Skapa, ändra eller ta bort en nätverkssäkerhetsgrupp
Med säkerhetsregler i nätverkssäkerhetsgrupper kan du filtrera den typ av nätverkstrafik som kan flöda in och ut från virtuella nätverksundernät och nätverksgränssnitt. Mer information om nätverkssäkerhetsgrupper finns i Översikt över nätverkssäkerhetsgrupper. Slutför sedan självstudien Filtrera nätverkstrafik för att få lite erfarenhet av nätverkssäkerhetsgrupper.
Innan du börjar
Anteckning
I den här artikeln används Azure Az PowerShell-modulen, som är den rekommenderade PowerShell-modulen för att interagera med Azure. För att komma igång med Az PowerShell kan du läsa artikeln om att installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Om du inte har ett konto kan du konfigurera ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad. Utför någon av dessa uppgifter innan du påbörjar resten av den här artikeln:
Portalanvändare: Logga in på Azure Portal med ditt Azure-konto.
PowerShell-användare: Kör antingen kommandona i Azure Cloud Shelleller kör PowerShell från datorn. Azure Cloud Shell är ett interaktivt gränssnitt som du kan använda för att utföra stegen i den här artikeln. Den har vanliga Azure-verktyg förinstallerat och har konfigurerats för användning med ditt konto. På Azure Cloud Shell webbläsarflik hittar du listrutan Välj miljö och väljer sedan PowerShell om det inte redan är markerat.
Om du kör PowerShell lokalt använder du Azure PowerShell version 1.0.0 eller senare. Kör
Get-Module -ListAvailable Az.Networkför att hitta den installerade versionen. Om du behöver uppgradera kan du läsa Install Azure PowerShell module (Installera Azure PowerShell-modul). KörConnect-AzAccountför att skapa en anslutning med Azure.Azure CLI-användare (Command-Line Interface): Kör antingen kommandona i Azure Cloud Shelleller kör CLI från datorn. Använd Azure CLI version 2.0.28 eller senare om du kör Azure CLI lokalt. Kör
az --versionför att hitta den installerade versionen. Om du behöver installera eller uppgradera kan du läsa Installera Azure CLI. Köraz loginför att skapa en anslutning med Azure.
Det konto som du loggar in på eller ansluter till Azure med måste tilldelas rollen Nätverksdeltagare eller till en anpassad roll som har tilldelats lämpliga åtgärder som anges i Behörigheter.
Arbeta med nätverkssäkerhetsgrupper
Du kan skapa, visa alla, visa information om, ändraoch ta bort en nätverkssäkerhetsgrupp. Du kan också associera eller koppla bort en nätverkssäkerhetsgrupp från ett nätverksgränssnitt eller undernät.
Skapa en nätverkssäkerhetsgrupp
Det finns en gräns för hur många nätverkssäkerhetsgrupper du kan skapa för varje Azure-plats och -prenumeration. Mer information finns i Azure-prenumeration och tjänstbegränsningar, kvoter och begränsningar.
I menyn i Azure-portalen eller på sidan Start väljer du Skapa en resurs.
Välj Nätverk och sedan Nätverkssäkerhetsgrupp.
På sidan Skapa nätverkssäkerhetsgrupp går du till fliken Grundläggande inställningar och anger värden för följande inställningar:
Inställning Åtgärd Prenumeration Välj din prenumeration. Resursgrupp Välj en befintlig resursgrupp eller välj Skapa ny för att skapa en ny resursgrupp. Namn Ange en unik textsträng i en resursgrupp. Region Välj den plats som du vill använda. Välj Granska + skapa.
När du ser meddelandet Valideringen har godkänts väljer du Skapa.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg create |
| PowerShell | New-AzNetworkSecurityGroup |
Visa alla nätverkssäkerhetsgrupper
Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper. Listan över nätverkssäkerhetsgrupper visas för din prenumeration.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg list |
| PowerShell | Get-AzNetworkSecurityGroup |
Visa information om en nätverkssäkerhetsgrupp
Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper.
Välj namnet på nätverkssäkerhetsgruppen.
På menyraden i nätverkssäkerhetsgruppen, under Inställningar, kan du visa de inkommande säkerhetsreglerna , utgående säkerhetsregler, nätverksgränssnitt och undernät som nätverkssäkerhetsgruppen är associerad med.
Under Övervakning kan du aktivera eller inaktivera diagnostikinställningar. Under Support + felsökning kan du visa Gällande säkerhetsregler. Mer information finns i Diagnostisk loggning för en nätverkssäkerhetsgrupp och Diagnostisera problem med filtrering av VM-nätverkstrafik.
Mer information om vanliga Azure-inställningar finns i följande artiklar:
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg show |
| PowerShell | Get-AzNetworkSecurityGroup |
Ändra en nätverkssäkerhetsgrupp
Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper.
Välj namnet på den nätverkssäkerhetsgrupp som du vill ändra.
De vanligaste ändringarna är att lägga till en säkerhetsregel, ta bort en regel och associera eller koppla bort en nätverkssäkerhetsgrupp till eller från ett undernät eller nätverksgränssnitt.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg update |
| PowerShell | Set-AzNetworkSecurityGroup |
Associera eller koppla bort en nätverkssäkerhetsgrupp till eller från ett undernät eller nätverksgränssnitt
Information om hur du associerar en nätverkssäkerhetsgrupp med eller kopplar bort en nätverkssäkerhetsgrupp från ett nätverksgränssnitt finns i Associera en nätverkssäkerhetsgrupp till eller koppla bort en nätverkssäkerhetsgrupp från ett nätverksgränssnitt. Information om hur du associerar en nätverkssäkerhetsgrupp med eller kopplar bort en nätverkssäkerhetsgrupp från ett undernät finns i Ändra undernätsinställningar.
Ta bort en nätverkssäkerhetsgrupp
Om en nätverkssäkerhetsgrupp är associerad med undernät eller nätverksgränssnitt kan den inte tas bort. Ta bort en nätverkssäkerhetsgrupp från alla undernät och nätverksgränssnitt innan du försöker ta bort den.
Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper.
Välj namnet på den nätverkssäkerhetsgrupp som du vill ta bort.
I verktygsfältet för nätverkssäkerhetsgruppen väljer du Ta bort. Välj sedan Ja i bekräftelsedialogrutan.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg delete |
| PowerShell | Remove-AzNetworkSecurityGroup |
Arbeta med säkerhetsregler
En nätverkssäkerhetsgrupp innehåller noll eller flera säkerhetsregler. Du kan skapa, visa alla, visa information om, ändraoch ta bort en säkerhetsregel.
Skapa en säkerhetsregel
Det finns en gräns för hur många regler per nätverkssäkerhetsgrupp du kan skapa för varje Azure-plats och -prenumeration. Mer information finns i Azure-prenumeration och tjänstbegränsningar, kvoter och begränsningar.
Gå till Azure Portal för att visa dina nätverkssäkerhetsgrupper. Sök efter och välj Nätverkssäkerhetsgrupper.
Välj namnet på den nätverkssäkerhetsgrupp som du vill lägga till en säkerhetsregel i.
På menyraden för nätverkssäkerhetsgruppen väljer du Inkommande säkerhetsregler eller Utgående säkerhetsregler.
Flera befintliga regler visas, inklusive vissa som du kanske inte har lagt till. När du skapar en nätverkssäkerhetsgrupp skapas flera standardsäkerhetsregler i den. Mer information finns i standardsäkerhetsreglerna. Du kan inte ta bort standardsäkerhetsregler, men du kan åsidosätta dem med regler som har högre prioritet.
Välj Lägg till. Välj eller lägg till värden för följande inställningar och välj sedan OK:
Inställning Värde Information Källa Något av följande: - Alla
- IP-adresser
- Tjänsttagg (inkommande säkerhetsregel) eller VirtualNetwork (utgående säkerhetsregel)
- ** Programsäkerhetsgrupp**
Om du väljer IP-adresser måste du också ange källans IP-adresser/CIDR-intervall.
Om du väljer Tjänsttagg kan du även välja källtjänsttaggen.
Om du väljer Programsäkerhetsgrupp måste du också välja en befintlig programsäkerhetsgrupp. Om du väljer Programsäkerhetsgrupp för både Källa och Mål måste nätverksgränssnitten i båda programsäkerhetsgrupperna finnas i samma virtuella nätverk.
Källans IP-adresser/CIDR-intervall En kommaavgränsad lista över IP-adresser och CIDR-intervall (Classless Interdomain Routing) Den här inställningen visas om du ändrar Källa till IP-adresser. Du måste ange ett enskilt värde eller en kommaavgränsad lista med flera värden. Ett exempel på flera värden är
10.0.0.0/16, 192.188.1.1. Det finns gränser för antalet värden som du kan ange. Mer information finns i Azure-gränser.Om den IP-adress som du anger är tilldelad till en virtuell Azure-dator anger du dess privata IP-adress, inte dess offentliga IP-adress. Azure bearbetar säkerhetsregler när den offentliga IP-adressen har översätts till en privat IP-adress för inkommande säkerhetsregler, men innan den översätter en privat IP-adress till en offentlig IP-adress för utgående regler. Mer information om offentliga och privata IP-adresser i Azure finns i IP-adresstyper.
Källtjänsttagg En tjänsttagg från listrutan Den här valfria inställningen visas om du ställer in Källa på Tjänsttagg för en inkommande säkerhetsregel. En tjänsttagg är en fördefinierad identifierare för en kategori med IP-adresser. Mer information om tillgängliga tjänsttaggar och vad varje tagg representerar finns i Tjänsttaggar. Källprogramsäkerhetsgrupp En befintlig programsäkerhetsgrupp Den här inställningen visas om du ställer in Källa på Programsäkerhetsgrupp. Välj en programsäkerhetsgrupp som finns i samma region som nätverksgränssnittet. Lär dig hur du skapar en programsäkerhetsgrupp. Källportintervall Något av följande: - En enda port, till exempel
80 - Ett portintervall, till exempel
1024-65535 - En kommaavgränsad lista över enskilda portar och/eller portintervall, till exempel
80, 1024-65535 - En asterisk (
*) för att tillåta trafik på valfri port
Den här inställningen anger vilka portar som regeln tillåter eller nekar trafik på. Det finns gränser för antalet portar som du kan ange. Mer information finns i Azure-gränser. Mål Något av följande: - Alla
- IP-adresser
- Tjänsttagg (utgående säkerhetsregel) eller VirtualNetwork (inkommande säkerhetsregel)
- ** Programsäkerhetsgrupp**
Om du väljer IP-adresser anger du även Mål-IP-adresser/CIDR-intervall.
Om du väljer VirtualNetwork tillåts trafik till alla IP-adresser inom det virtuella nätverkets adressutrymme. VirtualNetwork är en tjänsttagg.
Om du väljer Programsäkerhetsgrupp måste du sedan välja en befintlig programsäkerhetsgrupp. Lär dig hur du skapar en programsäkerhetsgrupp.
Mål-IP-adresser/CIDR-intervall En kommaavgränsad lista över IP-adresser och CIDR-intervall Den här inställningen visas om du ändrar Mål till IP-adresser. På samma sätt som käll- och käll-IP-adresser/CIDR-intervall kan du ange en eller flera adresser eller intervall. Det finns gränser för det antal som du kan ange. Mer information finns i Azure-gränser.
Om den IP-adress som du anger är tilldelad till en virtuell Azure-dator måste du se till att du anger dess privata IP-adress, inte dess offentliga IP-adress. Azure bearbetar säkerhetsregler när den offentliga IP-adressen har översätts till en privat IP-adress för inkommande säkerhetsregler, men innan Azure översätter en privat IP-adress till en offentlig IP-adress för utgående regler. Mer information om offentliga och privata IP-adresser i Azure finns i IP-adresstyper.
Måltjänsttagg En tjänsttagg från listrutan Den här valfria inställningen visas om du ändrar Mål till Tjänsttagg för en utgående säkerhetsregel. En tjänsttagg är en fördefinierad identifierare för en kategori med IP-adresser. Mer information om tillgängliga tjänsttaggar och vad varje tagg representerar finns i Tjänsttaggar. Målprogramsäkerhetsgrupp En befintlig programsäkerhetsgrupp Den här inställningen visas om du anger Mål till Programsäkerhetsgrupp. Välj en programsäkerhetsgrupp som finns i samma region som nätverksgränssnittet. Lär dig hur du skapar en programsäkerhetsgrupp. Målportintervall Något av följande: - En enda port, till exempel
80 - Ett portintervall, till exempel
1024-65535 - En kommaavgränsad lista över enskilda portar och/eller portintervall, till exempel
80, 1024-65535 - En asterisk (
*) för att tillåta trafik på valfri port
Precis som med Källportintervall kan du ange en eller flera portar och intervall. Det finns gränser för det antal som du kan ange. Mer information finns i Azure-gränser. Protokoll Alla, TCP, UDP eller ICMP Du kan begränsa regeln till Transmission Control Protocol (TCP), UDP (User Datagram Protocol) eller Internet Control Message Protocol (ICMP). Standardvärdet är att regeln gäller för alla protokoll. Åtgärd Tillåt eller neka Den här inställningen anger om den här regeln tillåter eller nekar åtkomst för den angivna käll- och målkonfigurationen. Priority Ett värde mellan 100 och 4096 som är unikt för alla säkerhetsregler i nätverkssäkerhetsgruppen Azure bearbetar säkerhetsregler i prioritetsordning. Ju lägre nummer, desto högre prioritet. Vi rekommenderar att du lämnar ett mellanrum mellan prioritetsnummer när du skapar regler, till exempel 100, 200 och 300. Om du lämnar luckor blir det enklare att lägga till regler i framtiden, så att du kan ge dem högre eller lägre prioritet än befintliga regler. Namn Ett unikt namn för regeln i nätverkssäkerhetsgruppen Namnet kan vara upp till 80 tecken. Den måste börja med en bokstav eller en siffra, och den måste sluta med en bokstav, en siffra eller ett understreck. Namnet får bara innehålla bokstäver, siffror, understreck, punkter eller bindestreck. Beskrivning En textbeskrivning Du kan också ange en textbeskrivning för säkerhetsregeln. Beskrivningen får inte vara längre än 140 tecken.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg rule create |
| PowerShell | New-AzNetworkSecurityRuleConfig |
Visa alla säkerhetsregler
En nätverkssäkerhetsgrupp innehåller noll eller fler regler. Mer information om den information som visas när du visar regler finns i Översikt över nätverkssäkerhetsgrupp.
Gå till Azure Portal för att visa reglerna för en nätverkssäkerhetsgrupp. Sök efter och välj Nätverkssäkerhetsgrupper.
Välj namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.
I nätverkssäkerhetsgruppens menyrad väljer du Inkommande säkerhetsregler eller Utgående säkerhetsregler.
Listan innehåller alla regler som du har skapat och nätverkssäkerhetsgruppens standardsäkerhetsregler.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg rule list |
| PowerShell | Get-AzNetworkSecurityRuleConfig |
Visa information om en säkerhetsregel
Gå till Azure Portal för att visa reglerna för en nätverkssäkerhetsgrupp. Sök efter och välj Nätverkssäkerhetsgrupper.
Välj namnet på den nätverkssäkerhetsgrupp som du vill visa information om en regel för.
I nätverkssäkerhetsgruppens menyrad väljer du Inkommande säkerhetsregler eller Utgående säkerhetsregler.
Välj den regel som du vill visa information om. En förklaring av alla inställningar finns i Säkerhetsregelinställningar.
Anteckning
Den här proceduren gäller endast för en anpassad säkerhetsregel. Det fungerar inte om du väljer en standardsäkerhetsregel.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg rule show |
| PowerShell | Get-AzNetworkSecurityRuleConfig |
Ändra en säkerhetsregel
Slutför stegen i Visa information om en säkerhetsregel.
Ändra inställningarna efter behov och välj sedan Spara. En förklaring av alla inställningar finns i Säkerhetsregelinställningar.
Anteckning
Den här proceduren gäller endast för en anpassad säkerhetsregel. Du får inte ändra en standardsäkerhetsregel.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg rule update |
| PowerShell | Set-AzNetworkSecurityRuleConfig |
Ta bort en säkerhetsregel
Slutför stegen i Visa information om en säkerhetsregel.
Välj Ta bort och välj sedan Ja.
Anteckning
Den här proceduren gäller endast för en anpassad säkerhetsregel. Du kan inte ta bort en standardsäkerhetsregel.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network nsg rule delete |
| PowerShell | Remove-AzNetworkSecurityRuleConfig |
Arbeta med programsäkerhetsgrupper
En programsäkerhetsgrupp innehåller noll eller flera nätverksgränssnitt. Mer information finns i programsäkerhetsgrupper. Alla nätverksgränssnitt i en programsäkerhetsgrupp måste finnas i samma virtuella nätverk. Information om hur du lägger till ett nätverksgränssnitt i en programsäkerhetsgrupp finns i Lägga till ett nätverksgränssnitt i en programsäkerhetsgrupp.
Skapa en programsäkerhetsgrupp
I menyn i Azure-portalen eller på sidan Start väljer du Skapa en resurs.
I sökrutan anger du Programsäkerhetsgrupp.
På sidan Programsäkerhetsgrupp väljer du Skapa.
På sidan Skapa en programsäkerhetsgrupp går du till fliken Grundläggande inställningar och anger värden för följande inställningar:
Inställning Åtgärd Prenumeration Välj din prenumeration. Resursgrupp Välj en befintlig resursgrupp eller välj Skapa ny för att skapa en ny resursgrupp. Namn Ange en unik textsträng i en resursgrupp. Region Välj den plats som du vill använda. Välj Granska + skapa.
På fliken Granska + skapa väljer du Skapa när du ser meddelandet Valideringen skickades.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network asg create |
| PowerShell | New-AzApplicationSecurityGroup |
Visa alla programsäkerhetsgrupper
Gå till Azure Portal för att visa dina programsäkerhetsgrupper. Sök efter och välj Programsäkerhetsgrupper. I Azure Portal visas en lista över dina programsäkerhetsgrupper.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network asg list |
| PowerShell | Get-AzApplicationSecurityGroup |
Visa information om en specifik programsäkerhetsgrupp
Gå till Azure Portal för att visa en programsäkerhetsgrupp. Sök efter och välj Programsäkerhetsgrupper.
Välj namnet på den programsäkerhetsgrupp som du vill visa information om.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network asg show |
| PowerShell | Get-AzApplicationSecurityGroup |
Ändra en programsäkerhetsgrupp
Gå till Azure Portal för att visa en programsäkerhetsgrupp. Sök efter och välj Programsäkerhetsgrupper.
Välj namnet på den programsäkerhetsgrupp som du vill ändra.
Välj Ändra bredvid den inställning som du vill ändra. Du kan till exempel lägga till eller ta bort taggar, eller så kan du ändra resursgruppen eller prenumerationen.
Anteckning
Du kan inte ändra platsen.
På menyraden kan du också välja Åtkomstkontroll (IAM). På sidan Åtkomstkontroll (IAM) kan du tilldela eller ta bort behörigheter till programsäkerhetsgruppen.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network asg update |
| PowerShell | Ingen PowerShell-cmdlet |
Ta bort en programsäkerhetsgrupp
Du kan inte ta bort en programsäkerhetsgrupp om den innehåller några nätverksgränssnitt. Om du vill ta bort alla nätverksgränssnitt från programsäkerhetsgruppen ändrar du antingen inställningarna för nätverksgränssnittet eller tar bort nätverksgränssnitten. Mer information finns i Lägga till i eller ta bort från programsäkerhetsgrupper eller Ta bort ett nätverksgränssnitt.
Gå till Azure Portal för att hantera dina programsäkerhetsgrupper. Sök efter och välj Programsäkerhetsgrupper.
Välj namnet på den programsäkerhetsgrupp som du vill ta bort.
Välj Ta bort och välj sedan Ja för att ta bort programsäkerhetsgruppen.
Kommandon
| Verktyg | Kommando |
|---|---|
| Azure CLI | az network asg delete |
| PowerShell | Remove-AzApplicationSecurityGroup |
Behörigheter
Om du vill utföra uppgifter i nätverkssäkerhetsgrupper, säkerhetsregler och programsäkerhetsgrupper måste ditt konto tilldelas till rollen Nätverksdeltagare eller till en anpassad roll som har tilldelats lämpliga behörigheter enligt listan i följande tabeller:
Nätverkssäkerhetsgrupp
| Åtgärd | Name |
|---|---|
| Microsoft.Network/networkSecurityGroups/read | Hämta nätverkssäkerhetsgrupp |
| Microsoft.Network/networkSecurityGroups/write | Skapa eller uppdatera nätverkssäkerhetsgrupp |
| Microsoft.Network/networkSecurityGroups/delete | Ta bort nätverkssäkerhetsgrupp |
| Microsoft.Network/networkSecurityGroups/join/action | Associera en nätverkssäkerhetsgrupp med ett undernät eller nätverksgränssnitt |
Anteckning
Om du write vill utföra åtgärder på en nätverkssäkerhetsgrupp måste prenumerationskontot ha minst behörighet för read resursgruppen tillsammans med Microsoft.Network/networkSecurityGroups/write behörighet.
Regel för nätverkssäkerhetsgrupp
| Åtgärd | Name |
|---|---|
| Microsoft.Network/networkSecurityGroups/securityRules/read | Hämta regel |
| Microsoft.Network/networkSecurityGroups/securityRules/write | Skapa eller uppdatera regel |
| Microsoft.Network/networkSecurityGroups/securityRules/delete | Ta bort regel |
Programsäkerhetsgrupp
| Åtgärd | Name |
|---|---|
| Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action | Ansluta en IP-konfiguration till en programsäkerhetsgrupp |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Ansluta en säkerhetsregel till en programsäkerhetsgrupp |
| Microsoft.Network/applicationSecurityGroups/read | Hämta en programsäkerhetsgrupp |
| Microsoft.Network/applicationSecurityGroups/write | Skapa eller uppdatera en programsäkerhetsgrupp |
| Microsoft.Network/applicationSecurityGroups/delete | Ta bort en programsäkerhetsgrupp |
Nästa steg
- Skapa en nätverks- eller programsäkerhetsgrupp med hjälp av PowerShell- eller Azure CLI-exempelskript eller Azure Resource Manager mallar
- Skapa och tilldela Azure Policy definitioner för virtuella nätverk