Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Skupinu zabezpečení sítě Azure můžete použít k filtrování síťového provozu mezi prostředky Azure ve virtuálních sítích Azure. Skupina zabezpečení sítě obsahuje pravidla zabezpečení umožňující povolit nebo odepřít příchozí nebo odchozí síťový provoz několika typů prostředků Azure.
Tento článek vysvětluje vlastnosti pravidla skupiny zabezpečení sítě a výchozí pravidla zabezpečení použitá v Azure. Popisuje také, jak upravit vlastnosti pravidla a vytvořit rozšířené pravidlo zabezpečení.
Pravidla zabezpečení
Skupina zabezpečení sítě obsahuje podle potřeby pravidla zabezpečení sítě v rámci limitů předplatného Azure. Každé pravidlo určuje následující vlastnosti:
| Vlastnictví | Vysvětlení |
|---|---|
| Název | Jedinečný název v rámci skupiny zabezpečení sítě. Název může mít délku až 80 znaků. Musí začínat znakem slova a musí končit znakem slova nebo znakem _. Název může obsahovat znaky slova, ., -nebo \_. |
| Priorita | Číslo v rozsahu od 100 do 4096. Pravidla se zpracovávají v pořadí priority s nižšími čísly zpracovanými před vyššími čísly, protože nižší čísla mají vyšší prioritu. Jakmile provoz odpovídá pravidlu, zpracování se zastaví. V důsledku toho se nezpracují všechna pravidla s nižšími prioritami (vyššími čísly), která mají stejné atributy jako pravidla s vyššími prioritami. Výchozí pravidla zabezpečení Azure mají nejnižší prioritu (nejvyšší číslo), aby se zajistilo, že vaše vlastní pravidla se budou vždy zpracovávat jako první. |
| Zdroj nebo cíl | Můžete zadat libovolný, jednotlivou IP adresu, blok CIDR (například 10.0.0.0/24), značku služby nebo skupinu zabezpečení aplikace. Pokud chcete zadat konkrétní prostředek Azure, použijte privátní IP adresu přiřazenou k prostředku. V případě příchozího provozu skupiny zabezpečení sítě zpracovávají provoz po překladu veřejných IP adres do privátních IP adres Azure. Pro odchozí provoz skupiny zabezpečení sítě zpracovávají provoz před překladem privátních IP adres na veřejné IP adresy.
Zadejte rozsah, značku služby nebo skupinu zabezpečení aplikace, abyste snížili počet potřebných pravidel zabezpečení. Rozšířená pravidla zabezpečení umožňují v jednom pravidlu zadat více jednotlivých IP adres a rozsahů. V jednom pravidlu ale nemůžete zadat více značek služeb ani skupin aplikací. Rozšířená pravidla zabezpečení jsou k dispozici pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager. V modelu nasazení Classic není možné zadat více IP adres a rozsahů v jednom pravidlu. Pokud je zdrojem například podsíť 10.0.1.0/24 (kde se nachází virtuální počítač1) a cílem je podsíť 10.0.2.0/24 (kde se nachází virtuální počítač 2), skupina zabezpečení sítě filtruje provoz pro virtuální počítač 2. K tomuto chování dochází, protože skupina zabezpečení sítě je přidružena k síťovému rozhraní VM2. |
| Protokol | TCP, UDP, ICMP, ESP, AH nebo any. Protokoly ESP a AH nejsou v současné době dostupné prostřednictvím webu Azure Portal, ale je možné je použít prostřednictvím šablon ARM. |
| Směr | Určuje, jestli se pravidlo vztahuje na příchozí nebo odchozí provoz. |
| Rozsah portů | Můžete zadat jednotlivé porty nebo rozsahy portů. Můžete například zadat 80 nebo 10000-10005; nebo pro kombinaci jednotlivých portů a rozsahů je můžete oddělit čárkami, například 80, 10000-10005. Určení rozsahů a oddělení čárkami umožňuje vytvářet méně pravidel zabezpečení. Rozšířená pravidla zabezpečení je možné vytvářet pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager. Ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Classic nemůžete zadat více portů ani rozsahů portů ve stejných pravidlech zabezpečení. |
| Činnost | Povolte nebo odepřete zadaný provoz. |
Pravidla zabezpečení se vyhodnocují a aplikují na základě pětice informací: zdroj, zdrojový port, cíl, cílový port a protokol. Nemůžete vytvořit dvě pravidla zabezpečení se stejnou prioritou a směrem. Dvě pravidla zabezpečení se stejnou prioritou a směrem můžou představovat konflikt v tom, jak systém zpracovává provoz. Pro stávající připojení se vytvoří záznam toku. Komunikace se povoluje nebo odepírá na základě stavu připojení v záznamu toku. Záznam toku umožňuje, aby skupina zabezpečení sítě byla stavová. Pokud zadáte odchozí pravidlo zabezpečení pro všechny adresy například přes port 80, není potřeba zadávat příchozí pravidlo zabezpečení pro reakci na odchozí provoz. Příchozí pravidlo zabezpečení je potřeba zadat pouze v případě, že se komunikace zahajuje externě. Opak je pravdou. Pokud je přes port povolený příchozí provoz, není potřeba zadávat odchozí pravidlo zabezpečení pro reakci na provoz přes tento port.
Když odeberete pravidlo zabezpečení, které povolilo připojení, stávající připojení zůstanou nepřerušovaná. Pravidla skupin zabezpečení sítě ovlivňují pouze nová připojení. Nová nebo aktualizovaná pravidla ve skupině zabezpečení sítě se vztahují výhradně na nová připojení, takže stávající připojení nebudou ovlivněná změnami. Pokud máte například aktivní relaci SSH s virtuálním počítačem a pak odeberte pravidlo zabezpečení, které povoluje provoz SSH, zůstane vaše aktuální relace SSH připojená a funkční. Pokud se ale po odebrání pravidla zabezpečení pokusíte navázat nové připojení SSH, bude tento nový pokus o připojení zablokovaný.
Existuje omezení počtu pravidel zabezpečení, která můžete vytvořit ve skupině zabezpečení sítě a dalších vlastnostech skupiny zabezpečení sítě. Podrobnosti najdete v tématu věnovaném omezením Azure.
Výchozí pravidla zabezpečení
Azure v každé skupině zabezpečení sítě, kterou vytvoříte, vytvoří následující výchozí pravidla:
Příchozí
AllowVNetInBound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65000 | Virtuální síť | 0-65535 | Virtuální síť | 0-65535 | Jakýkoli | Povolit |
AllowAzureLoadBalancerInBound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65001 | Vyvažovač zatížení Azure | 0-65535 | 0.0.0.0/0 | 0-65535 | Jakýkoli | Povolit |
DenyAllInbound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Jakýkoli | Zamítnout |
Odchozí
AllowVnetOutBound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65000 | Virtuální síť | 0-65535 | Virtuální síť | 0-65535 | Jakýkoli | Povolit |
Povolit odchozí internetové připojení
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | internet | 0-65535 | Jakýkoli | Povolit |
DenyAllOutBound
| Priorita | Zdroj | Zdrojové porty | Cíl | Cílové porty | Protokol | Přístup |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Jakýkoli | Zamítnout |
Ve sloupcích Zdroj a Cíl jsou virtualnetwork, AzureLoadBalancer a Internetznačky služeb místo IP adres. Ve sloupci Protokol zahrnuje všechny protokoly TCP, UDP a ICMP. Při vytváření pravidla můžete zadat PROTOKOL TCP, UDP, ICMP nebo Libovolný. 0.0.0.0/0 ve sloupcích Zdroj a Cíl představuje všechny IP adresy. Klienti jako Azure Portal, Azure CLI nebo PowerShell mohou pro tento výraz použít * nebo Any.
Výchozí pravidla nemůžete odebrat, ale můžete je přepsat vytvořením pravidel s vyššími prioritami.
Rozšířená pravidla zabezpečení
Rozšířená pravidla zabezpečení zjednodušují definici zabezpečení virtuálních sítí a umožňují definovat větší a složité zásady zabezpečení sítě s menším počtem pravidel. Můžete zkombinovat více portů a explicitních IP adres a rozsahů do jediného, snadno pochopitelného pravidla zabezpečení. V polích pro zdroj, cíl a port pravidla používejte rozšířená pravidla. Pokud chcete zjednodušit údržbu definice pravidla zabezpečení, zkombinujte rozšířená pravidla zabezpečení se značkami služeb nebo skupinami zabezpečení aplikací. Počet adres, rozsahů a portů, které můžete zadat v pravidle zabezpečení, jsou omezené. Podrobnosti najdete v tématu věnovaném omezením Azure.
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Pomáhá minimalizovat složitost častých aktualizací pravidel zabezpečení sítě.
Další informace najdete v tématu Značky služeb Azure. Příklad použití značky služby Storage k omezení síťového přístupu najdete v tématu Omezení síťového přístupu k prostředkům PaaS.
Skupiny zabezpečení aplikace
Skupiny zabezpečení aplikací umožňují konfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace. Můžete seskupovat virtuální počítače a na základě těchto skupin definovat zásady zabezpečení sítě. Zásady zabezpečení můžete opakovaně používat ve velkém měřítku bez potřeby ruční údržby explicitních IP adres. Další informace najdete v tématu Skupiny zabezpečení aplikací.
Pravidla správce zabezpečení
Pravidla správce zabezpečení jsou globální pravidla zabezpečení sítě, která vynucují zásady zabezpečení ve virtuálních sítích. Pravidla správy zabezpečení pocházejí ze služby Azure Virtual Network Manager, která správcům sítě umožňuje seskupovat, konfigurovat, nasazovat a spravovat virtuální sítě globálně napříč předplatnými.
Pravidla správce zabezpečení mají vždy vyšší prioritu než pravidla skupiny zabezpečení sítě a proto se vyhodnocují jako první. Pravidla "Povolit" pro správu zabezpečení budou pokračovat při vyhodnocování odpovídajícími pravidly skupiny zabezpečení sítě. Pravidla správce zabezpečení "Vždy povolit" a "Odepřít" však ukončí vyhodnocení provozu po zpracování pravidla správce zabezpečení. Pravidla správce zabezpečení "Vždy povolit" odesílají provoz přímo do prostředku a obcházejí potenciálně konfliktní pravidla skupiny zabezpečení sítě. Pravidla správce zabezpečení "Odepřít" blokují provoz bez doručení do cíle. Tato pravidla vynucují základní zásady zabezpečení bez rizika konfliktu skupin zabezpečení sítě, chybné konfigurace nebo zavedení mezer zabezpečení. Tyto typy akcí pravidel správce zabezpečení můžou být užitečné pro vynucení doručování provozu a zabránění konfliktnímu nebo neúmyslnému chování podřízenými pravidly skupiny zabezpečení sítě.
Toto chování je důležité pochopit, protože provoz odpovídající pravidlům správce zabezpečení s typem akce "vždy povolit" nebo "odepřít" neoslňuje pravidla skupin zabezpečení sítě k dalšímu posouzení. Další informace najdete v tématu Pravidla správce zabezpečení.
Časový limit toku
Důležité
Protokoly toku skupiny zabezpečení sítě (NSG) budou vyřazeny 30. září 2027. Po 30. červnu 2025 už nebudete moct vytvářet nové protokoly toku NSG. Doporučujeme migrovat na protokoly toku virtuální sítě, které řeší omezení protokolů toku NSG. Po datu vyřazení se už nebudou podporovat analýzy provozu pro protokoly toků NSG a stávající prostředky protokolu toku NSG ve vašich předplatných se odstraní. Existující záznamy protokolu toku NSG se ale ze služby Azure Storage neodstraní a budou dál dodržovat nakonfigurované zásady uchovávání informací. Další informace najdete v oficiálním oznámení.
Nastavení časového limitu toku určuje, jak dlouho záznam toku zůstane aktivní před vypršením platnosti. Toto nastavení můžete nakonfigurovat pomocí webu Azure Portal nebo prostřednictvím příkazového řádku. Další informace najdete v přehledu protokolů toku NSG.
Důležité informace o platformě Azure
Virtuální IP adresa hostitelského uzlu: Základní služby infrastruktury, jako je DHCP, DNS, IMDS a monitorování stavu, jsou poskytovány prostřednictvím virtualizovaných IP adres hostitele 168.63.129.16 a 169.254.169.254. Tyto IP adresy patří do Microsoftu a jsou to jediné virtualizované IP adresy používané ve všech oblastech pro tento účel. Ve výchozím nastavení se na tyto služby nevztahují nakonfigurované skupiny zabezpečení sítě, pokud nejsou cílem značek služeb specifických pro každou službu. Pokud chcete přepsat tuto základní komunikaci infrastruktury, můžete vytvořit pravidlo zabezpečení pro odepření provozu pomocí následujících značek služeb v pravidlech skupiny zabezpečení sítě: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Zjistěte, jak diagnostikovat filtrování síťového provozu a diagnostikovat směrování sítě.
Licencování (Služba správy klíčů): Image Windows spuštěné na virtuálních počítačích musí být licencované. Aby se zajistilo licencování, systém odešle požadavek na hostitelské servery služby správy klíčů, které tyto dotazy zpracovávají. Požadavek je vysílán přes port 1688. Pro nasazení používající konfiguraci výchozí trasy 0.0.0.0/0 je toto pravidlo platformy zakázané.
Virtuální počítače ve fondech s vyrovnáváním zatížení: Použitý zdrojový port a rozsah adres odpovídá zdrojovému počítači, a nikoli nástroji pro vyrovnávání zatížení. Cílový port a rozsah adres odpovídá cílovému počítači, a nikoli nástroji pro vyrovnávání zatížení.
Instance služeb Azure: Instance několika služeb Azure, jako je HDInsight, Application Service Environment a Virtual Machine Scale Sets, se nasazují v podsítích virtuální sítě. Podívejte se na úplný seznam služeb, které můžete nasadit do virtuálních sítí. Před použitím skupiny zabezpečení sítě pro podsíť se seznamte s požadavky na porty pro každou službu. Pokud odepřete porty vyžadované službou, služba nefunguje správně.
Odesílání odchozích e-mailů: Microsoft doporučuje k odesílání e-mailů ze služby Azure Virtual Machines využívat služby pro přenos přes ověřený protokol SMTP (obvykle připojené přes port TCP 587, ale často i jiný). Předávací služby SMTP se specializují na reputaci odesílatele, aby se minimalizovala možnost, že poskytovatelé e-mailu partnera odmítnou zprávy. Mezi takové služby přenosu SMTP patří mimo jiné Exchange Online Protection a SendGrid. Používání služeb pro přenos přes protokol SMTP v Azure není nijak omezeno, a to bez ohledu na typ předplatného.
Pokud jste předplatné Azure vytvořili před 15. listopadem 2017, můžete kromě toho, že budete moct používat předávací služby SMTP, odesílat e-maily přímo přes port TCP 25. Pokud jste předplatné vytvořili po 15. listopadu 2017, možná nebudete moct odesílat e-maily přímo přes port 25. Chování odchozí komunikace přes port 25 závisí na typu vašeho předplatného, a to následujícím způsobem:
Smlouva Enterprise: U virtuálních počítačů nasazených v předplatných se standardní smlouvou Enterprise nejsou odchozí připojení SMTP na portu TCP 25 blokovaná. Není však zaručeno, že externí domény přijímají příchozí e-maily z virtuálních počítačů. Pokud externí domény odmítne nebo filtruje e-maily, požádejte poskytovatele e-mailových služeb externích domén o vyřešení problémů. Na tyto problémy se podpora Azure nevztahuje.
Pro předplatná Enterprise pro vývoj/testování je port 25 ve výchozím nastavení blokovaný. Je možné, aby byl tento blok odstraněn. Pokud chcete požádat o odebrání bloku, přejděte do části Nejde odeslat e-mail (SMTP-Port 25) na stránce Nastavení diagnostiky a řešení pro prostředek služby Azure Virtual Network na webu Azure Portal a spusťte diagnostiku. Tento postup automaticky vyjímá kvalifikovaná podniková předplatná pro vývoj/testování.
Po vyjmutí odběru z tohoto bloku a zastavení a restartování virtuálních počítačů budou všechny virtuální počítače v tomto předplatném i nadále osvobozeny. Výjimka se vztahuje pouze na požadované předplatné a pouze na přenosy virtuálních počítačů, které směrují přímo na internet.
Průběžné platby: Odchozí komunikace přes port 25 ze všech prostředků je blokovaná. Nelze provést žádné žádosti o odebrání omezení, protože žádosti nejsou uděleny. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.
MSDN, Azure Pass, Azure in Open, Education a Free trial: Odchozí komunikace přes port 25 je blokovaná ze všech prostředků. Nelze provést žádné žádosti o odebrání omezení, protože žádosti nejsou uděleny. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.
Poskytovatel cloudových služeb: Odchozí komunikace přes port 25 je blokovaná ze všech prostředků. Nelze provést žádné žádosti o odebrání omezení, protože žádosti nejsou uděleny. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.
Další kroky
Zjistěte, které prostředky Azure můžete nasadit do virtuální sítě. Informace o přidružení skupin zabezpečení sítě k nim najdete v tématu Integrace virtuální sítě pro služby Azure .
Informace o tom, jak skupiny zabezpečení sítě vyhodnocují provoz, najdete v tématu Jak fungují skupiny zabezpečení sítě.
Podle tohoto rychlého kurzu vytvořte skupinu zabezpečení sítě.
Pokud už skupiny zabezpečení sítě znáte a potřebujete je spravovat, přečtěte si téma Správa skupiny zabezpečení sítě.
Pokud máte problémy s komunikací a potřebujete řešit potíže se skupinami zabezpečení sítě, přečtěte si téma Diagnostika potíží s filtrováním síťového provozu virtuálních počítačů.
Zjistěte, jak povolit protokoly toku virtuální sítě k analýze síťového provozu procházejícího přes virtuální síť, která může odpovídat přidružené skupině zabezpečení sítě.