säkerhetsgrupper i nätverket

Åtgärd Namn
Microsoft.Network/networkSecurityGroups/securityRules/read Skaffa regel
Microsoft.Network/networkSecurityGroups/securityRules/write Skapa eller uppdatera regel
Microsoft.Network/networkSecurityGroups/securityRules/delete Ta bort regel

Programsäkerhetsgrupp

Åtgärd Namn
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action Ansluta till en IP-konfiguration till en programsäkerhetsgrupp
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action Koppla en säkerhetsregel till en programsäkerhetsgrupp
Microsoft.Network/applicationSecurityGroups/read Hämta en programsäkerhetsgrupp
Microsoft.Network/applicationSecurityGroups/write Skapa eller uppdatera en programsäkerhetsgrupp
Microsoft.Network/applicationSecurityGroups/delete Ta bort en programsäkerhetsgrupp

Nästa steg