Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede usar un grupo de seguridad de red de Azure para filtrar el tráfico de red entre recursos de Azure en redes virtuales de Azure. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante o el tráfico de red saliente de varios tipos de recursos de Azure.
En este artículo se explican las propiedades de una regla de grupo de seguridad de red y las reglas de seguridad predeterminadas aplicadas por Azure. También se describe cómo modificar las propiedades de regla para crear una regla de seguridad aumentada.
Reglas de seguridad
Un grupo de seguridad de red contiene reglas de seguridad de red según sea necesario, dentro de los límites de suscripción de Azure. Cada regla especifica las siguientes propiedades:
| Propiedad | Explicación |
|---|---|
| Nombre | Un nombre único dentro del grupo de seguridad de red. El nombre puede tener hasta 80 caracteres. Debe comenzar con un carácter de palabra y debe terminar con un carácter de palabra o con _. El nombre puede contener caracteres de palabra, ., -o \_. |
| Prioridad | Un número entre 100 y 4096. Las reglas se procesan en orden de prioridad, con números más bajos procesados antes de números más altos porque los números más bajos tienen mayor prioridad. Cuando el tráfico coincide con una regla, el procesamiento se detiene. Como resultado, las reglas que existen con prioridades más bajas (números más altos) que tienen los mismos atributos que las reglas con prioridades más altas no se procesan. Las reglas de seguridad predeterminadas de Azure reciben la prioridad más baja (número más alto) para asegurarse de que las reglas personalizadas siempre se procesan primero. |
| Origen o destino | Puede especificar Any, una dirección IP individual, un bloque CIDR (por ejemplo, 10.0.0.0/24), una etiqueta de servicio o un grupo de seguridad de aplicaciones. Para especificar un recurso de Azure determinado, use la dirección IP privada asignada al recurso. Para el tráfico entrante, los grupos de seguridad de red procesan el tráfico después de que Azure traduzca direcciones IP públicas a direcciones IP privadas. Para el tráfico saliente, los grupos de seguridad de red procesan el tráfico antes de traducir direcciones IP privadas a direcciones IP públicas.
Escriba un intervalo, una etiqueta de servicio o un grupo de seguridad de aplicaciones para reducir el número de reglas de seguridad necesarias. Las reglas de seguridad aumentadas permiten especificar varias direcciones IP individuales y intervalos en una sola regla. Sin embargo, no se pueden especificar varias etiquetas de servicio ni grupos de aplicaciones en una sola regla. Las reglas de seguridad aumentadas solo están disponibles en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager. En el modelo de implementación clásica, no se pueden especificar varias direcciones IP ni intervalos en una sola regla. Por ejemplo, si el origen es la subred 10.0.1.0/24 (donde se encuentra VM1) y el destino es la subred 10.0.2.0/24 (donde se encuentra VM2), el grupo de seguridad de red filtra el tráfico de VM2. Este comportamiento se produce porque el grupo de seguridad de red está asociado a la interfaz de red de VM2. |
| Protocolo | TCP, UDP, ICMP, ESP, AH o cualquiera. Los protocolos ESP y AH no están disponibles actualmente en Azure Portal, pero se pueden usar mediante plantillas de ARM. |
| Dirección | Si la regla se aplica al tráfico entrante o saliente. |
| Intervalo de puertos | Puede especificar un puerto individual o intervalos de puertos. Por ejemplo, podría especificar 80 o 10000-10005; o para una combinación de puertos y intervalos individuales, puede separarlos con comas, como 80, 10000-10005. Especificar intervalos y separación de comas le permite crear menos reglas de seguridad. Las reglas de seguridad aumentada solo se pueden generar en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager. No puede especificar múltiples puertos o intervalos de puertos en la misma regla de seguridad dentro de los grupos de seguridad de red creados mediante el modelo de implementación clásica. |
| Acción | Permitir o denegar el tráfico especificado. |
Las reglas de seguridad se evalúan y se aplican en función de la información del quinteto de origen, puerto de origen, destino, puerto de destino y protocolo. No puede crear dos reglas de seguridad con la misma prioridad y dirección. Dos reglas de seguridad con la misma prioridad y dirección pueden introducir un conflicto en la forma en que el sistema procesa el tráfico. Se crea un registro de flujo para las conexiones existentes. Se permite o deniega la comunicación en función del estado de conexión del registro de flujo. El registro de flujo permite que un grupo de seguridad de red sea con estado. Por ejemplo, si especifica una regla de seguridad de salida para cualquier dirección a través del puerto 80, no será necesario especificar una regla de seguridad de entrada para la respuesta al tráfico saliente. Solo debe especificar una regla de seguridad de entrada si la comunicación se inicia de forma externa. Lo contrario es cierto. Si se permite el tráfico entrante a través de un puerto, no es necesario especificar una regla de seguridad de salida para responder al tráfico a través del puerto.
Al quitar una regla de seguridad que permitía una conexión, las conexiones existentes permanecen ininterrumpidas. Las reglas del grupo de seguridad de red solo afectan a las nuevas conexiones. Las reglas nuevas o actualizadas de un grupo de seguridad de red se aplican exclusivamente a las nuevas conexiones, lo que deja las conexiones existentes no afectadas por los cambios. Por ejemplo, si tiene una sesión SSH activa en una máquina virtual y, a continuación, quita la regla de seguridad que permite ese tráfico SSH, la sesión ssh actual permanece conectada y funcional. Sin embargo, si intenta establecer una nueva conexión SSH después de la eliminación de la regla de seguridad, se bloqueará ese nuevo intento de conexión.
Hay límites para el número de reglas de seguridad que puede crear en un grupo de seguridad de red y otras propiedades del grupo de seguridad de red. Para más información, consulte el artículo acerca de los límites de Azure.
Reglas de seguridad predeterminadas
Azure crea las siguientes reglas predeterminadas en cada grupo de seguridad de red que cree:
Entrante
AllowVNetInBound
| Prioridad | Fuente | Puertos de origen | Destino | Puertos de destino | Protocolo | Acceso |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Cualquiera | Permitir |
AllowAzureLoadBalancerInBound
| Prioridad | Fuente | Puertos de origen | Destino | Puertos de destino | Protocolo | Acceso |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer (equilibrador de carga de Azure) | 0-65535 | 0.0.0.0/0 | 0-65535 | Cualquiera | Permitir |
DenyAllInbound
| Prioridad | Fuente | Puertos de origen | Destino | Puertos de destino | Protocolo | Acceso |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Cualquiera | Denegar |
Saliente
AllowVnetOutBound
| Prioridad | Fuente | Puertos de origen | Destino | Puertos de destino | Protocolo | Acceso |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Cualquiera | Permitir |
AllowInternetOutBound
| Prioridad | Fuente | Puertos de origen | Destino | Puertos de destino | Protocolo | Acceso |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Cualquiera | Permitir |
DenyAllOutBound
| Prioridad | Fuente | Puertos de origen | Destino | Puertos de destino | Protocolo | Acceso |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Cualquiera | Denegar |
En las columnas Origen y Destino , VirtualNetwork, AzureLoadBalancer e Internet son etiquetas de servicio en lugar de direcciones IP. En la columna Protocolo , Any abarca TCP, UDP e ICMP. Al crear una regla, puede especificar TCP, UDP, ICMP o Any. 0.0.0.0/0 en las columnas Origen y Destino representa todas las direcciones IP. Los clientes como Azure Portal, la CLI de Azure o PowerShell pueden usar * o Cualquiera para esta expresión.
Las reglas predeterminadas no se pueden quitar, pero puede reemplazarlas con reglas de prioridad más alta.
Reglas de seguridad aumentada
Las reglas de seguridad aumentada simplifican la definición de seguridad de las redes virtuales, lo que le permite definir directivas de seguridad de red más grandes y complejas con menos reglas. Puede combinar varios puertos y varias direcciones IP explícitas e intervalos en una única regla de seguridad de fácil comprensión. Use reglas aumentadas en los campos de origen, destino y puerto de una regla. Para simplificar el mantenimiento de la definición de la regla de seguridad, combine las reglas de seguridad aumentada con etiquetas de servicio o grupos de seguridad de aplicaciones. Hay límites para el número de direcciones, intervalos y puertos que puede especificar en una regla de seguridad. Para más información, consulte el artículo acerca de los límites de Azure.
Etiquetas de servicio
Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Ayuda a minimizar la complejidad de las actualizaciones frecuentes en las reglas de seguridad de red.
Para más información, consulte Etiquetas de servicio de Azure. Para ver un ejemplo de cómo usar la etiqueta del servicio Storage para restringir el acceso a la red, consulte Restricción del acceso de red a los recursos de PaaS.
Grupos de seguridad de aplicaciones
Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos. Puede reutilizar la directiva de seguridad a escala sin mantenimiento manual de direcciones IP explícitas. Para más información, consulte Grupos de seguridad de aplicaciones.
Reglas de administrador de seguridad
Las reglas de administración de seguridad son reglas de seguridad de red globales que aplican directivas de seguridad en redes virtuales. Las reglas de administración de seguridad se originan en Azure Virtual Network Manager, un servicio de administración que permite a los administradores de red agrupar, configurar, implementar y administrar redes virtuales globalmente entre suscripciones.
Las reglas de administración de seguridad siempre tienen una prioridad más alta que las reglas del grupo de seguridad de red y, por tanto, se evalúan primero. Las reglas de administración de seguridad "Permitir" continúan siendo evaluadas aplicando las reglas del grupo de seguridad de red. Sin embargo, las reglas de administración de seguridad "Permitir siempre" y "Denegar" finalizan la evaluación del tráfico después de procesar la regla de administración de seguridad. Las reglas de administración de seguridad "Always allow" envían tráfico directamente al recurso, evitando reglas de grupo de seguridad de red que potencialmente podrían generar conflictos. Las reglas de administración de seguridad "Denegar" bloquean el tráfico sin entregarlo al destino. Estas reglas aplican la directiva de seguridad de línea de base sin riesgo de conflicto de grupo de seguridad de red, configuración incorrecta o introducción de brechas de seguridad. Estos tipos de acción de regla de administración de seguridad pueden ser útiles para aplicar la entrega del tráfico y evitar comportamientos conflictivos o no deseados mediante reglas de grupo de seguridad de red de bajada.
Este comportamiento es fundamental de entender, ya que el tráfico que coincide con las reglas de administración de seguridad con tipos de acción "Permitir siempre" o "Denegar" no alcanza las reglas del grupo de seguridad de red para ser evaluado adicionalmente. Para más información, consulte Reglas de administración de seguridad.
Tiempo de espera de flujo
Importante
Los registros de flujo del grupo de seguridad de red (NSG) se retirarán el 30 de septiembre de 2027. Después del 30 de junio de 2025, ya no podrá crear nuevos registros de flujo de NSG. Se recomienda migrar a los registros de flujo de red virtual, que abordan las limitaciones de los registros de flujo de NSG. Después de la fecha de retirada, el análisis de tráfico habilitado para los NSG flow logs ya no se admitirá, y los recursos existentes de NSG flow logs en sus suscripciones serán eliminados. Sin embargo, los registros de registro de flujo de NSG existentes no se eliminarán de Azure Storage y seguirán siguiendo sus directivas de retención configuradas. Para obtener más información, consulte el anuncio oficial.
La configuración de tiempo de espera de flujo determina cuánto tiempo permanece activo un registro de flujo antes de expirar. Puede configurar esta opción mediante Azure Portal o a través de la línea de comandos. Para más información, consulte Introducción a los registros de flujo de NSG.
Consideraciones de la plataforma Azure
Dirección IP virtual del nodo de host: los servicios de infraestructura básica, como DHCP, DNS, IMDS y seguimiento de estado se proporcionan mediante las direcciones IP de host virtualizadas 168.63.129.16 y 169.254.169.254. Estas direcciones IP pertenecen a Microsoft y son la únicas direcciones IP virtualizadas que se usarán en todas las regiones con este fin. De forma predeterminada, estos servicios no están sujetos a los grupos de seguridad de red configurados a menos que estén dirigidos por las etiquetas de servicio específicas de cada servicio. Para invalidar esta comunicación de la infraestructura básica, puede crear una regla de seguridad para denegar el tráfico usando las siguientes etiquetas de servicio en las reglas del grupo de seguridad de red: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Aprenda sobre el diagnóstico del filtrado de tráfico de red y el diagnóstico del enrutamiento de red.
Licencias (Servicio de administración de claves) : las imágenes de Windows que se ejecutan en máquinas virtuales deben tener licencia. Para garantizar la concesión de licencias, el sistema envía una solicitud a los servidores host del servicio de administración de claves que controlan dichas consultas. La solicitud se realiza a través del puerto 1688. En el caso de las implementaciones que usan la configuración predeterminada de route 0.0.0.0/0 , esta regla de plataforma está deshabilitada.
Máquinas virtuales en grupos de carga equilibrada: el puerto y el intervalo de direcciones de origen aplicados proceden del equipo de origen, no del equilibrador de carga. El puerto y el intervalo de direcciones de destino son los del equipo de destino, no los del equilibrador de carga.
Instancias de servicio de Azure: las instancias de varios servicios de Azure, como HDInsight, Application Service Environments y Virtual Machine Scale Sets, se implementan en subredes de red virtual. Consulte una lista completa de los servicios que puede implementar en redes virtuales. Antes de aplicar un grupo de seguridad de red a la subred, familiarícese con los requisitos de puerto para cada servicio. Si deniega los puertos requeridos por el servicio, el servicio no funciona correctamente.
Envío de correo electrónico saliente: Microsoft recomienda usar servicios de retransmisión SMTP autenticados (que normalmente se conectan a través del puerto TCP 587, pero a menudo también de otros) para enviar correo electrónico desde Azure Virtual Machines. Los servicios de retransmisión SMTP se especializan en la reputación del remitente, para minimizar la posibilidad de que los proveedores de correo electrónico asociados rechacen mensajes. Estos servicios de retransmisión de SMTP incluyen Exchange Online Protection y SendGrid, pero no se limitan a ellos. El uso de servicios de retransmisión de SMTP no tiene ninguna restricción en Azure, independientemente del tipo de suscripción.
Si creó la suscripción de Azure antes del 15 de noviembre de 2017, además de poder usar los servicios de retransmisión SMTP, puede enviar correo electrónico directamente a través del puerto TCP 25. Si creó la suscripción después del 15 de noviembre de 2017, es posible que no pueda enviar correo electrónico directamente a través del puerto 25. El comportamiento de la comunicación saliente a través del puerto 25 depende del tipo de suscripción que tenga, como se indica a continuación:
Contrato Enterprise: en el caso de las máquinas virtuales que se implementan en las suscripciones estándar del Contrato Enterprise, no se bloquean las conexiones SMTP salientes en el puerto TCP 25. Sin embargo, no hay ninguna garantía de que los dominios externos acepten los correos electrónicos entrantes de las máquinas virtuales. Si los dominios externos rechazan o filtran correos electrónicos, póngase en contacto con los proveedores de servicios de correo electrónico de los dominios externos para resolver los problemas. Estos problemas no están cubiertos por el Soporte técnico de Azure.
En el caso de las suscripciones de Desarrollo/pruebas - Enterprise, el puerto 25 está bloqueado de manera predeterminada. Es posible quitar el bloqueo. Para solicitar que se quite el bloqueo, vaya a la sección No se puede enviar correo (puerto SMTP 25) de la página de configuración Diagnosticar y solucionar de un recurso de Azure Virtual Network en Azure Portal y ejecute el diagnóstico. Este procedimiento excluye automáticamente las suscripciones de desarrollo y pruebas empresariales calificadas.
Después de que la suscripción quede exenta de este bloqueo y se hayan detenido y reiniciado las VM, todas las VM de esa suscripción estarán exentas en el futuro. La exención solo se aplica a la suscripción solicitada y solo al tráfico de máquina virtual que enruta directamente a Internet.
Pago por uso: la comunicación del puerto de salida 25 está bloqueada en todos los recursos. No se pueden realizar solicitudes para quitar la restricción, ya que no se conceden solicitudes. Si necesita enviar correo electrónico desde la máquina virtual, debe usar un servicio de retransmisión SMTP.
MSDN, Pase para Azure, Azure bajo licencia Open, Education y Evaluación gratuita: la comunicación del puerto de salida 25 se bloquea en todos los recursos. No se pueden realizar solicitudes para quitar la restricción, ya que no se conceden solicitudes. Si necesita enviar correo electrónico desde la máquina virtual, debe usar un servicio de retransmisión SMTP.
Proveedor de Servicios en la Nube: la comunicación desde el puerto 25 hacia fuera está bloqueada en todos los recursos. No se pueden realizar solicitudes para quitar la restricción, ya que no se conceden solicitudes. Si necesita enviar correo electrónico desde la máquina virtual, debe usar un servicio de retransmisión SMTP.
Pasos siguientes
Obtenga información sobre los recursos de Azure que puede implementar en una red virtual. Consulte Integración de red virtual para los servicios de Azure para comprender cómo se pueden asociar los grupos de seguridad de red.
Para obtener información sobre cómo los grupos de seguridad de red evalúan el tráfico, consulte Funcionamiento de los grupos de seguridad de red.
Cree un grupo de seguridad de red siguiendo este tutorial rápido.
Si está familiarizado con los grupos de seguridad de red y necesita administrarlos, consulte Administración de un grupo de seguridad de red.
Si tiene problemas con las comunicaciones y necesita solucionar problemas de los grupos de seguridad de red, consulte Diagnóstico de un problema de filtro de tráfico de red de una máquina virtual.
Aprenda a habilitar los registros de flujo de red virtual para analizar el tráfico de red que fluye a través de una red virtual que podría coincidir con un grupo de seguridad de red asociado.