Güvenlik gruplarıSecurity groups

Ağ güvenlik grupları ile bir Azure sanal ağı içindeki Azure kaynaklarına gelen ve bu kaynaklardan giden ağ trafiğini filtreleyebilirsiniz.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. Ağ güvenlik grupları, farklı Azure kaynaklarına gelen ya da bu kaynaklardan dışarı giden ağ trafiğine izin veren veya bu trafiği reddeden güvenlik kuralları içerir.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Sanal ağ dağıtımı ve ağ güvenlik grubu ataması için uygun olan Azure kaynakları hakkında bilgi için bkz. Azure hizmetleri için sanal ağ tümleştirmesi.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Her kural için kaynak, hedef, bağlantı noktası ve protokol belirtebilirsiniz.For each rule, you can specify source and destination, port, and protocol.

Bu makalede, ağ güvenlik gruplarını daha etkili bir şekilde kullanmanıza yardımcı olmak için gereken kavramlar açıklanır.This article explains network security group concepts, to help you use them effectively. Daha önce bir ağ güvenlik grubu oluşturmadıysanız deneyim edinmek için hızlı öğreticiyi tamamlayabilirsiniz.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Ağ güvenlik grupları ve yönetimi hakkında bilginiz varsa bkz. Ağ güvenlik gruplarını yönetme.If you're familiar with network security groups and need to manage them, see Manage a network security group. İletişim sorunları yaşıyorsanız ve ağ güvenlik gruplarıyla ilgili sorunları gidermeniz gerekiyorsa bkz. Sanal makine ağ trafiği filtresi sorunlarını tanılama.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Ağ güvenlik grubu akış günlüklerini etkinleştirerek bir ağ güvenlik grubu ile ilişkilendirilmiş kaynaklara gelen ve bu kaynaklardan giden ağ trafiğini analiz edebilirsiniz.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

Güvenlik kurallarıSecurity rules

Bir ağ güvenlik grubunda Azure abonelik limitleri dahilinde sıfır veya istenen sayıda kural bulunabilir.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Her bir kural aşağıdaki özellikleri belirtir:Each rule specifies the following properties:

ÖzellikProperty AçıklamaExplanation
AdName Ağ güvenlik grubu içinde benzersiz bir ad.A unique name within the network security group.
PriorityPriority 100 ile 4096 arasında bir rakam.A number between 100 and 4096. Kurallar öncelik sırasına göre işleme alınır ve düşük rakamlı kurallar daha yüksek önceliğe sahip olduğundan yüksek rakamlı kurallardan önce uygulanır.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Trafik bir kuralla eşleştiğinde işlem durur.Once traffic matches a rule, processing stops. Bunun sonucunda yüksek önceliğe sahip olan kurallarla aynı özniteliklere sahip olan önceliği daha düşük olan (yüksek rakamlı) kurallar işleme alınmaz.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Kaynak veya hedefSource or destination Herhangi bir IP adresi, sınıfsız etki alanları arası yönlendirme (CIDR) bloğu (10.0.0.0/24 gibi), hizmet etiketi veya uygulama güvenlik grubu.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Bir Azure kaynağı için adres belirtirken kaynağa atanmış olan özel IP adresini belirtmeniz gerekir.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Ağ güvenlik grupları, Azure gelen trafik için genel IP adresini özel IP adresine çevirdikten sonra ve giden trafik için özel IP adresini genel IP adreslerine çevirmeden önce işleme alınır.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Azure IP adresleri hakkında daha fazla bilgi edinin.Learn more about Azure IP addresses. Aralık, hizmet etiketi veya uygulama güvenlik grubu belirterek daha az sayıda güvenlik kuralı oluşturabilirsiniz.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. Bir kuralda birden fazla IP adresi veya aralığı belirtme özelliği (birden fazla hizmet etiketi veya uygulama grubu belirtemezsiniz) genişletilmiş güvenlik kuralı olarak adlandırılır.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Genişletilmiş güvenlik kuralları yalnızca Resource Manager dağıtım modeliyle oluşturulmuş olan ağ güvenlik gruplarında oluşturulabilir.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Klasik dağıtım modeliyle oluşturulmuş olan ağ güvenlik gruplarında birden fazla IP adresi ve IP adresi aralığı belirtemezsiniz.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Azure dağıtım modelleri hakkında daha fazla bilgi edinin.Learn more about Azure deployment models.
ProtocolProtocol TCP, UDP, ıCMP veya any.TCP, UDP, ICMP or Any.
DirectionDirection Kuralın gelen veya giden trafiğe uygulanma seçeneği.Whether the rule applies to inbound, or outbound traffic.
Bağlantı noktası aralığıPort range Tek bir bağlantı noktası veya aralık belirtebilirsiniz.You can specify an individual or range of ports. Örneğin 80 veya 10000-10005 değerini kullanabilirsiniz.For example, you could specify 80 or 10000-10005. Aralık belirterek oluşturmanız gereken güvenlik kuralı sayısını azaltabilirsiniz.Specifying ranges enables you to create fewer security rules. Genişletilmiş güvenlik kuralları yalnızca Resource Manager dağıtım modeliyle oluşturulmuş olan ağ güvenlik gruplarında oluşturulabilir.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Klasik dağıtım modeliyle oluşturulmuş olan ağ güvenlik gruplarında aynı güvenlik kuralı içinde birden fazla bağlantı noktası ve bağlantı noktası aralığı belirtemezsiniz.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
ActionAction İzin ver veya reddetAllow or deny

Ağ güvenlik grubu güvenlik kuralları, trafiğe izin verilmesi veya trafiğin reddedilmesi için 5 tanımlama grubu bilgisi (kaynak, kaynak bağlantı noktası, hedef, hedef bağlantı noktası ve protokol) ile önceliğe göre değerlendirilir.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Var olan bağlantılar için bir akış kaydı oluşturulur.A flow record is created for existing connections. Akış kaydının bağlantı durumuna göre iletişime izin verilir veya iletişim reddedilir.Communication is allowed or denied based on the connection state of the flow record. Akış kaydı bir ağ güvenlik grubunun durum bilgisine sahip olmasını sağlar.The flow record allows a network security group to be stateful. Örneğin 80 numaralı bağlantı noktasından tüm adreslere doğru giden bir güvenlik kuralı belirtirseniz giden trafiğe yanıt olarak bir gelen güvenlik kuralı belirtmeniz gerekli değildir.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Yalnızca iletişimin dışarıdan başlatılması halinde bir gelen güvenlik kuralı belirtmeniz gerekir.You only need to specify an inbound security rule if communication is initiated externally. Bunun tersi de geçerlidir.The opposite is also true. Gelen trafiğe bir bağlantı noktası üzerinden izin verilmesi halinde bağlantı noktasından geçen trafiğe yanıt olarak bir giden güvenlik belirtmeniz gerekli değildir.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. Akışı etkinleştiren bir güvenlik kuralını kaldırdığınızda mevcut bağlantılar kesintiye uğramayabilir.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Bağlantılar durdurulduğunda trafik akışları kesintiye uğrar ve en azından birkaç dakika boyunca hiçbir yönde trafik akışı gerçekleşmez.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Bir ağ güvenlik grubu içinde sınırlı sayıda güvenlik kuralı oluşturabilirsiniz.There are limits to the number of security rules you can create in a network security group. Ayrıntılar için Azure limitleri makalesini inceleyin.For details, see Azure limits.

Genişletilmiş güvenlik kurallarıAugmented security rules

Genişletilmiş güvenlik kuralları, sanal ağlar için güvenlik tanımını daha basit hale getirerek daha az sayıda kuralla daha geniş çaplı ve karmaşık ağ güvenlik ilkesi tanımlamanızı sağlar.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Birden fazla bağlantı noktası ile birden fazla açık IP adresini ve aralığını bir araya getirerek tek ve anlaşılması kolay bir güvenlik kuralı oluşturabilirsiniz.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Genişletilmiş kuralları bir kuralın kaynak, hedef ve bağlantı noktası alanlarında kullanabilirsiniz.Use augmented rules in the source, destination, and port fields of a rule. Güvenlik kuralı tanımınızın bakımını kolaylaştırmak için genişletilmiş güvenlik kurallarını hizmet etiketleri veya uygulama güvenlik gruplarıyla bir arada kullanabilirsiniz.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Bir kuralda belirtebileceğiniz adres, Aralık ve bağlantı noktası sayısı için sınırlar vardır.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Ayrıntılar için Azure limitleri makalesini inceleyin.For details, see Azure limits.

Hizmet etiketleriService tags

Hizmet etiketi, güvenlik kuralı oluşturma sırasındaki karmaşıklığı en aza indirmeye yardımcı olmak için bir IP adresi ön eki grubunu temsil eder.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Kendi hizmet etiketinizi oluşturamaz veya bir etiket içinde yer alacak IP adreslerini belirleyemezsiniz.You cannot create your own service tag, nor specify which IP addresses are included within a tag. Hizmet etiketine dahil olan adres ön ekleri Microsoft tarafından yönetilir ve hizmet etiketi adresler değiştikçe otomatik olarak güncelleştirilir.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change. Hizmet etiketlerini güvenlik kuralı oluştururken belirli IP adreslerinin yerine kullanabilirsiniz.You can use service tags in place of specific IP addresses when creating security rules.

Aşağıdaki hizmet etiketleri ağ güvenlik grupları kurallarındakullanılabilir.The following service tags are available for use in network security groups rules. Sonunda yıldız işareti olan hizmet etiketleri (örn. Azurecsesli *), Azure Güvenlik Duvarı ağ kurallarındada kullanılabilir.Service tags with asterisk at the end (i.e. AzureCloud*) can also be used in Azure Firewall network rules.

  • VirtualNetwork (Kaynak Yöneticisi) (Klasik içinVIRTUAL_NETWORK ): Bu etiket sanal ağ adres alanını (sanal ağ için tanımlanan tüm CıDR aralıkları), bağlı olan tüm şirket içi adres alanları, eşlenen sanal ağlar veya sanal ağ geçidine ve adrese bağlı sanal ağı içerir Kullanıcı tanımlı yollarlakullanılan ön ekler.VirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (all CIDR ranges defined for the virtual network), all connected on-premises address spaces, peered virtual networks or virtual network connected to a virtual network gateway and address prefixes used on user defined routes. Bu etiketin varsayılan yol içerebileceğini unutmayın.Be aware that this tag may contain default route.
  • AzureLoadBalancer (Kaynak Yöneticisi) (Klasik içinAZURE_LOADBALANCER ): Bu etiket, Azure 'un altyapı yük dengeleyiciyi gösterir.AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure's infrastructure load balancer. Bu etiket, Azure’ın sistem durumu araştırmalarının kaynağı olan Ana bilgisayar sanal IP adresine (168.63.129.16) çevrilir.The tag translates to the Virtual IP address of the host (168.63.129.16) where Azure's health probes originate. Azure yük dengeleyiciyi kullanmıyorsanız bu kuralı geçersiz kılabilirsiniz.If you are not using the Azure load balancer, you can override this rule.
  • Internet (Kaynak Yöneticisi) (Klasik içinInternet ): Bu etiket, sanal ağın dışında olan ve genel Internet tarafından erişilebilen IP adresi alanını gösterir.Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by the public Internet. Adres aralığı Azure'a ait genel IP adresi alanını içerir.The address range includes the Azure owned public IP address space.
  • Azurecyüksek* (yalnızca Kaynak Yöneticisi): Bu etiket, tüm veri merkezi genel IP adresleridahil olmak üzere Azure için IP adresi alanını gösterir.AzureCloud* (Resource Manager only): This tag denotes the IP address space for Azure including all datacenter public IP addresses. AzureCloud değerini belirtirseniz Azure genel IP adreslerine giden trafiğe izin verilir veya trafik reddedilir.If you specify AzureCloud for the value, traffic is allowed or denied to Azure public IP addresses. Yalnızca belirli bir bölgedekiazurecı erişimine izin vermek istiyorsanız, bölgeyi azurecyüksek biçiminde belirtebilirsiniz. [bölge adı].If you only want to allow access to AzureCloud in a specific region, you can specify the region in the following format AzureCloud.[region name]. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • AzureTrafficManager* (yalnızca Kaynak Yöneticisi): Bu etiket, Azure Traffic Manager araştırması IP adresleri için IP adresi alanını gösterir.AzureTrafficManager* (Resource Manager only): This tag denotes the IP address space for the Azure Traffic Manager probe IP addresses. Traffic Manager yoklama IP adresleri hakkında daha fazla bilgi için Azure Traffic Manager hakkında SSS sayfasına göz atın.More information on Traffic Manager probe IP addresses can be found in the Azure Traffic Manager FAQ. Bu etiket, gelen güvenlik kuralı için önerilir.This tag is recommended for inbound security rule.
  • Depolama* (yalnızca Kaynak Yöneticisi): Bu etiket, Azure depolama hizmeti için IP adresi alanını gösterir.Storage* (Resource Manager only): This tag denotes the IP address space for the Azure Storage service. Depolama değerini belirtirseniz depolama alanına gelen trafiğe izin verilir veya trafik reddedilir.If you specify Storage for the value, traffic is allowed or denied to storage. Yalnızca belirli bir bölgedekidepolamaya erişime izin vermek istiyorsanız, bölgeyi aşağıdaki biçim deposunda belirtebilirsiniz. [bölge adı].If you only want to allow access to storage in a specific region, you can specify the region in the following format Storage.[region name]. Bu etiket hizmetin belirli örneklerini değil yalnızca hizmetin kendisini temsil eder.The tag represents the service, but not specific instances of the service. Örneğin etiket belirli bir Azure Depolama hesabını değil Azure Depolama hizmetini temsil eder.For example, the tag represents the Azure Storage service, but not a specific Azure Storage account. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • SQL* (yalnızca Kaynak Yöneticisi): Bu etiket, Azure SQL veritabanı 'nın adres öneklerini, MySQL için Azure veritabanı, PostgreSQL için Azure veritabanı ve Azure SQL veri ambarı Hizmetleri 'ni gösterir.Sql* (Resource Manager only): This tag denotes the address prefixes of the Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, and Azure SQL Data Warehouse services. Sql değerini belirtirseniz Sql’e gelen trafiğe izin verilir veya trafik reddedilir.If you specify Sql for the value, traffic is allowed or denied to Sql. Yalnızca belirli bir bölgedekiSQL erişimine izin vermek istiyorsanız, aşağıdaki SQL. [bölge adı] biçiminde bölgeyi belirtebilirsiniz.If you only want to allow access to Sql in a specific region, you can specify the region in the following format Sql.[region name]. Bu etiket hizmetin belirli örneklerini değil yalnızca hizmetin kendisini temsil eder.The tag represents the service, but not specific instances of the service. Örneğin etiket belirli bir SQL veritabanını veya sunucusunu değil Azure SQL Veritabanı hizmetini temsil eder.For example, the tag represents the Azure SQL Database service, but not a specific SQL database or server. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • Azu, Smosdb* (yalnızca Kaynak Yöneticisi): Bu etiket, Azure Cosmos veritabanı hizmetinin adres öneklerini gösterir.AzureCosmosDB* (Resource Manager only): This tag denotes the address prefixes of the Azure Cosmos Database service. AzureCosmosDB değerini belirtirseniz AzureCosmosDB’ye gelen trafiğe izin verilir veya trafik reddedilir.If you specify AzureCosmosDB for the value, traffic is allowed or denied to AzureCosmosDB. Yalnızca belirli bir bölgede AzureCosmosDB’ye erişime izin vermek istiyorsanız bölgeyi şu biçimde belirtebilirsiniz: AzureCosmosDB.[bölge adı].If you only want to allow access to AzureCosmosDB in a specific region, you can specify the region in the following format AzureCosmosDB.[region name]. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • AzureKeyVault* (yalnızca Kaynak Yöneticisi): Bu etiket, Azure Keykasası hizmetinin adres öneklerini gösterir.AzureKeyVault* (Resource Manager only): This tag denotes the address prefixes of the Azure KeyVault service. AzureKeyVault değerini belirtirseniz AzureKeyVault’a gelen trafiğe izin verilir veya trafik reddedilir.If you specify AzureKeyVault for the value, traffic is allowed or denied to AzureKeyVault. Yalnızca belirli bir bölgede AzureKeyVault’a erişime izin vermek istiyorsanız bölgeyi şu biçimde belirtebilirsiniz: AzureKeyVault.[bölge adı].If you only want to allow access to AzureKeyVault in a specific region, you can specify the region in the following format AzureKeyVault.[region name]. Bu etiketin AzureActiveDirectory etiketine bağımlılığı vardır.This tag has dependency on the AzureActiveDirectory tag. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • EventHub* (yalnızca Kaynak Yöneticisi): Bu etiket, Azure EventHub hizmetinin adres öneklerini gösterir.EventHub* (Resource Manager only): This tag denotes the address prefixes of the Azure EventHub service. EventHub değerini belirtirseniz EventHub’a gelen trafiğe izin verilir veya trafik reddedilir.If you specify EventHub for the value, traffic is allowed or denied to EventHub. Yalnızca belirli bir bölgede EventHub’a erişime izin vermek istiyorsanız bölgeyi şu biçimde belirtebilirsiniz: EventHub.[bölge adı].If you only want to allow access to EventHub in a specific region, you can specify the region in the following format EventHub.[region name]. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • ServiceBus* (yalnızca Kaynak Yöneticisi): Bu etiket, Premium hizmet katmanını kullanarak Azure ServiceBus hizmetinin adres öneklerini gösterir.ServiceBus* (Resource Manager only): This tag denotes the address prefixes of the Azure ServiceBus service using the Premium service tier. ServiceBus değerini belirtirseniz ServiceBus'a gelen trafiğe izin verilir veya trafik reddedilir.If you specify ServiceBus for the value, traffic is allowed or denied to ServiceBus. Yalnızca belirli bir bölgede ServiceBus’a erişime izin vermek istiyorsanız bölgeyi şu biçimde belirtebilirsiniz: ServiceBus.[bölge adı].If you only want to allow access to ServiceBus in a specific region, you can specify the region in the following format ServiceBus.[region name]. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • Microsoftcontainerregistry* (yalnızca Kaynak Yöneticisi): Bu etiket, Microsoft Container Registry hizmetinin adres öneklerini gösterir.MicrosoftContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Microsoft Container Registry service. MicrosoftContainerRegistry değerini belirtirseniz MicrosoftContainerRegistry'ye gelen trafiğe izin verilir veya trafik reddedilir.If you specify MicrosoftContainerRegistry for the value, traffic is allowed or denied to MicrosoftContainerRegistry. Yalnızca belirli bir bölgede MicrosoftContainerRegistry’ye erişime izin vermek istiyorsanız bölgeyi şu biçimde belirtebilirsiniz: MicrosoftContainerRegistry.[bölge adı].If you only want to allow access to MicrosoftContainerRegistry in a specific region, you can specify the region in the following format MicrosoftContainerRegistry.[region name]. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • AzureContainerRegistry* (yalnızca Kaynak Yöneticisi): Bu etiket Azure Container Registry hizmetinin adres öneklerini gösterir.AzureContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Azure Container Registry service. AzureContainerRegistry değerini belirtirseniz AzureContainerRegistry'ye gelen trafiğe izin verilir veya trafik reddedilir.If you specify AzureContainerRegistry for the value, traffic is allowed or denied to AzureContainerRegistry. Yalnızca belirli bir bölgede AzureContainerRegistry’ye erişime izin vermek istiyorsanız bölgeyi şu biçimde belirtebilirsiniz: AzureContainerRegistry.[bölge adı].If you only want to allow access to AzureContainerRegistry in a specific region, you can specify the region in the following format AzureContainerRegistry.[region name]. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • Appservice* (yalnızca Kaynak Yöneticisi): Bu etiket, Azure AppService hizmetinin adres öneklerini gösterir.AppService* (Resource Manager only): This tag denotes the address prefixes of the Azure AppService service. AppService değerini belirtirseniz AppService'e gelen trafiğe izin verilir veya trafik reddedilir.If you specify AppService for the value, traffic is allowed or denied to AppService. Yalnızca belirli bir bölgede AppService’e erişime izin vermek istiyorsanız bölgeyi şu biçimde belirtebilirsiniz: AppService.[bölge adı].If you only want to allow access to AppService in a specific region, you can specify the region in the following format AppService.[region name]. Bu etiket, WebApps ön uçları için giden güvenlik kuralı için önerilir.This tag is recommended for outbound security rule to WebApps frontends.
  • Appservicemanagement* (yalnızca Kaynak Yöneticisi): Bu etiket, App Service Ortamı adanmış dağıtımlar için yönetim trafiğinin adres öneklerini gösterir.AppServiceManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for App Service Environment dedicated deployments. AppServiceManagement değerini belirtirseniz AppServiceManagement'a gelen trafiğe izin verilir veya trafik reddedilir.If you specify AppServiceManagement for the value, traffic is allowed or denied to AppServiceManagement. Gelen/giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for inbound/outbound security rule.
  • Apimanayönetimi* (yalnızca Kaynak Yöneticisi): Bu etiket, APıM adanmış dağıtımlar için yönetim trafiğinin adres öneklerini gösterir.ApiManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for APIM dedicated deployments. ApiManagement değerini belirtirseniz ApiManagement'a gelen trafiğe izin verilir veya trafik reddedilir.If you specify ApiManagement for the value, traffic is allowed or denied to ApiManagement. Gelen/giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for inbound/outbound security rule.
  • AzureConnectors* (yalnızca Kaynak Yöneticisi): Bu etiket, araştırma/arka uç bağlantıları için Logic Apps bağlayıcılarının adres öneklerini gösterir.AzureConnectors* (Resource Manager only): This tag denotes the address prefixes of the Logic Apps connectors for probe/backend connections. AzureConnectors değerini belirtirseniz AzureConnectors’a gelen trafiğe izin verilir veya trafik reddedilir.If you specify AzureConnectors for the value, traffic is allowed or denied to AzureConnectors. Yalnızca belirli bir bölgede AzureConnectors’a erişime izin vermek istiyorsanız bölgeyi şu biçimde belirtebilirsiniz: AzureConnectors.[bölge adı].If you only want to allow access to AzureConnectors in a specific region, you can specify the region in the following format AzureConnectors.[region name]. Bu etiket, gelen güvenlik kuralı için önerilir.This tag is recommended for inbound security rule.
  • Gatewaymanager (Yalnızca Kaynak Yöneticisi): Bu etiket, VPN/uygulama ağ geçitleri adanmış dağıtımları için yönetim trafiğinin adres öneklerini gösterir.GatewayManager (Resource Manager only): This tag denotes the address prefixes of the management traffic for VPN/App Gateways dedicated deployments. GatewayManager değerini belirtirseniz GatewayManager’a gelen trafiğe izin verilir veya trafik reddedilir.If you specify GatewayManager for the value, traffic is allowed or denied to GatewayManager. Bu etiket, gelen güvenlik kuralı için önerilir.This tag is recommended for inbound security rule.
  • AzureDataLake* (yalnızca Kaynak Yöneticisi): Bu etiket Azure Data Lake hizmetinin adres öneklerini gösterir.AzureDataLake* (Resource Manager only): This tag denotes the address prefixes of the Azure Data Lake service. AzureDataLake değerini belirtirseniz AzureDataLake’e gelen trafiğe izin verilir veya trafik reddedilir.If you specify AzureDataLake for the value, traffic is allowed or denied to AzureDataLake. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • AzureActiveDirectory* (yalnızca Kaynak Yöneticisi): Bu etiket, AzureActiveDirectory hizmetinin adres öneklerini gösterir.AzureActiveDirectory* (Resource Manager only): This tag denotes the address prefixes of the AzureActiveDirectory service. AzureActiveDirectory değerini belirtirseniz AzureActiveDirectory’ye gelen trafiğe izin verilir veya trafik reddedilir.If you specify AzureActiveDirectory for the value, traffic is allowed or denied to AzureActiveDirectory. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • AzureMonitor* (yalnızca Kaynak Yöneticisi): Bu etiket Log Analytics, Application Insights, AzMon ve özel ölçümlerin (GB uç noktaları) adres öneklerini gösterir.AzureMonitor* (Resource Manager only): This tag denotes the address prefixes of the Log Analytics, App Insights, AzMon, and custom metrics (GiG endpoints). Değer için AzureMonitor belirtirseniz, trafiğe izin verilir veya AzureMonitor erişimi reddedilir.If you specify AzureMonitor for the value, traffic is allowed or denied to AzureMonitor. Log Analytics için, bu etiketin depolama etiketine bağımlılığı vardır.For Log Analytics, this tag has dependency on the Storage tag. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • Servicefabric* (yalnızca Kaynak Yöneticisi): Bu etiket, ServiceFabric hizmetinin adres öneklerini gösterir.ServiceFabric* (Resource Manager only): This tag denotes the address prefixes of the ServiceFabric service. Değer için Servicefabric belirtirseniz, servicefabric 'e trafiğe izin verilir veya erişim engellenir.If you specify ServiceFabric for the value, traffic is allowed or denied to ServiceFabric. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • AzureMachineLearning* (yalnızca Kaynak Yöneticisi): Bu etiket, AzureMachineLearning hizmetinin adres öneklerini gösterir.AzureMachineLearning* (Resource Manager only): This tag denotes the address prefixes of the AzureMachineLearning service. Değer için AzureMachineLearning belirtirseniz, trafiğe izin verilir veya AzureMachineLearning erişimi reddedilir.If you specify AzureMachineLearning for the value, traffic is allowed or denied to AzureMachineLearning. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • Batchnodemanagement* (yalnızca Kaynak Yöneticisi): Bu etiket, Azure Batch adanmış dağıtımlar için yönetim trafiğinin adres öneklerini gösterir.BatchNodeManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Batch dedicated deployments. Değer için Batchnodemanagement belirtirseniz, Batch hizmetinden işlem düğümlerine trafiğe izin verilir veya erişim engellenir.If you specify BatchNodeManagement for the value, traffic is allowed or denied from the Batch service to compute nodes. Gelen/giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for inbound/outbound security rule.
  • AzureBackup* (yalnızca Kaynak Yöneticisi): Bu etiket, AzureBackup hizmetinin adres öneklerini gösterir.AzureBackup* (Resource Manager only): This tag denotes the address prefixes of the AzureBackup service. Değer için AzureBackup belirtirseniz, trafiğe izin verilir veya AzureBackup erişimi reddedilir.If you specify AzureBackup for the value, traffic is allowed or denied to AzureBackup. Bu etiketin depolama ve AzureActiveDirectory etiketine bağımlılığı vardır. Giden güvenlik kuralı için bu etiket önerilir.This tag has dependency on the Storage and AzureActiveDirectory tag.This tag is recommended for outbound security rule.
  • AzureActiveDirectoryDomainServices* (yalnızca Kaynak Yöneticisi): Bu etiket, Azure Active Directory Domain Services adanmış dağıtımlar için yönetim trafiğinin adres öneklerini gösterir.AzureActiveDirectoryDomainServices* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Active Directory Domain Services dedicated deployments. Değer için AzureActiveDirectoryDomainServices belirtirseniz, trafiğe izin verilir veya AzureActiveDirectoryDomainServices erişimi reddedilir.If you specify AzureActiveDirectoryDomainServices for the value, traffic is allowed or denied to AzureActiveDirectoryDomainServices. Gelen/giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for inbound/outbound security rule.
  • SqlManagement* (yalnızca Kaynak Yöneticisi): Bu etiket, SQL adanmış dağıtımlar için yönetim trafiğinin adres öneklerini gösterir.SqlManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for SQL dedicated deployments. Değer için SqlManagement belirtirseniz, trafiğin SqlManagement 'a izni verilir veya reddedilir.If you specify SqlManagement for the value, traffic is allowed or denied to SqlManagement. Gelen/giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for inbound/outbound security rule.
  • Biliveservicesmanagement (Yalnızca Kaynak Yöneticisi): Bu etiket, bilişsel hizmetler için trafiğin adres öneklerini gösterir.CognitiveServicesManagement (Resource Manager only): This tag denotes the address prefixes of traffic for Cognitive Services. Değer için Biliveservicesmanagement belirtirseniz, trafiğe izin verilir veya biliveservicesmanagement tarafından reddedilir.If you specify CognitiveServicesManagement for the value, traffic is allowed or denied to CognitiveServicesManagement. Giden güvenlik kuralı için bu etiket önerilir.This tag is recommended for outbound security rule.
  • Dynamics365ForMarketingEmail (Yalnızca Kaynak Yöneticisi): Bu etiket, Dynamics 365 pazarlama e-posta hizmetinin adres öneklerini gösterir.Dynamics365ForMarketingEmail (Resource Manager only): This tag denotes the address prefixes of the marketing email service of Dynamics 365. Değer için Dynamics365ForMarketingEmail belirtirseniz, trafiğe izin verilir veya Dynamics365ForMarketingEmail erişimi reddedilir.If you specify Dynamics365ForMarketingEmail for the value, traffic is allowed or denied to Dynamics365ForMarketingEmail. Yalnızca belirli bir bölgedekiDynamics365ForMarketingEmail erişimine izin vermek istiyorsanız, bölgeyi aşağıdaki biçimde belirtebilirsiniz Dynamics365ForMarketingEmail. [bölge adı].If you only want to allow access to Dynamics365ForMarketingEmail in a specific region, you can specify the region in the following format Dynamics365ForMarketingEmail.[region name].
  • AzurePlatformDNS (Yalnızca Kaynak Yöneticisi): Bu etiket, temel bir altyapı hizmeti olan DNS 'yi gösterir.AzurePlatformDNS (Resource Manager only): This tag denotes DNS which is a basic infrastructure service. Değer için AzurePlatformDNS BELIRTIRSENIZ, DNS Için varsayılan Azure platformu değerlendirmesi 'ni devre dışı bırakabilirsiniz.If you specify AzurePlatformDNS for the value, you can disable the default Azure platform consideration for DNS. Lütfen bu etiketi kullanırken dikkatli olun.Please take caution in using this tag. Bu etiket kullanılmadan önce test edilmesi önerilir.Testing is recommended before using this tag.
  • AzurePlatformIMDS (Yalnızca Kaynak Yöneticisi): Bu etiket, temel bir altyapı hizmeti olan ıMDS 'yi gösterir.AzurePlatformIMDS (Resource Manager only): This tag denotes IMDS which is a basic infrastructure service. Değer için AzurePlatformIMDS belirtirseniz, IDS Için varsayılan Azure platformu değerlendirmesi 'ni devre dışı bırakabilirsiniz.If you specify AzurePlatformIMDS for the value, you can disable the default Azure platform consideration for IMDS. Lütfen bu etiketi kullanırken dikkatli olun.Please take caution in using this tag. Bu etiket kullanılmadan önce test edilmesi önerilir.Testing is recommended before using this tag.
  • AzurePlatformLKM (Yalnızca Kaynak Yöneticisi): Bu etiket Windows lisanslama veya anahtar yönetimi hizmetini gösterir.AzurePlatformLKM (Resource Manager only): This tag denotes Windows licensing or key management service. Değer için AzurePlatformLKM belirtirseniz, lisans Için varsayılan Azure platformu değerlendirmesi 'ni devre dışı bırakabilirsiniz.If you specify AzurePlatformLKM for the value, you can disable the default Azure platform consideration for licensing. Lütfen bu etiketi kullanırken dikkatli olun.Please take caution in using this tag. Bu etiket kullanılmadan önce test edilmesi önerilir.Testing is recommended before using this tag.

Not

Azure hizmetlerinin hizmet etiketleri, kullanılan belirli buluttan gelen adres öneklerini gösterir.Service tags of Azure services denotes the address prefixes from the specific cloud being used.

Not

Azure Depolama veya Azure SQL Veritabanı gibi bir hizmet için bir sanal ağ hizmet uç noktası uygularsanız Azure, sanal ağ alt ağına hizmet için bir rota ekler.If you implement a virtual network service endpoint for a service, such as Azure Storage or Azure SQL Database, Azure adds a route to a virtual network subnet for the service. Rotada adres ön ekleri ilgili hizmet etiketiyle aynı adres ön ekleri veya CIDR aralıklarıdır.The address prefixes in the route are the same address prefixes, or CIDR ranges, as the corresponding service tag.

Şirket içinde hizmet etiketleriService tags in on-premises

Azure kamu, ABD kamu, Çinve Almanya bulutları için aşağıdaki haftalık yayınlarda ön ek ayrıntılarını içeren hizmet etiketlerinin listesini bir şirket içi güvenlik duvarıyla indirebilir ve tümleştirebilirsiniz.You can download and integrate with an on-premises firewall the list of service tags with prefix details on the following weekly publications for Azure Public, US government, China, and Germany clouds.

Hizmet etiketi bulma API (Genel Önizleme)- rest, Azure PowerShellve Azure CLIkullanarak bu bilgileri program aracılığıyla da alabilirsiniz.You can also programmatically retrieve this information using the Service Tag Discovery API (Public Preview) - REST, Azure PowerShell, and Azure CLI.

Not

Azure kamu, Çinve Almanya bulutları için aşağıdaki haftalık yayınlar (eski sürüm) 30 Haziran 2020 ' den kullanım dışı olacaktır.Following weekly publications (old version) for Azure Public, China, and Germany clouds will be deprecated by June 30, 2020. Lütfen yukarıda açıklandığı gibi güncelleştirilmiş yayınları kullanmaya başlayın.Please start using the updated publications as described above.

Varsayılan güvenlik kurallarıDefault security rules

Azure, oluşturduğunuz tüm ağ güvenlik gruplarına aşağıdaki varsayılan kuralları ekler:Azure creates the following default rules in each network security group that you create:

GelenInbound

AllowVNetInBoundAllowVNetInBound

PriorityPriority SourceSource Kaynak bağlantı noktalarıSource ports HedefDestination Hedef bağlantı noktalarıDestination ports ProtocolProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PriorityPriority SourceSource Kaynak bağlantı noktalarıSource ports HedefDestination Hedef bağlantı noktalarıDestination ports ProtocolProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny AllowAllow

DenyAllInboundDenyAllInbound

PriorityPriority SourceSource Kaynak bağlantı noktalarıSource ports HedefDestination Hedef bağlantı noktalarıDestination ports ProtocolProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny ReddetDeny

GidenOutbound

AllowVnetOutBoundAllowVnetOutBound

PriorityPriority SourceSource Kaynak bağlantı noktalarıSource ports HedefDestination Hedef bağlantı noktalarıDestination ports ProtocolProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow

AllowInternetOutBoundAllowInternetOutBound

PriorityPriority SourceSource Kaynak bağlantı noktalarıSource ports HedefDestination Hedef bağlantı noktalarıDestination ports ProtocolProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 AnyAny AllowAllow

DenyAllOutBoundDenyAllOutBound

PriorityPriority SourceSource Kaynak bağlantı noktalarıSource ports HedefDestination Hedef bağlantı noktalarıDestination ports ProtocolProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny ReddetDeny

Kaynak ve Hedef sütunlarında VirtualNetwork, AzureLoadBalancer ve Internet, için IP adresi yerine hizmet etiketi belirtilir.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. Protokol sütununda, TCP, UDP ve ıCMP 'yi kapsar.In the protocol column, Any encompasses TCP, UDP, and ICMP. Bir kural oluştururken TCP, UDP, ıCMP veya any belirtebilirsiniz.When creating a rule, you can specify TCP, UDP, ICMP or Any. Kaynak ve Hedef sütunlarında yer alan 0.0.0.0/0 ifadesi tüm adresleri temsil eder.0.0.0.0/0 in the Source and Destination columns represents all addresses. Azure portal, Azure CLı veya PowerShell gibi istemciler bu ifade için * veya herhangi birini kullanabilir.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Varsayılan kuralları kaldıramazsınız ancak daha yüksek önceliğe sahip kurallar oluşturarak onları geçersiz kılabilirsiniz.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Uygulama güvenliği gruplarıApplication security groups

Uygulama güvenlik grupları ağ güvenliğini uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza imkan vererek sanal makineleri gruplamanızı ve ağ güvenlik ilkelerini bu gruplara göre tanımlamanızı sağlar.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Açık IP adreslerinin bakımını el ile yapmanıza gerek kalmadan güvenlik ilkesini farklı ölçeklerde yeniden kullanabilirsiniz.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Platform açık IP adreslerinin ve birden fazla kural kümesinin karmaşık süreçlerini üstlenerek iş mantığınıza odaklanmanızı sağlar.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Uygulama güvenlik gruplarını daha iyi anlamak için aşağıdaki örneği inceleyin:To better understand application security groups, consider the following example:

Uygulama güvenliği grupları

Yukarıdaki resimde NIC1 ve NIC2, AsgWeb uygulama güvenlik grubunun üyeleridir.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3, AsgLogic uygulama güvenlik grubunun üyesidir.NIC3 is a member of the AsgLogic application security group. NIC4, AsgDb uygulama güvenlik grubunun üyesidir.NIC4 is a member of the AsgDb application security group. Bu örnekteki tüm ağ arabirimleri tek bir uygulama güvenlik grubuna üye olsa da bir ağ arabirimi Azure sınırları dahilinde birden fazla uygulama güvenlik grubuna üye olabilir.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Ağ arabirimlerinin hiçbiri bir ağ güvenlik grubuyla ilişkilendirilmemiştir.None of the network interfaces have an associated network security group. NSG1, iki alt ağ ile de ilişkilendirilmiştir ve aşağıdaki kuralları içerir:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Bu kural, internetten Web sunucularına gelen trafiğe izin vermek için kullanılır.This rule is needed to allow traffic from the internet to the web servers. İnternetten gelen trafik, DenyAllInbound varsayılan güvenlik grubu tarafından reddedildiğinden AsgLogic veya AsgDb uygulama güvenlik grupları için ek kurala ihtiyaç duyulmaz.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PriorityPriority SourceSource Kaynak bağlantı noktalarıSource ports HedefDestination Hedef bağlantı noktalarıDestination ports ProtocolProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP AllowAllow

Deny-Database-AllDeny-Database-All

AllowVNetInBound varsayılan güvenlik kuralı aynı sanal ağ içinde bulunan kaynaklar arasındaki tüm iletişime izin verdiğinden, tüm kaynaklardan gelen trafiği reddetmek için bu kurala ihtiyaç duyulur.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PriorityPriority SourceSource Kaynak bağlantı noktalarıSource ports HedefDestination Hedef bağlantı noktalarıDestination ports ProtocolProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 AnyAny ReddetDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Bu kural AsgLogic uygulama güvenlik grubundan AsgDb uygulama güvenlik grubuna gelen trafiğe izin verir.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. Bu kuralın önceliği, Deny-Database-All kuralının önceliğinden daha yüksektir.The priority for this rule is higher than the priority for the Deny-Database-All rule. Sonuç olarak bu kural, Deny-Database-All kuralından önce işlenir ve böylece AsgLogic uygulama güvenlik grubundan gelen trafiğe izin veriler ve diğer tüm trafik engellenir.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PriorityPriority SourceSource Kaynak bağlantı noktalarıSource ports HedefDestination Hedef bağlantı noktalarıDestination ports ProtocolProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP AllowAllow

Bir uygulama güvenlik grubunu kaynak veya hedef olarak belirten kurallar yalnızca uygulama güvenlik grubuna üye olan ağ arabirimlerine uygulanır.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Ağ arabirimi bir uygulama güvenlik grubuna üye değilse, ağ güvenlik grubu alt ağ ile ilişkilendirilmiş olsa dahi kural ağ arabirimine uygulanmaz.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Uygulama güvenlik grupları aşağıdaki sınırlamalara sahiptir:Application security groups have the following constraints:

  • Bir abonelik içinde bulunabilecek uygulama güvenlik grubu sayısı sınırlıdır ve uygulama güvenlik gruplarıyla ilgili başka sınırlar da vardır.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Ayrıntılar için Azure limitleri makalesini inceleyin.For details, see Azure limits.
  • Bir uygulama güvenlik grubunu bir güvenlik kuralında kaynak ve hedef olarak belirtebilirsiniz.You can specify one application security group as the source and destination in a security rule. Kaynak veya hedefte birden çok uygulama güvenlik grubu belirtemezsiniz.You cannot specify multiple application security groups in the source or destination.
  • Bir uygulama güvenlik grubuna atanan tüm ağ arabirimleri, uygulama güvenlik grubuna atanmış ilk ağ arabirimiyle aynı sanal ağda olmalıdır.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Örneğin, ilk ağ arabirimi VNet1 adlı sanal ağdaki AsgWeb adlı bir uygulama güvenlik grubuna atanmışsa ASGWeb’e atanan sonraki tüm ağ arabirimleri VNet1’de olmalıdır.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Bir uygulama güvenlik grubuna farklı ağlarda bulunan ağ arabirimlerini ekleyemezsiniz.You cannot add network interfaces from different virtual networks to the same application security group.
  • Uygulama güvenlik grubunu bir güvenlik kuralında kaynak ve hedef olarak belirtirseniz iki uygulama güvenlik grubundaki ağ arabirimlerinin de aynı sanal ağda bulunması gerekir.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Örneğin AsgLogic üzerinde VNet1 içinde bulunan ağ arabirimleri, AsgDb üzerinde de VNet2 içinde bulunan ağ arabirimleri varsa, bir kural içinde AsgLogic grubunu kaynak olarak ve AsgDb grubunu da hedef olarak belirleyemezsiniz.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Hem kaynak hem de hedef uygulama güvenlik gruplarının tüm ağ arabirimlerinin aynı sanal ağ içinde bulunması gerekir.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

İpucu

İhtiyacınız olan güvenlik kuralı sayısını ve kural değiştirme gereksinimini en aza indirmek için, gereken uygulama güvenlik gruplarını planlarken ve kuralları oluştururken tek IP adreslerini veya IP adresi aralıklarını kullanmak yerine hizmet etiketlerini ya da uygulama güvenlik gruplarını kullanın.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Trafik nasıl değerlendirilir?How traffic is evaluated

Birden fazla Azure hizmetinde bulunan kaynakları bir Azure sanal ağına dağıtabilirsiniz.You can deploy resources from several Azure services into an Azure virtual network. Hizmetlerin tam listesi için bkz. Sanal ağa dağıtılabilecek hizmetler.For a complete list, see Services that can be deployed into a virtual network. Bir sanal makine içindeki her bir sanal ağ alt ağına ve ağ arabirimine sıfır veya bir ağ güvenlik grubu atayabilirsiniz.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Bir ağ güvenlik grubunu istediğiniz sayıda alt ağ ve ağ arabirimi ile ilişkilendirebilirsiniz.The same network security group can be associated to as many subnets and network interfaces as you choose.

Aşağıdaki resimde, ağ güvenlik gruplarının 80 numaralı TCP bağlantı noktası üzerinden gelen ve giden internet trafiğine izin vermek için dağıtılabilecek ağ güvenlik grupları için farklı senaryolar gösterilmektedir:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

NSG-processing

Azure'ın ağ güvenlik grupları için gelen ve giden kuralları nasıl işlediğini anlamak için yukarıdaki resmi ve aşağıdaki metni inceleyin:Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Gelen trafikInbound traffic

Azure, gelen trafik için ilk olarak varsa bir alt ağ ile ilişkilendirilmiş ağ güvenlik grubu içindeki kuralları ve ardından varsa ağ arabirimi ile ilişkilendirilmiş ağ güvenlik grubundaki kuralları işler.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: NSG1 ' deki güvenlik kuralları, Subnet1 Ile Ilişkilendirildiğinden ve VM1 Subnet1içinde olduğundan işlenir.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. Gelen trafik için 80 numaralı bağlantı noktasına izin veren bir kural oluşturmadığınız sürece trafik DenyAllInbound varsayılan güvenlik kuralı tarafından reddedilir ve NSG2, ağ arabirimi ile ilişkilendirilmiş olduğundan NSG2 tarafından değerlendirilmez.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. NSG1, 80 numaralı bağlantı noktasına izin veren bir güvenlik kuralına sahipse trafik NSG2 tarafından işlenir.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. 80 numaralı bağlantı noktasından gelen trafiğin sanal makineye iletilmesine izin vermek için hem NSG1 hem de NSG2 içinde 80 numaralı bağlantı noktası üzerinden gelen internet bağlantılarına izin veren bir kural olması gerekir.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: VM2 de Subnet1içinde olduğu için NSG1 içindeki kurallar işlenir.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. VM2 ağ arabirimi ile ilişkilendirilmiş bir ağ güvenlik grubu olmadığından NSG1 üzerinden izin verilen tüm trafiği alır veya NSG1 tarafından reddedilen tüm trafiği reddeder.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Ağ güvenlik grubu bir alt ağ ile ilişkilendirilmiş olduğunda bu alt ağ içindeki tüm kaynaklar için trafiğe izin verilir veya trafik reddedilir.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: Subnet2ile ilişkili bir ağ güvenlik grubu olmadığından, NSG2 , VM3'e iliştirilmiş ağ arabirimiyle ilişkili olduğundan, trafiğe alt ağa izin verilir ve NSG2tarafından işlenir.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: Bir ağ güvenlik grubu Subnet3ile ilişkili olmadığından ve sanal makinedeki ağ arabirimiyle trafiğe VM4 izin verilir.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Ağ güvenlik grubu ile ilişkilendirilmiş olmayan alt ağ ve ağ arabirimleri üzerinden gelen tüm ağ trafiğine izin verilir.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Giden trafikOutbound traffic

Azure, giden trafik için ilk olarak varsa bir ağ arabirimi ile ilişkilendirilmiş ağ güvenlik grubu içindeki kuralları ve ardından varsa alt ağ ile ilişkilendirilmiş ağ güvenlik grubundaki kuralları işler.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: NSG2 içindeki güvenlik kuralları işlenir.VM1: The security rules in NSG2 are processed. 80 numaralı bağlantı noktası üzerinden internete giden trafiği reddeden bir güvenlik kuralı oluşturmadığınız sürece NSG1 ve NSG2 içindeki AllowInternetOutbound varsayılan güvenlik kuralı trafiğe izin verir.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. NSG2 içinde 80 numaralı bağlantı noktasından giden trafiği reddeden bir güvenlik kuralı varsa trafik reddedilir ve NSG1 tarafından değerlendirilmez.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Sanal makinenin 80 numaralı bağlantı noktasından giden trafiği reddetmek için ağ güvenlik gruplarından birinde veya her ikisinde 80 numaralı bağlantı noktasından internete giden trafiği reddeden bir kural olması gerekir.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: VM2 'e iliştirilmiş ağ arabirimine ilişkili bir ağ güvenlik grubu olmadığından, tüm trafik alt ağa ağ arabirimi üzerinden gönderilir.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. NSG1 içindeki kurallar işlenir.The rules in NSG1 are processed.
  • VM3: NSG2 bağlantı noktası 80 ' i engelleyen bir güvenlik kuralına sahipse trafik reddedilir.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. NSG2 içinde 80 numaralı bağlantı noktasından giden trafiğe izin veren bir güvenlik kuralı varsa Subnet2 ile ilişkilendirilmiş bir ağ güvenlik grubu bulunmadığından 80 numaralı bağlantı noktasından internete giden trafiğe izin verilir.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: Ağ güvenlik grubu, sanal makineye bağlı ağ arabirimiyle ilişkili olmadığından veya Subnet3için VM4 ' dan tüm ağ trafiğine izin verilir.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Bir ağ arabirimi için geçerli güvenlik kurallarını görüntüleyerek bir ağ arabirimine uygulanmış olan toplu kuralları kolayca görüntüleyebilirsiniz.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Azure Ağ İzleyicisi'ndeki IP akışı doğrulama özelliğini kullanarak da bir ağ arabirimine gelen veya dışarı giden iletişime izin verilip verilmediğini belirleyebilirsiniz.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. IP akışı doğrulama, iletişime izin verme veya reddetme durumunu ve trafiğe izin veren veya onu reddeden ağ güvenlik kuralının hangisi olduğunu belirler.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Not

Ağ güvenlik grupları, klasik dağıtım modelinde dağıtılan alt ağlar veya sanal makineler ve bulut Hizmetleri ile ve Kaynak Yöneticisi dağıtım modelindeki alt ağlar veya ağ arabirimleri ile ilişkilendirilir.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Azure dağıtım modelleri hakkında daha fazla bilgi edinmek için bkz. Azure dağıtım modellerini kavrama.To learn more about Azure deployment models, see Understand Azure deployment models.

İpucu

Belirli bir nedeniniz yoksa bir ağ güvenlik grubunu bir alt ağ veya ağ arabirimi ile ilişkilendirmenizi ancak ikisiyle birden ilişkilendirmemenizi öneririz.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Bir alt ağ ile ilişkilendirilmiş olan ağ güvenlik grubundaki kurallar bir ağ arabirimi ile ilişkilendirilmiş olan ağ güvenlik grubundaki kurallarla çakışabileceğinden çözmeniz gereken beklenmeyen iletişim sorunlarıyla karşılaşabilirsiniz.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Azure platformunda dikkat edilmesi gerekenlerAzure platform considerations

  • Konak düğümünün sanal IP 'si: DHCP, DNS, IMDS ve sistem durumu izleme gibi temel altyapı hizmetleri, 168.63.129.16 ve 169.254.169.254 sanallaştırılmış ana bilgisayar IP adresleri aracılığıyla sağlanır.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Bu IP adresleri Microsoft 'a aittir ve tüm bölgelerde bu amaç için kullanılan tek sanallaştırılmış IP adresleridir.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Lisanslama (anahtar yönetimi hizmeti) : Sanal makinelerde çalışan Windows görüntülerinin lisanslanması gerekir.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Lisanslama için, lisans isteği sorgularını işleyen Anahtar Yönetimi Hizmeti ana bilgisayar sunucularına bir lisans isteği gönderilir.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. İstek, bağlantı noktası 1688 üzerinden gönderilir.The request is made outbound through port 1688. default route 0.0.0.0/0 yapılandırması kullanan dağıtmalar için bu platform kuralı devre dışı bırakılır.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Yük dengeli havuzlardaki sanal makineler: Uygulanan kaynak bağlantı noktası ve adres aralığı, yük dengeleyici değil, kaynak bilgisayardan alınır.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. Hedef bağlantı noktası ve adres aralığı, yük dengeleyici değil, hedef bilgisayar içindir.The destination port and address range are for the destination computer, not the load balancer.

  • Azure hizmet örnekleri: HDInsight, uygulama hizmeti ortamları ve sanal makine ölçek kümeleri gibi çeşitli Azure hizmetlerinin örnekleri, sanal ağ alt ağlarında dağıtılır.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Sanal ağlara dağıtabileceğiniz hizmetlerin tam listesi için bkz. Azure hizmetleri için sanal ağ.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Bir ağ güvenlik grubunu kaynağın dağıtılmış olduğu alt ağa uygulamadan önce hizmetlerle ilgili olan bağlantı noktası gereksinimlerini öğrendiğinizden emin olun.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Gerekli bağlantı noktalarını reddetmeniz halinde hizmet düzgün çalışmaz.If you deny ports required by the service, the service doesn't function properly.

  • Giden e-posta gönderiliyor: Microsoft, Azure sanal makineler 'den e-posta göndermek için kimliği doğrulanmış SMTP geçiş Hizmetleri 'ni (genellikle TCP bağlantı noktası 587 üzerinden bağlanır, ancak diğerleri de diğerleri) kullanmanızı önerir.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. SMTP geçiş hizmetleri, üçüncü taraf e-posta sağlayıcılarının iletileri reddetme olasılığını en aza indirmek için gönderen saygınlığı konusunda uzmanlaşmıştır.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Bu tür SMTP geçiş hizmetleri Exchange Online Protection ve SendGrid'i içerir ancak bunlarla sınırlı değildir.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Abonelik türünüz ne olursa olsun, Azure'da SMTP geçiş hizmetlerinin kullanımına hiçbir kısıtlama getirilmez.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Azure aboneliğinizi 15 Kasım 2017'den önce oluşturduysanız, SMTP geçiş hizmetlerini kullanabileceğiniz gibi, doğrudan TCP bağlantı noktası 25 üzerinden de e-posta gönderebilirsiniz.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Aboneliğinizi 15 Kasım 2017'den sonra oluşturduysanız, doğrudan bağlantı noktası 25 üzerinden e-posta gönderemeyebilirsiniz.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Bağlantı noktası 25 üzerinden giden iletişimin davranışı, sahip olduğunuz aboneliğe bağlıdır:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Kurumsal Anlaşma: Giden bağlantı noktası 25 iletişimine izin verilir.Enterprise Agreement: Outbound port 25 communication is allowed. Azure platformundan hiçbir kısıtlama uygulanmadan, giden e-postaları doğrudan sanal makinelerden dış e-posta sağlayıcılarına gönderebilirsiniz.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Kullandıkça öde: Tüm kaynaklardan giden bağlantı noktası 25 iletişimi engellenir.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Sanal makineden doğrudan dış e-posta sağlayıcılarına (kimliği doğrulanmış SMTP geçişi kullanmadan) e-posta göndermeniz gerekirse, kısıtlamanın kaldırılması için istekte bulunabilirsiniz.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. İstekler gözden geçirilip Microsoft'un takdirine bağlı olarak onaylanır ve yalnızca dolandırıcılık önleme denetimleri yapıldıktan sonra kabul edilir.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. İstekte bulunmak için, sorun türü Teknik, Sanal Ağ Bağlantısı, E-posta gönderilemiyor (SMTP/Bağlantı Noktası 25) olan bir destek olayı açın.To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). Destek olayınıza, aboneliğinizin neden kimliği doğrulanmış SMTP geçişi üzerinden değil de doğrudan posta sağlayıcılarına e-posta göndermesi gerektiği konusundaki ayrıntıları da ekleyin.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Aboneliğiniz muaf tutulursa, yalnızca muafiyet tarihinden sonra oluşturulmuş sanal makineler bağlantı noktası 25 üzerinden giden iletişimi kurabilir.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Open ile Azure, eğitim, BizSpark ve ücretsiz deneme: Tüm kaynaklardan giden bağlantı noktası 25 iletişimi engellenir.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Kısıtlamayı kaldırmaya yönelik istekte bulunulamaz çünkü istekler kabul edilmez.No requests to remove the restriction can be made, because requests are not granted. Sanal makinenizden e-posta göndermeniz gerekirse, SMTP geçiş hizmetini kullanmanız gerekir.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Bulut hizmeti sağlayıcısı: Bir bulut hizmeti sağlayıcısı aracılığıyla Azure kaynakları kullanan müşteriler, bulut hizmeti sağlayıcısıyla bir destek talebi oluşturabilir ve güvenli bir SMTP geçişi kullanılmıyorsa sağlayıcının kendi adına bir engellemeyi kaldırma çalışması oluşturmasını ister.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Azure bağlantı noktası 25 üzerinde e-posta göndermenize izin verirse, Microsoft e-posta sağlayıcılarının sanal makinenizden gelen e-postayı kabul edeceğini garanti edemez.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Belirli bir sağlayıcı sanal makinenizden gelen postayı reddederse, tüm ileti teslimi veya istenmeyen posta filtreleme sorunlarını çözmek için doğrudan sağlayıcıyla çalışmanız veya kimliği doğrulanmış SMTP geçiş hizmeti kullanın.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Sonraki adımlarNext steps