NätverkssäkerhetsgrupperNetwork security groups
Du kan använda en Azure-nätverks säkerhets grupp för att filtrera nätverks trafik till och från Azure-resurser i ett virtuellt Azure-nätverk.You can use an Azure network security group to filter network traffic to and from Azure resources in an Azure virtual network. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till, eller utgående nätverkstrafik från, flera typer av Azure-resurser.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. För varje regel kan du ange källa och mål, port och protokoll.For each rule, you can specify source and destination, port, and protocol.
I den här artikeln beskrivs egenskaperna för en regel för nätverks säkerhets grupper, de Standard säkerhets regler som tillämpas och de regel egenskaper som du kan ändra för att skapa en förstärkt säkerhets regel.This article describes properties of a network security group rule, the default security rules that are applied, and the rule properties that you can modify to create an augmented security rule.
Säkerhets reglerSecurity rules
En nätverkssäkerhetsgrupp kan innehålla noll regler, eller så många regler du vill, inom Azure-prenumerationens gränser.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Varje regel anger följande egenskaper:Each rule specifies the following properties:
| EgenskapProperty | FörklaringExplanation |
|---|---|
| NamnName | Ett unikt namn inom nätverkssäkerhetsgruppen.A unique name within the network security group. |
| PrioritetPriority | Ett tal mellan 100 och 4096.A number between 100 and 4096. Regler bearbetas i prioritetsordning. Låga tal bearbetas före höga tal eftersom låga tal har högre prioritet.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. När trafiken matchar en regel avbryts bearbetningen.Once traffic matches a rule, processing stops. Det innebär att regler som har lägre prioritet (högre tal) och samma attribut som regler med högre prioritet inte bearbetas.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed. |
| Källa eller målSource or destination | Valfria, eller enskilda IP-adresser, CIDR-block (Classless Inter-Domain Routing) (t.ex. 10.0.0.0/24), tjänsttaggar eller programsäkerhetsgrupper.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Om du anger en adress för en Azure-resurs anger du den privata IP-adressen som tilldelats till resursen.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Nätverkssäkerhetsgrupper bearbetas efter att Azure omvandlar en offentlig IP-adress till en privat IP-adress för inkommande trafik, och innan Azure omvandlar en privat IP-adress till en offentlig IP-adress för utgående trafik.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. .. Du kan begränsa antalet säkerhetsregler du skapar genom att ange ett intervall, en tjänsttagg eller en programsäkerhetsgrupp.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. Möjligheten att ange flera enskilda IP-adresser och intervall (du kan inte ange flera tjänsttaggar eller programgrupper) i en regel kallas förhöjda säkerhetsregler.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Förhöjda säkerhetsregler kan bara skapas i nätverkssäkerhetsgrupper som skapats genom Resource Manager-distributionsmodellen.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Du kan inte ange flera IP-adresser och IP-adressintervall i nätverkssäkerhetsgrupper som skapats via den klassiska distributionsmodellen.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. |
| ProtokollProtocol | TCP, UDP, ICMP, ESP, AH eller någon.TCP, UDP, ICMP, ESP, AH, or Any. |
| RiktningDirection | Om regeln gäller för inkommande eller utgående trafik.Whether the rule applies to inbound, or outbound traffic. |
| PortintervallPort range | Du kan ange en enskild port eller ett portintervall.You can specify an individual or range of ports. Du kan till exempel ange 80 eller 10000–10005.For example, you could specify 80 or 10000-10005. Om du anger intervall behöver du inte skapa lika många säkerhetsregler.Specifying ranges enables you to create fewer security rules. Förhöjda säkerhetsregler kan bara skapas i nätverkssäkerhetsgrupper som skapats genom Resource Manager-distributionsmodellen.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Du kan inte ange flera portar eller portintervall i samma säkerhetsregel i nätverkssäkerhetsgrupper som skapats med den klassiska distributionsmodellen.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model. |
| ActionAction | Tillåt eller nekaAllow or deny |
Säkerhetsregler för nätverkssäkerhetsgrupper utvärderas baserat på prioritet med hjälp av 5-tuppelinformationen (källa, källport, mål, målport och protokoll) för att tillåta eller neka trafik.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Du får inte skapa två säkerhets regler med samma prioritet och riktning.You may not create two security rules with the same priority and direction. En flödespost skapas för befintliga anslutningar.A flow record is created for existing connections. Kommunikation tillåts eller nekas baserat på flödespostens anslutningsstatus.Communication is allowed or denied based on the connection state of the flow record. Flödesposten gör att en nätverkssäkerhetsgrupp kan vara tillståndskänslig.The flow record allows a network security group to be stateful. Om du till exempel anger en utgående säkerhetsregel till en adress via port 80, behöver du inte ange en inkommande säkerhetsregel för svar på utgående trafik.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Du behöver bara ange en inkommande säkerhetsregel om kommunikationen initieras externt.You only need to specify an inbound security rule if communication is initiated externally. Även det motsatta gäller.The opposite is also true. Om inkommande trafik tillåts via en port, behöver du inte ange en utgående säkerhetsregel för svar på trafik via porten.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port.
Befintliga anslutningar kanske inte avbryts när du tar bort en säkerhetsregel som aktiverade flödet.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Trafikflöden avbryts när anslutningar har stoppats och ingen trafik passerar i endera riktning under minst ett par minuter.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.
Det finns gränser för hur många säkerhetsregler du kan skapa i en nätverkssäkerhetsgrupp.There are limits to the number of security rules you can create in a network security group. Läs mer i informationen om begränsningar för Azure.For details, see Azure limits.
Standard säkerhets reglerDefault security rules
Azure skapar följande standardregler i varje nätverkssäkerhetsgrupp som du skapar:Azure creates the following default rules in each network security group that you create:
InkommandeInbound
AllowVNetInBoundAllowVNetInBound
| PrioritetPriority | KällaSource | KällportarSource ports | MålDestination | MålportarDestination ports | ProtokollProtocol | AccessAccess |
|---|---|---|---|---|---|---|
| 6500065000 | VirtualNetworkVirtualNetwork | 0-655350-65535 | VirtualNetworkVirtualNetwork | 0-655350-65535 | ValfriAny | TillåtAllow |
AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound
| PrioritetPriority | KällaSource | KällportarSource ports | MålDestination | MålportarDestination ports | ProtokollProtocol | AccessAccess |
|---|---|---|---|---|---|---|
| 6500165001 | AzureLoadBalancerAzureLoadBalancer | 0-655350-65535 | 0.0.0.0/00.0.0.0/0 | 0-655350-65535 | ValfriAny | TillåtAllow |
DenyAllInboundDenyAllInbound
| PrioritetPriority | KällaSource | KällportarSource ports | MålDestination | MålportarDestination ports | ProtokollProtocol | AccessAccess |
|---|---|---|---|---|---|---|
| 6550065500 | 0.0.0.0/00.0.0.0/0 | 0-655350-65535 | 0.0.0.0/00.0.0.0/0 | 0-655350-65535 | ValfriAny | NekaDeny |
UtgåendeOutbound
AllowVnetOutBoundAllowVnetOutBound
| PrioritetPriority | KällaSource | KällportarSource ports | MålDestination | MålportarDestination ports | ProtokollProtocol | AccessAccess |
|---|---|---|---|---|---|---|
| 6500065000 | VirtualNetworkVirtualNetwork | 0-655350-65535 | VirtualNetworkVirtualNetwork | 0-655350-65535 | ValfriAny | TillåtAllow |
AllowInternetOutBoundAllowInternetOutBound
| PrioritetPriority | KällaSource | KällportarSource ports | MålDestination | MålportarDestination ports | ProtokollProtocol | AccessAccess |
|---|---|---|---|---|---|---|
| 6500165001 | 0.0.0.0/00.0.0.0/0 | 0-655350-65535 | InternetInternet | 0-655350-65535 | ValfriAny | TillåtAllow |
DenyAllOutBoundDenyAllOutBound
| PrioritetPriority | KällaSource | KällportarSource ports | MålDestination | MålportarDestination ports | ProtokollProtocol | AccessAccess |
|---|---|---|---|---|---|---|
| 6550065500 | 0.0.0.0/00.0.0.0/0 | 0-655350-65535 | 0.0.0.0/00.0.0.0/0 | 0-655350-65535 | ValfriAny | NekaDeny |
I kolumnerna Källa och Mål är VirtualNetwork, AzureLoadBalancer, och Internet så kallade tjänsttaggar, inte IP-adresser.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. I kolumnen protokoll finns alla kompasser TCP, UDP och ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. När du skapar en regel kan du ange TCP, UDP, ICMP eller valfri.When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 i kolumnerna Källa och Mål representerar alla adresser.0.0.0.0/0 in the Source and Destination columns represents all addresses. Klienter som Azure Portal, Azure CLI eller PowerShell kan använda * eller något av detta uttryck.Clients like Azure portal, Azure CLI, or PowerShell can use * or any for this expression.
Du kan inte ta bort standardreglerna, men du kan åsidosätta dem genom att skapa regler med högre prioritet.You cannot remove the default rules, but you can override them by creating rules with higher priorities.
Förstärkta säkerhets reglerAugmented security rules
Förhöjda säkerhetsregler förenklar säkerhetsdefinitionen för virtuella nätverk så att du kan definiera större och mer komplexa nätverkssäkerhetsprinciper med färre regler.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Du kan kombinera flera portar och flera explicita IP-adresser och IP-intervall i en enda, lättbegriplig säkerhetsregel.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Använd förhöjda regler i fälten för källa, mål och port för en regel.Use augmented rules in the source, destination, and port fields of a rule. För att göra det enklare att underhålla definitionen av dina säkerhetsregler kan du kombinera förhöjda säkerhetsregler med tjänsttaggar eller programsäkerhetsgrupper.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Det finns begränsningar för antalet adresser, intervall och portar som du kan ange i en regel.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Läs mer i informationen om begränsningar för Azure.For details, see Azure limits.
TjänsttaggarService tags
En service-tagg representerar en grupp med IP-adressprefix från en specifik Azure-tjänst.A service tag represents a group of IP address prefixes from a given Azure service. Det hjälper till att minimera komplexiteten vid frekventa uppdateringar av nätverks säkerhets regler.It helps to minimize the complexity of frequent updates on network security rules.
Mer information finns i avsnittet om Azure Service-Taggar.For more information, see Azure service tags. Ett exempel på hur du använder taggen Storage Service för att begränsa nätverks åtkomsten finns i begränsa nätverks åtkomsten till PaaS-resurser.For an example on how to use the Storage service tag to restrict network access, see Restrict network access to PaaS resources.
ProgramsäkerhetsgrupperApplication security groups
Med programsäkerhetsgrupper kan du konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Du kan återanvända din säkerhetsprincip i stor skala utan manuellt underhåll av explicita IP-adresser.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Mer information finns i program säkerhets grupper.To learn more, see Application security groups.
Azure-plattformsövervägandenAzure platform considerations
Den virtuella IP-adressen för noden värd: grundläggande infrastruktur tjänster som DHCP, DNS, IMDS och hälso övervakning tillhandahålls via de virtualiserade värd-IP-adresserna 168.63.129.16 och 169.254.169.254.Virtual IP of the host node: Basic infrastructure services like DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. De här IP-adresserna tillhör Microsoft och är de enda virtualiserade IP-adresserna som används i alla regioner för det här ändamålet.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. Gällande säkerhets regler och effektiva vägar omfattar inte dessa plattforms regler.Effective security rules and effective routes will not include these platform rules. Om du vill åsidosätta den här grundläggande infrastruktur kommunikationen kan du skapa en säkerhets regel för att neka trafik genom att använda följande service Taggar i reglerna för nätverks säkerhets grupper: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM.To override this basic infrastructure communication, you can create a security rule to deny traffic by using the following service tags on your Network Security Group rules: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Lär dig hur du diagnostiserar filtrering av nätverks trafik och hur du diagnostiserar nätverks routning.Learn how to diagnose network traffic filtering and diagnose network routing.
Licensiering (nyckelhanteringstjänsten): Windows-avbildningar som kör på de virtuella datorerna ska vara licensierade.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Licensieringen kontrolleras genom att en begäran skickas till nyckelhanteringstjänstens värdservrar som hanterar sådana frågor.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. Begäran är en utgående begäran via port 1688.The request is made outbound through port 1688. För distributioner som använder konfigurationer med standardflödet 0.0.0.0/0, inaktiveras denna plattformsregel.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.
Virtuella datorer i lastbalanserade pooler: Källporten och adressintervallet som används kommer från den ursprungliga datorn, inte lastbalanseraren.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. Målporten och måladressutrymmet kommer från måldatorn, inte lastbalanseraren.The destination port and address range are for the destination computer, not the load balancer.
Azure-tjänstinstanser: Instanser av flera Azure-tjänster, till exempel HDInsight, tillämpningstjänstmiljöer och VM-skalningsuppsättningar distribueras i undernät för virtuella nätverk.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. En fullständig lista över tjänster som du kan distribuera till virtuella nätverk finns i Virtuellt nätverk för Azure-tjänster.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Ta reda på portkraven för varje tjänst innan du tillämpar en nätverkssäkerhetsgrupp för det undernät som resursen är distribuerad i.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Om du nekar åtkomst till portar som krävs för tjänsten kommer tjänsten inte att fungera korrekt.If you deny ports required by the service, the service doesn't function properly.
Skicka utgående e-post: Microsoft rekommenderar att du använder AUTENTISERADE SMTP-relätjänster (vanligt vis anslutna via TCP-port 587, men även andra) för att skicka e-post från Azure Virtual Machines.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. SMTP-relätjänsterna är specialiserade på avsändaromdöme för att minska möjligheten att externa e-postleverantörer avvisar meddelanden.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. SMTP-relätjänsterna omfattar, men är inte begränsade till, Exchange Online Protection och SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Användningen av SMTP-relätjänster är inte begränsad i Azure, oavsett vilken typ av prenumeration du har.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.
Om du har skapat din Azure-prenumeration före 15 november 2017 kan du, förutom att använda SMTP-relätjänster, även skicka e-post direkt via TCP-port 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Om du har skapat din prenumeration efter 15 november 2017 kan du inte skicka e-post direkt via port 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Beteendet för utgående kommunikation via port 25 beror på vilken typ av prenumeration du har:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:
- Enterprise-avtal: Utgående kommunikation via port 25 tillåts.Enterprise Agreement: Outbound port 25 communication is allowed. Du kan skicka en utgående e-post direkt från virtuella datorer till externa e-postleverantörer utan begränsningar från Azure-plattformen.You are able to send an outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
- Betala per användning: Utgående kommunikation via port 25 blockeras från alla resurser.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Om du behöver skicka e-post från en virtuell dator direkt till externa e-postleverantörer (inte använda ett autentiserat SMTP-relä) kan du skicka en begäran om att ta bort begränsningen.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Förfrågningarna granskas och godkänns enligt Microsofts gottfinnande och beviljas endast efter att bedrägerikontroller utförts.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Om du vill skicka en förfrågan öppnar du ett supportärende med ärendetypen Teknisk, Virtuell nätverksanslutning, Det går inte att skicka e-post (SMTP/Port 25).To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). I ditt supportärende anger du information om varför du (din prenumeration) behöver skicka e-post direkt till e-postleverantörer i stället för att gå via ett autentiserat SMTP-relä.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Om din prenumeration undantas kan endast virtuella datorer som skapats efter undantagsdatumet använda utgående kommunikation via port 25.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
- MSDN, Azure-pass, Azure i Open, Education, BizSpark och kostnadsfri utvärderingsversion: Utgående kommunikation via port 25 blockeras från alla resurser.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Det går inte att skicka förfrågningar om att ta bort begränsningen eftersom dessa inte beviljas.No requests to remove the restriction can be made, because requests are not granted. Om du vill skicka e-post från din virtuella dator måste du använda en SMTP-relätjänst.If you need to send email from your virtual machine, you have to use an SMTP relay service.
- Molntjänstleverantör: Kunder som förbrukar Azure-resurser via en molntjänstleverantör kan skapa ett supportärende hos molntjänstleverantören och begära ett avblockeringsärende om det inte går att använda ett säkert SMTP-relä.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.
Även om Azure tillåter att du skickar e-post via port 25 kan Microsoft inte garantera att e-postleverantörerna godkänner inkommande e-post från din virtuella dator.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Om en viss leverantör avvisar e-post från din virtuella dator kontaktar du leverantören för att lösa eventuella problem med meddelandeleverans eller skräppostfiltrering. Alternativt använder du en autentiserad SMTP-relätjänst.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.
Nästa stegNext steps
- Information om vilka Azure-resurser som kan distribueras till ett virtuellt nätverk och om nätverks säkerhets grupper är kopplade till dem finns i integrering av virtuella nätverk för Azure-tjänsterTo learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services
- Information om hur trafiken utvärderas med nätverks säkerhets grupper finns i så här fungerar nätverks säkerhets grupper.To learn how traffic is evaluated with network security groups, see How network security groups work.
- Om du aldrig har skapat en nätverkssäkerhetsgrupp kan du gå en snabb självstudie för att få lite erfarenhet.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one.
- Om du redan är bekant med nätverkssäkerhetsgrupper och vill lära dig hur du hanterar dem läser du Hantera en nätverkssäkerhetsgrupp.If you're familiar with network security groups and need to manage them, see Manage a network security group.
- Om du har kommunikationsproblem och behöver felsöka nätverkssäkerhetsgrupper läser du Diagnose a virtual machine network traffic filter problem (Diagnostisera problem med filtreringen av nätverkstrafik för virtuella nätverk).If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem.
- Lär dig hur du aktiverar flödes loggar för nätverks säkerhets grupper för att analysera nätverks trafik till och från resurser som har en associerad nätverks säkerhets grupp.Learn how to enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.