Crear, modificar o eliminar un grupo de seguridad de red
Al utilizar las reglas de seguridad en grupos de seguridad de red (NSG) puede filtrar el tipo de tráfico de red que fluye dentro y fuera de las interfaces de red y las subredes de redes virtuales. Para obtener más información sobre los grupos de seguridad de red, consulte Información general de los grupos de seguridad de red. Después, complete el tutorial Filtrado del tráfico de red para obtener experiencia con los grupos de seguridad de red.
Requisitos previos
Si no tiene una cuenta de Azure con una suscripción activa, puede crear una cuenta gratuita. Complete una de estas tareas antes de continuar con este artículo:
Usuarios de Portal: Inicie sesión en Azure Portal con su cuenta de Azure.
Usuarios de PowerShell: ejecute los comandos en Azure Cloud Shell o bien ejecute PowerShell localmente en el equipo. Cloud Shell es un servicio de shell interactivo gratuito que se puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta. En la pestaña explorador de Cloud Shell, busque la lista desplegable Seleccionar entorno. A continuación, seleccione PowerShell si aún no está seleccionado.
Si ejecuta PowerShell en el entorno local, use la versión del módulo de Azure PowerShell 1.0.0 o una posterior. Ejecute
Get-Module -ListAvailable Az.Network
para buscar la versión instalada. Si necesita instalarla o actualizarla, consulte el artículo sobre cómo instalar el módulo de Azure PowerShell. EjecuteConnect-AzAccount
para iniciar sesión en Azure.Usuarios de la CLI de Azure: Ejecute los comandos en Azure Cloud Shell o bien ejecute la CLI de Azure localmente en el equipo. Cloud Shell es un servicio de shell interactivo gratuito que se puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta. En la pestaña explorador de Cloud Shell, busque la lista desplegable Seleccionar entorno. A continuación, seleccione Bash si aún no está seleccionado.
Use la versión 2.0.28 de la CLI de Azure o una posterior si ejecuta la CLI de Azure en el entorno local. Ejecute
az --version
para buscar la versión instalada. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure. Ejecuteaz login
para iniciar sesión en Azure.
Asigne el Rol colaborador de red o un Rol personalizado con los permisos adecuados.
Trabajar con grupos de seguridad de red
Puede crear, ver todas, ver sus detalles, cambiar y eliminar un NSG. También puede asociar o desasociar un NSG a una interfaz de red o una subred.
Crear un grupo de seguridad de red
El número de NSG que puede crear para cada región y suscripción de Azure está limitado. Para obtener más información, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Seleccione + Create (+ Crear).
En la página Crear grupo de seguridad de red, en la pestaña Aspectos básicos, escriba o seleccione los valores siguientes:
Configuración Acción Detalles del proyecto Subscription Seleccione su suscripción a Azure. Resource group Seleccione un grupo de recursos existente o seleccione Crear nuevo para crear uno. Este ejemplo usa el grupo de recursos myResourceGroup
.Detalles de instancia Nombre del grupo de seguridad de red Escriba un nombre para el NSG que va a crear. Region Seleccione la región que desee. Seleccione Revisar + crear.
Cuando vea el mensaje Validación superada, seleccione Crear.
Ver todos los grupos de seguridad de red
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. Seleccione Grupos de seguridad de red en los resultados de la búsqueda para ver la lista de grupos de seguridad de red de la suscripción.
Ver detalles de un grupo de seguridad de red
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red y seleccione Grupos de seguridad de red en los resultados de la búsqueda.
Seleccione el nombre del NSG.
- En Configuración, vea las Reglas de seguridad de entrada, las Reglas de seguridad de salida, las Interfaces de red y las Subredes a las que está asociado el NSG.
- En Supervisión habilitar o deshabilitar Configuración de diagnóstico. Para más información, consulte Registro de recursos de un grupo de seguridad de red.
- En Ayuda, vea Reglas de seguridad eficaces. Para más información, consulte Diagnóstico de problemas de filtro del tráfico de red de la máquina virtual (VM).
Para más información sobre las configuraciones comunes de Azure que se muestran, consulte los artículos siguientes:
Cambiar un grupo de seguridad de red
Los cambios más comunes en un NSG son:
- Asociar o desasociar un grupo de seguridad de red en una interfaz de red
- Asociar o desasociar un grupo de seguridad de red en una subred
- Creación de una regla de seguridad
- Eliminar una regla de seguridad
Asociar o desasociar un grupo de seguridad de red en una interfaz de red
Para obtener más información sobre la asociación y desasociación de un NSG, consulte Asociación o desasociación de un grupo de seguridad de red.
Asociar o desasociar un grupo de seguridad de red en una subred
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Seleccione el nombre de NSG y, a continuación, seleccione Subredes.
Para asociar un NSG a la subred, seleccione + Asociar. A continuación, seleccione la red virtual y la subred a la que desea asociar el NSG. Seleccione Aceptar.
Para desasociar un NSG de la subred, seleccione los tres puntos situados junto a la subred desde la que desea desasociar el NSG y, a continuación, seleccioneDesasociar. Seleccione Sí.
Eliminar un grupo de seguridad de red
Si un NSG está asociado a cualquier subred o interfaces de red no se puede eliminar. Desasociar un NSG de todas las subredes e interfaces de red antes de intentar eliminarlo.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Seleccione el NSG que desea eliminar.
Seleccione Eliminar y, a continuación, seleccione Sí en el cuadro de diálogo de confirmación.
Trabajar con reglas de seguridad
Un NSG contiene cero o más reglas de seguridad. Las reglas de seguridad se pueden crear, ver todas, ver sus detalles, cambiar y eliminar.
Creación de una regla de seguridad
El número de reglas por NSG que puede crear para cada ubicación y suscripción de Azure está limitada. Para obtener más información, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Seleccione el nombre de NSG al que desea agregar una regla de seguridad.
Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.
Se muestran varias reglas existentes, incluidas algunas que quizás no haya agregado. Al crear un NSG, se crean varias reglas de seguridad predeterminadas en él. Para más información, consulte las Reglas de seguridad predeterminadas. Las reglas de seguridad predeterminadas no se pueden eliminar, pero pueden reemplazarse por reglas de prioridad más alta.
Seleccione + Agregar. Seleccione o agregue valores para las configuraciones siguientes y, luego, seleccione Agregar.
Configuración Valor Detalles Origen Uno de los valores siguientes: - Cualquiera
- Direcciones IP
- Mi dirección IP
- Etiqueta de servicio
- Grupo de seguridad de aplicaciones
Si selecciona Direcciones IP, debe especificar Intervalos de direcciones IP de origen o CIDR.
Si selecciona Etiqueta de servicio, también debe seleccionar una Etiqueta de servicio de origen.
Si selecciona Grupo de seguridad de aplicaciones, debe seleccionar un grupo de seguridad de aplicaciones existente. Si selecciona Grupo de seguridad de aplicaciones para Origen y Destino, las interfaces de red de ambos grupos de seguridad de aplicaciones deben estar en la misma red virtual. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones.
Intervalos de direcciones IP de origen y CIDR Lista delimitada por comas de direcciones IP e intervalos de Enrutamiento de interdominios sin clases (CIDR) Esta opción aparece si establece Origen en Direcciones IP. Debe especificar un valor único o una lista de varios valores separados por comas. Un ejemplo de varios valores es
10.0.0.0/16, 192.188.1.1
. El número de valores que puede especificar es limitado. Para más información, consulte Límites de Azure.Si la dirección IP que especifica está asignada a una VM de Azure, especifique su dirección IP privada, no la pública. Azure procesa las reglas de seguridad después de cambiar la dirección IP pública por una dirección IP privada para las reglas de seguridad de entrada, pero antes de cambiar una dirección IP privada por una dirección IP pública para las reglas de salida. Para más información sobre las direcciones IP en Azure, consulte Direcciones IP públicas y Direcciones IP privadas.
Etiqueta de servicio de origen Una etiqueta de servicio de la lista desplegable Esta configuración aparece si se establece Origen en Etiqueta de servicio para una regla de seguridad. Una etiqueta de servicio es un identificador predefinido para una categoría de direcciones IP. Para más información sobre las etiquetas de servicio disponibles y qué representa cada etiqueta, consulte Etiquetas de servicio. Grupo de seguridad de aplicación de origen Grupo de seguridad de aplicaciones existente Esta opción de configuración aparece si se establece Origen en Grupo de seguridad de aplicaciones. Seleccione un grupo de seguridad de aplicaciones que exista en la misma región que la interfaz de red. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones. Intervalos de puertos de origen Uno de los valores siguientes: - Un puerto único, como
80
- Un intervalo de puertos, como
1024-65535
- Una lista de puertos únicos o intervalos de puertos separados por comas, como
80, 1024-65535
- Un asterisco (
*
) para permitir el tráfico en cualquier puerto
Esta opción de configuración especifica los puertos en los que la regla permite o deniega el tráfico. El número de puertos que puede especificar es limitado. Para más información, consulte Límites de Azure. Destino Uno de los valores siguientes: - Cualquiera
- Direcciones IP
- Etiqueta de servicio
- Grupo de seguridad de aplicaciones
Si selecciona Direcciones IP, debe especificar Intervalos de direcciones IP de destino o CIDR.
Si selecciona Etiqueta de servicio, también debe seleccionar una Etiqueta de servicio de destino.
Si selecciona Grupo de seguridad de aplicaciones, debe seleccionar un grupo de seguridad de aplicaciones existente. Si selecciona Grupo de seguridad de aplicaciones para Origen y Destino, las interfaces de red de ambos grupos de seguridad de aplicaciones deben estar en la misma red virtual. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones.
Intervalos de direcciones IP de destino y CIDR Lista de direcciones IP e intervalos CIDR delimitados por comas Esta opción aparece si cambia Destino a Direcciones IP. De manera similar a Origen e Intervalos de direcciones IP de origen o CIDR, puede especificar uno o varios intervalos o direcciones. El número que puede especificar es limitado. Para más información, consulte Límites de Azure.
Si la dirección IP que especifica está asignada a una VM de Azure, asegúrese de especificar su dirección IP privada, no la pública. Azure procesa las reglas de seguridad después de cambiar la dirección IP pública por una dirección IP privada para las reglas de seguridad de entrada, pero antes de cambiar una dirección IP privada por una dirección IP pública para las reglas de salida. Para más información sobre las direcciones IP en Azure, consulte Direcciones IP públicas y Direcciones IP privadas.
Etiqueta de servicio de destino Una etiqueta de servicio de la lista desplegable Esta configuración aparece si se establece Destino en Etiqueta de servicio para una regla de seguridad. Una etiqueta de servicio es un identificador predefinido para una categoría de direcciones IP. Para más información sobre las etiquetas de servicio disponibles y qué representa cada etiqueta, consulte Etiquetas de servicio. Grupo de seguridad de aplicación de destino Grupo de seguridad de aplicaciones existente Esta opción de configuración aparece si se establece Destino en Grupo de seguridad de aplicaciones. Seleccione un grupo de seguridad de aplicaciones que exista en la misma región que la interfaz de red. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones. Servicio Un protocolo de destino de la lista desplegable Esta configuración especifica el protocolo de destino y el intervalo de puertos para la regla de seguridad. Puede elegir un servicio predefinido, como RDP, o seleccionar Personalizar y proporcionar el intervalo de puertos en Intervalos de puertos de destino. Intervalos de puertos de destino Uno de los valores siguientes: - Un puerto único, como
80
- Un intervalo de puertos, como
1024-65535
- Una lista de puertos únicos o intervalos de puertos separados por comas, como
80, 1024-65535
- Un asterisco (
*
) para permitir el tráfico en cualquier puerto
Como con Intervalos de puertos de origen, puede especificar uno o varios puertos e intervalos. El número que puede especificar es limitado. Para más información, consulte Límites de Azure. Protocolo Cualquiera, TCP, UDP o ICMP Puede restringir la regla al Protocolo de control de transmisión (TCP), el Protocolo de datagramas de usuario (UDP) y el Protocolo de mensajes de control de Internet (ICMP). La opción predeterminada es que la regla se aplique a todos los protocolos (Cualesquiera). Acción Permitir o Denegar Esta opción de configuración especifica si esta regla permite o deniega el acceso a la configuración de origen y de destino proporcionada. Prioridad Escriba un valor de 100 a 4096 que sea único para todas las reglas de seguridad dentro de NSG Azure procesa las reglas de seguridad en orden de prioridad. Cuanto menor sea el número, mayor será la prioridad. Se recomienda dejar un espacio entre los números de prioridad al crear reglas, como 100, 200 y 300. Dejar espacios facilita la adición de reglas en el futuro, de modo que pueda asignarles una prioridad mayor o menor que las reglas existentes. Nombre Un nombre único para la regla dentro de NSG Puede tener hasta 80 caracteres. Debe comenzar con una letra o un número y terminar con una letra, un número o un carácter de subrayado. El nombre solo puede contener letras, números, caracteres de subrayado, puntos o guiones. Descripción Descripción de texto Opcionalmente, puede especificar una descripción de texto para la regla de seguridad. La descripción no puede tener más de 140 caracteres.
Ver todas las reglas de seguridad
Un NSG contiene cero o más reglas. Para obtener más información sobre la lista de información al ver las reglas, consulte Reglas de seguridad.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Seleccione el nombre de NSG para el que desea ver las reglas.
Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.
La lista contiene las reglas que ha creado y las reglas de seguridad predeterminadas de NSG.
Ver detalles de una regla de seguridad
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Seleccione el nombre de NSG para el que desea ver las reglas.
Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.
Seleccione la regla para la que desea ver los detalles. Para obtener una explicación de todas las opciones, consulte Configuración de reglas de seguridad.
Nota:
Este procedimiento solo se aplica a una regla de seguridad personalizada. No funciona si elige una regla de seguridad predeterminada.
Cambiar una regla de seguridad
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Seleccione el nombre de NSG para el que desea ver las reglas.
Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.
Seleccione la regla que quiere cambiar.
Cambie la configuración según sea necesario y, a continuación, seleccione Guardar. Para obtener una explicación de todas las opciones, consulte Configuración de reglas de seguridad.
Nota:
Este procedimiento solo se aplica a una regla de seguridad personalizada. No se permite cambiar una regla de seguridad predeterminada.
Eliminar una regla de seguridad
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.
Seleccione el nombre de NSG para el que desea ver las reglas.
Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.
Seleccione las reglas que quiere eliminar.
Seleccione Eliminar y, luego, seleccione Sí.
Nota:
Este procedimiento solo se aplica a una regla de seguridad personalizada. No se permite eliminar una regla de seguridad predeterminada.
Trabajar con grupos de seguridad de aplicaciones
Un grupo de seguridad de aplicaciones contiene una interfaz de red, varias o ninguna. Para más información, consulte Grupos de seguridad de aplicaciones. Todas las interfaces de red de un grupo de seguridad de aplicaciones deben existir en la misma red virtual. Para obtener información sobre cómo agregar una interfaz de red a un grupo de seguridad de aplicaciones, consulte el tema sobre cómo agregar una interfaz de red a un grupo de seguridad de aplicaciones.
Crear un grupo de seguridad de aplicaciones
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda.
Seleccione + Create (+ Crear).
En la página Crear un grupo de seguridad de aplicaciones, en la pestaña Aspectos básicos, escriba los valores siguientes:
Configuración Acción Detalles del proyecto Subscription Seleccione su suscripción a Azure. Resource group Seleccione un grupo de recursos existente o seleccione Crear nuevo para crear uno. Este ejemplo usa el grupo de recursos myResourceGroup
.Detalles de instancia Nombre Escriba un nombre para el grupo de seguridad de aplicaciones que va a crear. Region Seleccione la región en la que desea crear el grupo de seguridad de aplicaciones. Seleccione Revisar + crear.
Cuando vea el mensaje Validación superada, seleccione Crear.
Ver todos los grupos de seguridad de aplicaciones
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda. Azure Portal muestra una lista de sus grupos de seguridad de aplicaciones.
Ver detalles de un grupo de seguridad de aplicaciones específico
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda.
Seleccione el grupo de seguridad de aplicaciones para el que desea ver los detalles.
Cambiar un grupo de seguridad de aplicaciones
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda.
Seleccione el grupo de seguridad de aplicaciones que quiere cambiar:
Seleccione Mover que se encuentra junto a Grupo de recursos o Suscripción para cambiar el grupo de recursos o la suscripción, respectivamente.
Seleccione Editar junto a Etiquetas para agregar o quitar etiquetas. Para más información, consulte Uso de etiquetas para organizar los recursos de Azure y la jerarquía de administración.
Nota:
No se puede cambiar la ubicación de un grupo de seguridad de aplicaciones.
Seleccione Control de acceso (IAM) para asignar o quitar permisos para el grupo de seguridad de aplicaciones.
Eliminar un grupo de seguridad de aplicaciones
No puede eliminar un grupo de seguridad de aplicaciones si contiene alguna interfaz de red. Para quitar todas las interfaces de red del grupo de seguridad de aplicaciones, cambie la configuración de la interfaz de red o elimine las interfaces de red. Para obtener más información, consulte Adición o eliminación de grupos de seguridad de aplicaciones o Eliminación de una interfaz de red.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda.
Seleccione el grupo de seguridad de aplicaciones que quiera eliminar.
Haga clic en Eliminar y después en Sí para eliminar el grupo de seguridad de aplicaciones.
Permisos
Para administrar los NSG, reglas de seguridad y grupos de seguridad de aplicaciones, la cuenta debe asignarse al rol Colaborador de red. También puede usar un rol personalizado con los permisos adecuados asignados, como se muestra en las tablas siguientes.
Nota:
Es posible que no vea la lista completa de etiquetas de servicio si el rol Colaborador de red se ha asignado en un nivel de grupo de recursos. Para ver la lista completa, puede asignar este rol en un ámbito de suscripción en su lugar. Si solo puede permitir el rol Colaborador de red para el grupo de recursos, también puede crear un rol personalizado para los permisos Microsoft.Network/locations/serviceTags/read
y Microsoft.Network/locations/serviceTagDetails/read
. Asígnelos en un ámbito de suscripción junto con el rol Colaborador de red en el ámbito del grupo de recursos.
Grupo de seguridad de red
Acción | Nombre |
---|---|
Microsoft.Network/networkSecurityGroups/read |
Obtener un NSG. |
Microsoft.Network/networkSecurityGroups/write |
Crear o actualizar un NSG. |
Microsoft.Network/networkSecurityGroups/delete |
Eliminar un NSG. |
Microsoft.Network/networkSecurityGroups/join/action |
Asociar un NSG a una subred o interfaz de red. |
Nota:
Para realizar operaciones write
en un NSG, la cuenta de la suscripción debe tener al menos permisos read
para el grupo de recursos, así como el permiso Microsoft.Network/networkSecurityGroups/write
.
Regla de grupo de seguridad de red
Acción | Nombre |
---|---|
Microsoft.Network/networkSecurityGroups/securityRules/read |
Obtener una regla. |
Microsoft.Network/networkSecurityGroups/securityRules/write |
Crear o actualizar una regla. |
Microsoft.Network/networkSecurityGroups/securityRules/delete |
Eliminar una regla. |
Grupo de seguridad de aplicaciones
Acción | Nombre |
---|---|
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action |
Unir una configuración IP a un grupo de seguridad de aplicaciones. |
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action |
Unir una regla de seguridad a un grupo de seguridad de aplicaciones. |
Microsoft.Network/applicationSecurityGroups/read |
Obtener un grupo de seguridad de aplicaciones. |
Microsoft.Network/applicationSecurityGroups/write |
Crear o actualizar un grupo de seguridad de aplicaciones. |
Microsoft.Network/applicationSecurityGroups/delete |
Eliminar un grupo de seguridad de aplicaciones. |
Contenido relacionado
- Agregue o quite una interfaz de red en un grupo de seguridad de aplicaciones.
- Crear y asignar Definiciones de Azure Policy para redes virtuales.