Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Azure-beli hálózati biztonsági csoportokkal szűrheti az Azure-beli virtuális hálózatokban lévő Azure-erőforrások közötti hálózati forgalmat. A hálózati biztonsági csoportok olyan biztonsági szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják a különböző típusú Azure-erőforrások bejövő vagy kimenő hálózati forgalmát.
Ez a cikk egy hálózati biztonsági csoportszabály tulajdonságait és az Azure által alkalmazott alapértelmezett biztonsági szabályokat ismerteti. Azt is ismerteti, hogyan módosíthatja a szabálytulajdonságokat egy kibővített biztonsági szabály létrehozásához.
Biztonsági szabályok
A hálózati biztonsági csoportok igény szerint tartalmaznak hálózati biztonsági szabályokat az Azure-előfizetés korlátain belül. Az egyes szabályok az alábbi tulajdonságokat határozzák meg:
| Tulajdonság | Magyarázat |
|---|---|
| Név | Egy egyedi név a hálózati biztonsági csoporton belül. A név legfeljebb 80 karakter hosszú lehet. Szó karakterrel kell kezdődnie, és egy szó karakterrel vagy _-vel kell végződnie. A név tartalmazhat szókarakterek, .vagy -\_. |
| Prioritás | Egy 100 és 4096 közötti szám. A szabályok prioritási sorrendben vannak feldolgozva, és az alacsonyabb számokat a nagyobb számok előtt dolgozzák fel, mivel az alacsonyabb számok prioritása magasabb. Ha az adatforgalom megfelel valamelyik szabálynak, a feldolgozás leáll. Ennek eredményeképpen a magasabb prioritású szabályokkal azonos attribútumokkal rendelkező alacsonyabb prioritású (magasabb számú) szabályok feldolgozása nem történik meg. Az Azure alapértelmezett biztonsági szabályai a legalacsonyabb prioritást (legmagasabb számot) kapják, hogy az egyéni szabályok mindig először legyenek feldolgozva. |
| Forrás vagy cél | Megadhat bármely, egyéni IP-címet, CIDR-blokkot (például 10.0.0.0/24), szolgáltatáscímkét vagy alkalmazásbiztonsági csoportot. Egy adott Azure-erőforrás megadásához használja az erőforráshoz rendelt magánhálózati IP-címet. Bejövő forgalom esetén a hálózati biztonsági csoportok feldolgozzák a forgalmat, miután az Azure lefordítja a nyilvános IP-címeket privát IP-címekre. Kimenő forgalom esetén a hálózati biztonsági csoportok feldolgozzák a forgalmat, mielőtt privát IP-címeket fordítanának nyilvános IP-címekre.
Adjon meg egy tartományt, szolgáltatáscímkét vagy alkalmazásbiztonsági csoportot a szükséges biztonsági szabályok számának csökkentése érdekében. A kiterjesztett biztonsági szabályok lehetővé teszik több egyedi IP-cím és tartomány megadását egyetlen szabályban. Egyetlen szabályban azonban nem adhat meg több szolgáltatáscímkét vagy alkalmazáscsoportot. A kiterjesztett biztonsági szabályok csak a Resource Manager üzemi modellel létrehozott hálózati biztonsági csoportokban érhetők el. A klasszikus üzemi modellben több IP-cím és tartomány nem adható meg egyetlen szabályban. Ha például a forrás a 10.0.1.0/24 alhálózat (ahol a VM1 található), és a cél a 10.0.2.0/24 alhálózat (ahol a VM2 található), a hálózati biztonsági csoport szűri a VM2 forgalmát. Ez a viselkedés azért fordul elő, mert az NSG a VM2 hálózati adapteréhez van társítva. |
| Protokoll | TCP, UDP, ICMP, ESP, AH vagy Bármely. Az ESP- és AH-protokollok jelenleg nem érhetők el az Azure Portalon, de ARM-sablonokon keresztül használhatók. |
| Irány | Függetlenül attól, hogy a szabály a bejövő vagy kimenő forgalomra vonatkozik-e. |
| Porttartomány | Megadhatja az egyes portokat vagy porttartományokat. Megadhat például 80 vagy 10000-10005 értéket; vagy az egyes portok és tartományok kombinációjához vesszővel elválaszthatja őket, például 80, 10000-10005. A tartományok meghatározása és a vesszők alkalmazása lehetővé teszi, hogy kevesebb biztonsági szabályt hozzon létre. Kibővített biztonsági szabályok kizárólag a Resource Manager-alapú üzemi modellben létrehozott hálózati biztonsági csoportokban hozhatóak létre. A klasszikus üzemi modellel létrehozott hálózati biztonsági csoportokban nem adhat meg több portot vagy porttartományt ugyanabban a biztonsági szabályban. |
| Művelet | Engedélyezze vagy tiltsa le a megadott forgalmat. |
A biztonsági szabályok kiértékelése és alkalmazása a forrás, a forrásport, a cél, a célport és a protokoll öt elem összessége alapján történik. Nem hozhat létre két azonos prioritású és irányú biztonsági szabályt. Két azonos prioritású és irányú biztonsági szabály ütközést okozhat a rendszer forgalmának folyamatában. Egy forgalmi rekord jön létre a meglévő kapcsolatokhoz. A kommunikáció a folyamatrekordok kapcsolati állapota alapján lesz engedélyezve vagy tiltva. A folyamatrekord teszi lehetővé a hálózati biztonsági csoport állapotalapú működését. Ha bármely címre meghatároz egy kimenő biztonsági szabályt a 80-as porton keresztül, nem szükséges megadnia egy bejövő biztonsági szabályt a válaszul kapott kimenő forgalomra. Ha a kommunikáció kívülről indul, csak egy bejövő biztonsági szabályt kell meghatároznia. Ennek az ellenkezője igaz. Ha a bejövő forgalom engedélyezett egy porton keresztül, nem szükséges kimenő biztonsági szabályt megadni a porton keresztüli forgalomra való reagáláshoz.
Ha eltávolít egy olyan biztonsági szabályt, amely engedélyezte a kapcsolatot, a meglévő kapcsolatok zavartalanok maradnak. A hálózati biztonsági csoport szabályai csak az új kapcsolatokat érintik. A hálózati biztonsági csoportok új vagy frissített szabályai kizárólag az új kapcsolatokra vonatkoznak, így a meglévő kapcsolatokat a változások nem érintik. Ha például aktív SSH-munkamenete van egy virtuális gépen, majd eltávolítja az SSH-forgalmat lehetővé tevő biztonsági szabályt, az aktuális SSH-munkamenet csatlakoztatva és működőképes marad. Ha azonban a biztonsági szabály eltávolítása után megpróbál új SSH-kapcsolatot létesíteni, az új kapcsolati kísérlet le lesz tiltva.
A hálózati biztonsági csoportokban létrehozható biztonsági szabályok száma és a hálózati biztonsági csoport egyéb tulajdonságai korlátozottak. További részletek: Az Azure korlátai.
Alapértelmezett biztonsági szabályok
Az Azure a következő alapértelmezett szabályokat hozza létre a létrehozott hálózati biztonsági csoportokban:
Bejövő
Engedélyezi a VNet befelé irányuló forgalmát
| Prioritás | Forrás | Forrásportok | Cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Bármely | Engedélyezés |
AllowAzureLoadBalancerInBound
| Prioritás | Forrás | Forrásportok | Cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|---|
| 65001 | Azure Terheléselosztó | 0-65535 | 0.0.0.0/0 | 0-65535 | Bármely | Engedélyezés |
DenyAllInbound
| Prioritás | Forrás | Forrásportok | Cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Bármely | Megtagadás |
Kimenő
Vnet kimenő forgalom engedélyezése
| Prioritás | Forrás | Forrásportok | Cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Bármely | Engedélyezés |
InternetKimenetEngedélyezése
| Prioritás | Forrás | Forrásportok | Cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | internet | 0-65535 | Bármely | Engedélyezés |
DenyAllOutBound
| Prioritás | Forrás | Forrásportok | Cél | Célportok | Protokoll | Hozzáférés |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Bármely | Megtagadás |
A Forrás és cél oszlopban a VirtualNetwork, az AzureLoadBalancer és az Internetszolgáltatáscímkék , és nem IP-címek. A Protokolloszlopban az Any függvény a TCP, az UDP és az ICMP protokollt foglalja magában. Szabály létrehozásakor megadhatja a TCP, az UDP, az ICMP vagy az Any protokollt. A 0.0.0.0/0 a Forrás és a Cél oszlopban az összes IP-címet jelöli. Az olyan ügyfelek, mint az Azure Portal, az Azure CLI vagy a PowerShell, használhatják a *-t vagy az Any-t ehhez a kifejezéshez.
Az alapértelmezett szabályokat nem távolíthatja el, de felülbírálhatja őket magasabb prioritású szabályok létrehozásával.
Kibővített biztonsági szabályok
A kiterjesztett biztonsági szabályok leegyszerűsítik a virtuális hálózatok biztonsági definícióját, így nagyobb és összetettebb hálózati biztonsági szabályzatokat határozhat meg kevesebb szabmánnyal. Több portot, több konkrét IP-címet és -tartományt foglalhat egyetlen, könnyen érthető biztonsági szabályba. Kibővített szabályokat a szabályok forrás, cél és port mezőiben is használhat. A biztonsági szabály definíciójának egyszerűbb karbantartása érdekében kombinálhatja a kibővített biztonsági szabályokat szolgáltatáscímkékkel vagy alkalmazásbiztonsági csoportokkal. A biztonsági szabályban megadható címek, tartományok és portok száma korlátozott. További részletek: Az Azure korlátai.
Szolgáltatáscímkék
A szolgáltatáscímkék egy adott Azure-szolgáltatás IP-címelőtagjainak egy csoportját jelölik. Segít minimalizálni a hálózati biztonsági szabályok gyakori frissítéseinek összetettségét.
További információ: Azure-szolgáltatáscímkék. A Storage szolgáltatáscímkéjének a hálózati hozzáférés korlátozására való használatával kapcsolatban lásd a PaaS-erőforrásokhoz való hálózati hozzáférés korlátozását ismertető témakört.
Alkalmazásbiztonsági csoportok
Az alkalmazásbiztonsági csoportokkal az alkalmazás struktúrájának természetes bővítményeként konfigurálhatja a hálózati biztonságot, így csoportosíthatja a virtuális gépeket, és ezen csoportok alapján meghatározhatja a hálózati biztonsági szabályokat. A biztonsági szabályokat újrahasznosíthatja nagy léptékben is a konkrét IP-címek manuális karbantartása nélkül. További információ: Alkalmazásbiztonsági csoportok.
Biztonsági rendszergazdai szabályok
A biztonsági rendszergazdai szabályok globális hálózati biztonsági szabályok, amelyek biztonsági szabályzatokat kényszerítenek ki a virtuális hálózatokra. A biztonsági rendszergazdai szabályok az Azure Virtual Network Managerből származnak, amely egy felügyeleti szolgáltatás, amely lehetővé teszi a hálózati rendszergazdák számára a virtuális hálózatok globális csoportosítását, konfigurálását, üzembe helyezését és kezelését az előfizetések között.
A biztonsági rendszergazdai szabályok mindig magasabb prioritással rendelkeznek, mint a hálózati biztonsági csoport szabályai, ezért a rendszer először kiértékeli azokat. Az "engedélyező" biztonsági rendszergazda szabályok folyamatosan kiértékelésre kerülnek a hálózati biztonsági csoport szabályainak egyeztetésével. Az "Always allow" és a "Deny" biztonsági rendszergazdai szabályok azonban a biztonsági rendszergazdai szabály feldolgozása után leállítja a forgalom kiértékelését. Az "Always allow" biztonsági rendszergazdai szabályok közvetlenül az erőforrásba küldik a forgalmat, elkerülve az esetlegesen ütköző hálózati biztonsági csoportszabályokat. A "Megtagadás" biztonsági rendszergazda szabályai megakadályozzák a forgalom továbbítását a cél felé. Ezek a szabályok a hálózati biztonsági csoportok ütközésének, helytelen konfigurációjának vagy biztonsági rések bevezetésének kockázata nélkül kényszerítik ki az alapszintű biztonsági szabályzatot. Ezek a biztonsági rendszergazdai szabályművelet-típusok hasznosak lehetnek a forgalomkézbesítés kikényszerítéséhez, valamint az alsóbb rétegbeli hálózati biztonsági csoportok szabályainak ütköző vagy nem szándékos viselkedésének megelőzéséhez.
Ezt a viselkedést fontos megérteni, mivel az "Always allow" vagy a "Deny" művelettípusok biztonsági rendszergazdai szabályainak megfelelő forgalom nem éri el a hálózati biztonsági csoport szabályait a további értékeléshez. További információ: Biztonsági rendszergazdai szabályok.
Folyamat időtúllépése
Fontos
A hálózati biztonsági csoport (NSG) folyamatnaplói 2027. szeptember 30-án megszűnnek. 2025. június 30-a után már nem hozhat létre új NSG-folyamatnaplókat. Javasoljuk, hogy migráljona virtuális hálózati folyamatnaplókba, amelyek az NSG-folyamatnaplók korlátait kezelik. A kivonási dátum után az NSG-folyamatnaplókhoz engedélyezett forgalomelemzés többé nem támogatott, és az előfizetésekben meglévő NSG-folyamatnapló-erőforrások törlődnek. A meglévő NSG-folyamatnapló-rekordok azonban nem törlődnek az Azure Storage-ból, és továbbra is betartják a konfigurált adatmegőrzési szabályzatokat. További információkért lásd a hivatalos közleményt.
A folyamat időtúllépési beállításai határozzák meg, hogy egy folyamatrekord mennyi ideig marad aktív a lejárat előtt. Ezt a beállítást az Azure Portalon vagy a parancssoron keresztül konfigurálhatja. További információ: NSG-folyamatnaplók áttekintése.
Tudnivalók az Azure platformhoz
A gazdacsomópont virtuális IP-címe: Az olyan alapvető infrastruktúra-szolgáltatások, mint a DHCP, a DNS, az IMDS és az állapotfigyelés a 168.63.129.16 és a 169.254.169.254 virtualizált gazdagép IP-címén keresztül érhetők el. Ezek az IP-címek a Microsofthoz tartoznak, és az egyetlen virtualizált IP-cím, amelyet erre a célra minden régióban használnak. Alapértelmezés szerint ezekre a szolgáltatásokra nem vonatkoznak a konfigurált hálózati biztonsági csoportok, kivéve, ha célzottak az egyes szolgáltatásokhoz tartozó szolgáltatáscímkék. Az alapvető infrastruktúra-kommunikáció felülbírálásához létrehozhat egy biztonsági szabályt a forgalom letiltásához a következő szolgáltatáscímkék használatával a hálózati biztonsági csoport szabályain: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Megtudhatja, hogyan diagnosztizálhatja a hálózati forgalom szűrését és a hálózati útválasztás diagnosztizálását.
Licencelés (kulcskezelő szolgáltatás): A virtuális gépeken futó Windows-rendszerképeket licencelni kell. A licencelés biztosítása érdekében a rendszer kérést küld az ilyen lekérdezéseket kezelő Kulcskezelési szolgáltatás gazdakiszolgálóinak. A kérést az 1688-as kimenő porton küldik el. Az alapértelmezett 0.0.0.0/0-s konfigurációt használó telepítések esetében ez a platform szabály le van tiltva.
Virtuális gépek terheléselosztott poolokban: Az alkalmazott forrásport és címtartomány a kiindulási számítógépről származnak, nem a terheléselosztóról. A célport és a címtartomány nem a terheléselosztóhoz, hanem a célszámítógéphez tartozik.
Azure-szolgáltatáspéldányok: Számos Azure-szolgáltatás példányai, például a HDInsight, az Application Service Environments és a virtuálisgép-méretezési csoportok vannak üzembe helyezve a virtuális hálózati alhálózatokban. Tekintse meg a virtuális hálózatokon üzembe helyezhető szolgáltatások teljes listáját. Mielőtt hálózati biztonsági csoportot alkalmaz az alhálózatra, ismerkedjen meg az egyes szolgáltatások portkövetelményeivel. Ha megtagadja a szolgáltatás által igényelt portokat, a szolgáltatás nem működik megfelelően.
Kimenő e-mailek küldése: A Microsoft azt javasolja, hogy hitelesített SMTP-továbbítási szolgáltatásokkal (legtöbbször az 587-es TCP-porton, de gyakran más portokon keresztül) küldjön e-maileket az Azure Virtual Machines rendszeréből. Az SMTP-továbbítási szolgáltatások a feladók hírnevére specializálódnak, hogy minimalizálják annak lehetőségét, hogy a partner e-mail-szolgáltatók elutasítsák az üzeneteket. Az ilyen SMTP-továbbítási szolgáltatások közé tartoznak a Exchange Online Védelmi szolgáltatás és a SendGrid, de nem kizárólagosan. Az SMTP-továbbítási szolgáltatások használata nincsen korlátozva az Azure-ban, függetlenül attól, hogy milyen előfizetése van.
Ha 2017. november 15. előtt hozta létre az Azure-előfizetését, az SMTP-továbbítási szolgáltatások használata mellett közvetlenül a 25-ös TCP-porton keresztül is küldhet e-maileket. Ha 2017. november 15. után hozta létre előfizetését, előfordulhat, hogy nem tud közvetlenül a 25-ös porton keresztül e-mailt küldeni. A 25-ös porton keresztül folytatott kimenő kommunikáció viselkedése az előfizetés típusától függ, amely lehet:
Nagyvállalati Szerződés: A standard Nagyvállalati Szerződés-előfizetésekben üzembe helyezett virtuális gépek esetében a 25-ös TCP-porton lévő kimenő SMTP-kapcsolatok nincsenek letiltva. Nincs azonban garancia arra, hogy a külső tartományok elfogadják a virtuális gépekről érkező bejövő e-maileket. Ha a külső tartományok elutasítják vagy szűrik az e-maileket, forduljon a külső tartományok levelezési szolgáltatóihoz a problémák megoldásához. Az ilyen problémák megoldása nem az Azure ügyfélszolgálatának hatáskörébe tartozik.
Enterprise Dev/Test előfizetések esetében alapértelmezés szerint a 25-ös port le van tiltva. Lehetséges eltávolítani a blokkolást. Ha el szeretné távolítani a blokkot, lépjen az Azure PortalOn található Azure Virtual Network-erőforrás Diagnosztikai és megoldási beállítások lapjának Nem lehet e-mail küldése (SMTP-Port 25) szakaszára, és futtassa a diagnosztikát. Ez az eljárás automatikusan mentesíti a minősített vállalati fejlesztési/tesztelési előfizetéseket.
Miután az előfizetés mentességet kapott a letiltás alól, és a virtuális gépek le lettek állítva, majd újra lettek indítva, a továbbiakban az előfizetéshez tartozó minden virtuális gép megőrzi a mentességet. A kivétel csak a kért előfizetésre vonatkozik, és csak a közvetlenül az internetre irányuló virtuálisgép-forgalomra.
Használatalapú fizetés: a 25-ös porton keresztüli kimenő kommunikáció minden erőforráson blokkolva van. A korlátozás eltávolítására nem lehet kérelmet küldeni, mert a kérések nem adhatók meg. Ha mindenképp szeretne e-mailt küldeni a virtuális gépről, használjon SMTP-továbbítási szolgáltatást.
MSDN, Azure Pass, Azure in Open, Education és Ingyenes próbaverzió: A kimenő 25-ös port kommunikációja minden erőforrásból le van tiltva. A korlátozás eltávolítására nem lehet kérelmet küldeni, mert a kérések nem adhatók meg. Ha mindenképp szeretne e-mailt küldeni a virtuális gépről, használjon SMTP-továbbítási szolgáltatást.
Felhőszolgáltató: A kimenő 25-ös port kommunikációja minden erőforrásból le van tiltva. A korlátozás eltávolítására nem lehet kérelmet küldeni, mert a kérések nem adhatók meg. Ha mindenképp szeretne e-mailt küldeni a virtuális gépről, használjon SMTP-továbbítási szolgáltatást.
Következő lépések
Megtudhatja, hogy mely Azure-erőforrásokat helyezheti üzembe egy virtuális hálózaton. Tekintse meg az Azure-szolgáltatások virtuális hálózati integrációját , amelyből megtudhatja, hogyan társíthatók hozzájuk a hálózati biztonsági csoportok.
A hálózati biztonsági csoportok forgalmának értékeléséről a hálózati biztonsági csoportok működése című témakörben olvashat.
Hozzon létre egy hálózati biztonsági csoportot a rövid oktatóanyag követésével.
Ha már ismeri a hálózati biztonsági csoportok működését, és kezelni szeretné őket, tekintse meg a hálózati biztonsági csoportok kezelését bemutató témakört.
Ha kommunikációs problémákat tapasztal, és hibaelhárítást végezne a hálózati biztonsági csoportokon, tekintse meg a virtuális gépek hálózatiforgalom-szűrési problémáinak diagnosztizálását ismertető rövid útmutatót.
Megtudhatja, hogyan engedélyezheti a virtuális hálózati forgalom naplóit egy társított hálózati biztonsági csoportnak megfelelő virtuális hálózaton áthaladó hálózati forgalom elemzéséhez.