ネットワーク セキュリティ グループ規則を決定する
ネットワーク セキュリティ グループのセキュリティ規則を使用すると、ネットワーク トラフィックをフィルター処理できます。 規則を定義すると、仮想ネットワーク サブネットとネットワーク インターフェイス間のトラフィック フローを制御できます。
セキュリティ規則について知っておくべきこと
ネットワーク セキュリティ グループのセキュリティ規則の特性を確認してみましょう。
Azure では、受信トラフィックや送信トラフィックなど、各ネットワーク セキュリティ グループ内にいくつかの既定のセキュリティ規則が作成されます。 既定の規則の例としては、
DenyAllInboundトラフィックとAllowInternetOutboundトラフィックがあります。作成する各ネットワーク セキュリティ グループに、Azure によって既定のセキュリティ規則が作成されます。
条件を指定することで、ネットワーク セキュリティ グループにさらにセキュリティ規則 を追加できます。 最も一般的な条件の一覧を次に示します。
設定 価値 情報源 Any、IP アドレス、マイ IP アドレス、サービス タグ、またはアプリケーション セキュリティ グループ 送信ポート範囲 ルールがトラフィックを許可または拒否するポートを指定する 行き先 Any、IP アドレス、サービス タグ、またはアプリケーション セキュリティ グループ プロトコル ルールを伝送制御プロトコル (TCP)、ユーザー データグラム プロトコル (UDP)、またはインターネット制御メッセージ プロトコル (ICMP) に制限します。 既定では、ルールはすべてのプロトコル (Any) に適用されます。 アクション 許可または拒否 優先順位 NSG 内のすべてのセキュリティ規則に対して一意である 100 から 4096 の範囲の値 各セキュリティ規則には優先度値が割り当てられます。 ネットワーク セキュリティ グループのすべてのセキュリティ規則は、優先順位に従って処理されます。 規則の優先度の値が小さい場合、規則の優先度または優先順位は順序処理の観点から高くなります。
既定のセキュリティ規則を削除することはできません。
既定のセキュリティ規則をオーバーライドするには、ネットワーク セキュリティ グループの優先度設定がより高い別のセキュリティ規則を作成します。
受信トラフィック規則
Azure では、ネットワーク セキュリティ グループの既定の受信セキュリティ規則が 3 つ定義されています。 この規則では、仮想ネットワークと Azure ロード バランサーからのトラフィックを除く、すべての受信トラフィックが拒否されます。 次の図は、Azure portal のネットワーク セキュリティ グループの既定の受信セキュリティ規則を示しています。
送信トラフィック規則
Azure では、ネットワーク セキュリティ グループの既定の送信セキュリティ規則が 3 つ定義されています。 これらの規則では、インターネットと仮想ネットワークへの送信トラフィックのみが許可されます。 次の図は、Azure portal のネットワーク セキュリティ グループの既定の送信セキュリティ規則を示しています。
