Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können eine Azure-Netzwerksicherheitsgruppe (NSG) verwenden, um Netzwerkdatenverkehr von und zu Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen oder ausgehenden Netzwerkdatenverkehr von diesen zulassen oder verweigern. Für jede Regel können Sie die Quelle, das Ziel, den Port und das Protokoll angeben.
Sie können Ressourcen von mehreren Azure-Diensten in einem virtuellen Azure-Netzwerk bereitstellen. Eine vollständige Liste finden Sie unter Dienste, die in einem virtuellen Netzwerk bereitgestellt werden können. Sie können jedem Subnetz eines virtuellen Netzwerks und jeder Netzwerkschnittstelle eines virtuellen Computers keine oder eine Netzwerksicherheitsgruppe zuordnen. Sie können dieselbe Netzwerksicherheitsgruppe beliebig vielen Subnetzen und Netzwerkschnittstellen zuordnen.
Die folgende Abbildung veranschaulicht verschiedene Szenarien dazu, wie Netzwerksicherheitsgruppen bereitgestellt werden können, um Netzwerkdatenverkehr zum und aus dem Internet über TCP-Port 80 zuzulassen:
Im vorherigen Diagramm erfahren Sie, wie Azure eingehende und ausgehende Regeln verarbeitet. Die Abbildung zeigt, wie Netzwerksicherheitsgruppen die Datenverkehrsfilterung behandeln.
Eingehender Datenverkehr
Für eingehenden Datenverkehr verarbeitet Azure zuerst die Regeln in einer Netzwerksicherheitsgruppe, die einem Subnetz (sofern vorhanden) zugeordnet sind, und anschließend die Regeln in einer Netzwerksicherheitsgruppe, die der Netzwerkschnittstelle (sofern vorhanden) zugeordnet sind. Dieser Vorgang schließt auch den Datenverkehr innerhalb von Subnetzen ein.
VM1: NSG1 verarbeitet die Sicherheitsregeln, da NSG1subnetz1 zugeordnet ist und VM1 sich in Subnetz1 befindet. Die Standardsicherheitsregel DenyAllInbound blockiert den Datenverkehr; es sei denn, eine Regel lässt eingehenden Datenverkehr an Port 80 zu. Die mit NSG2 verknüpfte Netzwerkschnittstelle wertet den blockierten Datenverkehr nicht aus. Wenn NSG1 jedoch port 80 in seiner Sicherheitsregel zulässt, wertet NSG2 den Datenverkehr aus. Um Port 80 auf den virtuellen Computer zuzulassen, muss sowohl NSG1 als auch NSG2 eine Regel enthalten, die Port 80 aus dem Internet zulässt.
VM2: Die Regeln in NSG1 werden verarbeitet, da VM2 sich auch in Subnet1 befindet. Da der Netzwerkschnittstelle von VM2 keine Netzwerksicherheitsgruppe zugeordnet ist, empfängt sie den gesamten zulässigen Datenverkehr über NSG1, oder der gesamte Datenverkehr wird durch NSG1 verweigert. Datenverkehr wird für alle Ressourcen im selben Subnetz entweder zugelassen oder verweigert, wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist.
VM3: Da Subnet2 keine Netzwerksicherheitsgruppe zugeordnet ist, ist eingehender Datenverkehr an das Subnetz zulässig und wird von NSG2 verarbeitet, da NSG2 der Netzwerkschnittstelle zugeordnet ist, die VM3 angefügt ist.
VM4: Datenverkehr ist für VM4 blockiert, da Subnet3 oder der Netzwerkschnittstelle im virtuellen Computer keine Netzwerksicherheitsgruppe zugeordnet ist. Der gesamte Netzwerkdatenverkehr ist über ein Subnetz und eine Netzwerkschnittstelle blockiert, wenn diesen keine Netzwerksicherheitsgruppe zugeordnet ist. Der virtuelle Computer mit einer öffentlichen Standard-IP-Adresse ist standardmäßig sicher. Damit Datenverkehr aus dem Internet fließen kann, muss dem Subnetz oder der Netzwerkkarte des virtuellen Computers eine NSG zugewiesen werden. Weitere Informationen finden Sie unter Version der IP-Adresse
Ausgehender Datenverkehr
Für ausgehenden Datenverkehr verarbeitet Azure zuerst die Regeln in einer Netzwerksicherheitsgruppe, die einer Netzwerkschnittstelle (sofern vorhanden) zugeordnet sind, und anschließend die Regeln in einer Netzwerksicherheitsgruppe, die dem Subnetz (sofern vorhanden) zugeordnet sind. Dieser Vorgang schließt auch den Datenverkehr innerhalb von Subnetzen ein.
VM1: Die Sicherheitsregeln in NSG2 werden verarbeitet. Die Standardsicherheitsregel AllowInternetOutbound in NSG1 und NSG2 lässt den Datenverkehr zu, es sei denn, Sie erstellen eine Sicherheitsregel, die den ausgehenden Port 80 ins Internet verweigert. Wenn NSG2 Port 80 in der Sicherheitsregel blockiert, wird der Datenverkehr abgelehnt, und NSG1 wertet ihn nie aus. Um Port 80 für die virtuelle Maschine zu verweigern, muss mindestens eine der beiden Netzwerksicherheitsgruppen eine Regel enthalten, die den Zugriff von Port 80 aus dem Internet verweigert.
VM2:Der gesamte Datenverkehr wird über die Netzwerkschnittstelle an das Subnetz gesendet, da der Netzwerkschnittstelle, die an VM2 angefügt ist, keine Netzwerksicherheitsgruppe zugeordnet ist. Die Regeln in NSG1 werden verarbeitet.
VM3: Wenn NSG2 Port 80 in der Sicherheitsregel verweigert, wird der Datenverkehr verweigert. Wenn NSG2 Port 80 nicht verweigert, lässt die Standardsicherheitsregel AllowInternetOutbound in NSG2 den Datenverkehr zu, weil Subnet2 keine Netzwerksicherheitsgruppe zugeordnet ist.
VM4: Der gesamte Netzwerkdatenverkehr von VM4 ist zulässig, da der Netzwerkschnittstelle, die an die VM angefügt ist, oder Subnet3 keine Netzwerksicherheitsgruppe zugeordnet ist.
Subnetzinterner Datenverkehr
Es ist wichtig zu beachten, dass Sicherheitsregeln in einer Netzwerksicherheitsgruppe, die einem Subnetz zugeordnet ist, die Konnektivität zwischen VMs innerhalb dieses Subnetzes beeinflussen können. Standardmäßig können VMs im selben Subnetz basierend auf einer NSG-Standardregel kommunizieren, die den subnetzinternen Datenverkehr ermöglicht. Wenn Sie NSG1 eine Regel hinzufügen, die den gesamten eingehenden und ausgehenden Datenverkehr verweigert, kann VM1 und VM2 nicht miteinander kommunizieren.
Sie können die Aggregatregeln, die auf eine Netzwerkschnittstelle angewendet werden, leicht prüfen, indem Sie die geltenden Sicherheitsregeln für eine Netzwerkschnittstelle anzeigen. Sie können auch in Azure Network Watcher die Funktion Überprüfen des IP-Flusses verwenden, um zu ermitteln, ob die Kommunikation für eine Netzwerkschnittstelle in ein- oder ausgehender Richtung zulässig ist. Sie können IP-Datenflussüberprüfung verwenden, um zu ermitteln, ob ein bestimmter Kommunikationsvorgang zulässig ist oder verweigert wird. Darüber hinaus verwenden Sie IP-Datenflussüberprüfung, um die Identität der Netzwerksicherheitsregel anzuzeigen, die für das Zulassen oder Verweigern des Datenverkehrs verantwortlich ist.
Tipp
Wir empfehlen Ihnen, eine Netzwerksicherheitsgruppe einem Subnetz oder einer Netzwerkschnittstelle zuzuordnen, aber nicht beiden, sofern kein zwingender Grund dafür vorliegt. Regeln in einer Netzwerksicherheitsgruppe, die einem Subnetz zugeordnet ist, können mit Regeln in einer Netzwerksicherheitsgruppe in Konflikt stehen, die einer Netzwerkschnittstelle zugeordnet ist. Möglicherweise haben Sie unerwartete Kommunikationsprobleme, die eine Problembehandlung erfordern.
Nächste Schritte
Erfahren Sie, welche Azure-Ressourcen Sie in einem virtuellen Netzwerk bereitstellen können. Weitere Informationen finden Sie unter "Virtuelle Netzwerkintegration für Azure-Dienste ", um Ressourcen zu finden, die Netzwerksicherheitsgruppen unterstützen.
Um eine Netzwerksicherheitsgruppe zu erstellen, führen Sie ein kurzes Lernprogramm aus, um Erfahrung beim Erstellen einer Gruppe zu erhalten.
Wenn Sie sich mit Netzwerksicherheitsgruppen auskennen und diese verwalten müssen, finden Sie unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe weitere Informationen.
Wenn Kommunikationsschwierigkeiten auftreten und Sie Probleme mit Netzwerksicherheitsgruppen beheben müssen, finden Sie unter Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers weitere Informationen.
Informieren Sie sich über die Aktivierung von Netzwerksicherheitsgruppen-Flussprotokollen zum Analysieren des Netzwerkdatenverkehrs zu und von Ressourcen, denen eine Netzwerksicherheitsgruppe zugeordnet ist.