Nätverkssäkerhetsgrupper

Du kan använda en Azure-nätverkssäkerhetsgrupp för att filtrera nätverkstrafik till och från Azure-resurser i ett virtuellt Azure-nätverk. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till, eller utgående nätverkstrafik från, flera typer av Azure-resurser. För varje regel kan du ange källa och mål, port och protokoll.

Den här artikeln beskriver egenskaperna för en regel för nätverkssäkerhetsgrupper, standardsäkerhetsregler som tillämpas och de regelegenskaper som du kan ändra för att skapa en förhöjd säkerhetsregel.

Säkerhetsregler

En nätverkssäkerhetsgrupp kan innehålla noll regler, eller så många regler du vill, inom Azure-prenumerationens gränser. Varje regel anger följande egenskaper:

Egenskap Förklaring
Namn Ett unikt namn inom nätverkssäkerhetsgruppen.
Prioritet Ett tal mellan 100 och 4096. Regler bearbetas i prioritetsordning. Låga tal bearbetas före höga tal eftersom låga tal har högre prioritet. När trafiken matchar en regel avbryts bearbetningen. Det innebär att regler som har lägre prioritet (högre tal) och samma attribut som regler med högre prioritet inte bearbetas.
Källa eller mål Valfria, eller enskilda IP-adresser, CIDR-block (Classless Inter-Domain Routing) (t.ex. 10.0.0.0/24), tjänsttaggar eller programsäkerhetsgrupper. Om du anger en adress för en Azure-resurs anger du den privata IP-adressen som tilldelats till resursen. Nätverkssäkerhetsgrupper bearbetas efter att Azure omvandlar en offentlig IP-adress till en privat IP-adress för inkommande trafik, och innan Azure omvandlar en privat IP-adress till en offentlig IP-adress för utgående trafik. Du kan begränsa antalet säkerhetsregler du skapar genom att ange ett intervall, en tjänsttagg eller en programsäkerhetsgrupp. Möjligheten att ange flera enskilda IP-adresser och intervall (du kan inte ange flera tjänsttaggar eller programgrupper) i en regel kallas förhöjda säkerhetsregler. Förhöjda säkerhetsregler kan bara skapas i nätverkssäkerhetsgrupper som skapats genom Resource Manager-distributionsmodellen. Du kan inte ange flera IP-adresser och IP-adressintervall i nätverkssäkerhetsgrupper som skapats via den klassiska distributionsmodellen.
Protokoll TCP, UDP, ICMP, ESP, AH eller Any.
Riktning Om regeln gäller för inkommande eller utgående trafik.
Portintervall Du kan ange en enskild port eller ett portintervall. Du kan till exempel ange 80 eller 10000–10005. Om du anger intervall behöver du inte skapa lika många säkerhetsregler. Förhöjda säkerhetsregler kan bara skapas i nätverkssäkerhetsgrupper som skapats genom Resource Manager-distributionsmodellen. Du kan inte ange flera portar eller portintervall i samma säkerhetsregel i nätverkssäkerhetsgrupper som skapats med den klassiska distributionsmodellen.
Åtgärd Tillåt eller neka

Säkerhetsregler för nätverkssäkerhetsgrupper utvärderas baserat på prioritet med hjälp av 5-tuppelinformationen (källa, källport, mål, målport och protokoll) för att tillåta eller neka trafik. Du kanske inte skapar två säkerhetsregler med samma prioritet och riktning. En flödespost skapas för befintliga anslutningar. Kommunikation tillåts eller nekas baserat på flödespostens anslutningsstatus. Flödesposten gör att en nätverkssäkerhetsgrupp kan vara tillståndskänslig. Om du till exempel anger en utgående säkerhetsregel till en adress via port 80, behöver du inte ange en inkommande säkerhetsregel för svar på utgående trafik. Du behöver bara ange en inkommande säkerhetsregel om kommunikationen initieras externt. Även det motsatta gäller. Om inkommande trafik tillåts via en port, behöver du inte ange en utgående säkerhetsregel för svar på trafik via porten.

Befintliga anslutningar kanske inte avbryts när du tar bort en säkerhetsregel som aktiverade flödet. Trafikflöden avbryts när anslutningar har stoppats och ingen trafik passerar i endera riktning under minst ett par minuter.

Det finns gränser för hur många säkerhetsregler du kan skapa i en nätverkssäkerhetsgrupp. Läs mer i informationen om begränsningar för Azure.

Standardsäkerhetsregler

Azure skapar följande standardregler i varje nätverkssäkerhetsgrupp som du skapar:

Inkommande

AllowVNetInBound
Prioritet Källa Källportar Mål Målportar Protokoll Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Valfri Tillåt
AllowAzureLoadBalancerInBound
Prioritet Källa Källportar Mål Målportar Protokoll Access
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Valfri Tillåt
DenyAllInbound
Prioritet Källa Källportar Mål Målportar Protokoll Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Valfri Neka

Utgående

AllowVnetOutBound
Prioritet Källa Källportar Mål Målportar Protokoll Access
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Valfri Tillåt
AllowInternetOutBound
Prioritet Källa Källportar Mål Målportar Protokoll Access
65001 0.0.0.0/0 0-65535 Internet 0-65535 Valfri Tillåt
DenyAllOutBound
Prioritet Källa Källportar Mål Målportar Protokoll Access
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Valfri Neka

I kolumnerna Källa och Mål är VirtualNetwork, AzureLoadBalancer, och Internet så kallade tjänsttaggar, inte IP-adresser. I protokollkolumnen omfattar Any TCP, UDP och ICMP. När du skapar en regel kan du ange TCP, UDP, ICMP eller Valfri. 0.0.0.0/0 i kolumnerna Källa och Mål representerar alla adresser. Klienter som Azure Portal, Azure CLI eller PowerShell kan använda * eller något annat för det här uttrycket.

Du kan inte ta bort standardreglerna, men du kan åsidosätta dem genom att skapa regler med högre prioritet.

Förhöjda säkerhetsregler

Förhöjda säkerhetsregler förenklar säkerhetsdefinitionen för virtuella nätverk så att du kan definiera större och mer komplexa nätverkssäkerhetsprinciper med färre regler. Du kan kombinera flera portar och flera explicita IP-adresser och IP-intervall i en enda, lättbegriplig säkerhetsregel. Använd förhöjda regler i fälten för källa, mål och port för en regel. För att göra det enklare att underhålla definitionen av dina säkerhetsregler kan du kombinera förhöjda säkerhetsregler med tjänsttaggar eller programsäkerhetsgrupper. Det finns gränser för antalet adresser, intervall och portar som du kan ange i en regel. Läs mer i informationen om begränsningar för Azure.

Tjänsttaggar

En tjänsttagg representerar en grupp MED IP-adressprefix från en viss Azure-tjänst. Det hjälper till att minimera komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler.

Mer information finns i Azure-tjänsttaggar. Ett exempel på hur du använder Storage-tjänsttaggen för att begränsa nätverksåtkomst finns i Begränsa nätverksåtkomst till PaaS-resurser.

Programsäkerhetsgrupper

Med programsäkerhetsgrupper kan du konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper. Du kan återanvända din säkerhetsprincip i stor skala utan manuellt underhåll av explicita IP-adresser. Mer information finns i Programsäkerhetsgrupper.

Azure-plattformsöverväganden

  • Virtuell IP-adress för värdnoden: Grundläggande infrastrukturtjänster som DHCP, DNS, IMDS och hälsoövervakning tillhandahålls via de virtualiserade värd-IP-adresserna 168.63.129.16 och 169.254.169.254. De här IP-adresserna tillhör Microsoft och är de enda virtualiserade IP-adresserna som används i alla regioner för det här ändamålet. Effektiva säkerhetsregler och effektiva vägar inkluderar inte dessa plattformsregler. Om du vill åsidosätta den här grundläggande infrastrukturkommunikationen kan du skapa en säkerhetsregel för att neka trafik med hjälp av följande tjänsttaggar i reglerna för nätverkssäkerhetsgruppen: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Lär dig hur du diagnostiserar filtrering av nätverkstrafik och diagnostiserar nätverksroutning.

  • Licensiering (nyckelhanteringstjänsten): Windows-avbildningar som kör på de virtuella datorerna ska vara licensierade. Licensieringen kontrolleras genom att en begäran skickas till nyckelhanteringstjänstens värdservrar som hanterar sådana frågor. Begäran är en utgående begäran via port 1688. För distributioner som använder konfigurationer med standardflödet 0.0.0.0/0, inaktiveras denna plattformsregel.

  • Virtuella datorer i lastbalanserade pooler: Källporten och adressintervallet som används kommer från den ursprungliga datorn, inte lastbalanseraren. Målporten och måladressutrymmet kommer från måldatorn, inte lastbalanseraren.

  • Azure-tjänstinstanser: Instanser av flera Azure-tjänster, till exempel HDInsight, tillämpningstjänstmiljöer och VM-skalningsuppsättningar distribueras i undernät för virtuella nätverk. En fullständig lista över tjänster som du kan distribuera till virtuella nätverk finns i Virtuellt nätverk för Azure-tjänster. Ta reda på portkraven för varje tjänst innan du tillämpar en nätverkssäkerhetsgrupp för det undernät som resursen är distribuerad i. Om du nekar åtkomst till portar som krävs för tjänsten kommer tjänsten inte att fungera korrekt.

  • Skicka utgående e-post: Microsoft rekommenderar att du använder autentiserade SMTP-relätjänster (vanligtvis anslutna via TCP-port 587, men ofta även andra) för att skicka e-post från Azure Virtual Machines. SMTP-relätjänsterna är specialiserade på avsändaromdöme för att minska möjligheten att externa e-postleverantörer avvisar meddelanden. SMTP-relätjänsterna omfattar, men är inte begränsade till, Exchange Online Protection och SendGrid. Användningen av SMTP-relätjänster är inte begränsad i Azure, oavsett vilken typ av prenumeration du har.

    Om du har skapat din Azure-prenumeration före 15 november 2017 kan du, förutom att använda SMTP-relätjänster, även skicka e-post direkt via TCP-port 25. Om du har skapat din prenumeration efter 15 november 2017 kan du inte skicka e-post direkt via port 25. Beteendet för utgående kommunikation via port 25 beror på vilken typ av prenumeration du har:

    • Enterprise-avtal: Utgående kommunikation via port 25 tillåts. Du kan skicka ett utgående e-postmeddelande direkt från virtuella datorer till externa e-postleverantörer, utan begränsningar från Azure-plattformen.
    • Betala per användning: Utgående kommunikation via port 25 blockeras från alla resurser. Om du behöver skicka e-post från en virtuell dator direkt till externa e-postleverantörer (inte använda ett autentiserat SMTP-relä) kan du skicka en begäran om att ta bort begränsningen. Förfrågningarna granskas och godkänns enligt Microsofts gottfinnande och beviljas endast efter att bedrägerikontroller utförts. Om du vill skicka en förfrågan öppnar du ett supportärende med ärendetypen Teknisk, Virtuell nätverksanslutning, Det går inte att skicka e-post (SMTP/Port 25). I ditt supportärende anger du information om varför du (din prenumeration) behöver skicka e-post direkt till e-postleverantörer i stället för att gå via ett autentiserat SMTP-relä. Om din prenumeration undantas kan endast virtuella datorer som skapats efter undantagsdatumet använda utgående kommunikation via port 25.
    • MSDN, Azure-pass, Azure i Open, Education, BizSpark och kostnadsfri utvärderingsversion: Utgående kommunikation via port 25 blockeras från alla resurser. Det går inte att skicka förfrågningar om att ta bort begränsningen eftersom dessa inte beviljas. Om du vill skicka e-post från din virtuella dator måste du använda en SMTP-relätjänst.
    • Molntjänstleverantör: Kunder som förbrukar Azure-resurser via en molntjänstleverantör kan skapa ett supportärende hos molntjänstleverantören och begära ett avblockeringsärende om det inte går att använda ett säkert SMTP-relä.

    Även om Azure tillåter att du skickar e-post via port 25 kan Microsoft inte garantera att e-postleverantörerna godkänner inkommande e-post från din virtuella dator. Om en viss leverantör avvisar e-post från din virtuella dator kontaktar du leverantören för att lösa eventuella problem med meddelandeleverans eller skräppostfiltrering. Alternativt använder du en autentiserad SMTP-relätjänst.

Nästa steg