Een netwerkbeveiligingsgroep maken, wijzigen of verwijderen

Netwerkbeveiligingsgroepen (NSG's) beheren de netwerkverkeersstroom via beveiligingsregels die verkeer filteren op en uit subnetten van virtuele netwerken en netwerkinterfaces. Deze handleiding laat zien hoe u netwerkbeveiligingsgroepen maakt, wijzigt of verwijdert om de beveiliging van uw virtuele Azure-netwerk te verbeteren. Leer hoe u NSG-regels beheert met behulp van Azure Portal, PowerShell en Azure CLI. Zie het overzicht van netwerkbeveiligingsgroepen voor meer informatie over NSG's. Voltooi vervolgens de zelfstudie Netwerkverkeer filteren om praktijkervaring op te doen met NSG's.

Prerequisites

Als u geen Azure-account met een actief abonnement hebt, maakt u er gratis een. Voer een van deze taken uit voordat u de rest van dit artikel start:

• Portalgebruikers: meld u aan bij Azure Portal met uw Azure-account.

• PowerShell-gebruikers: voer de opdrachten uit in Azure Cloud Shell of voer PowerShell lokaal uit vanaf uw computer. Cloud Shell is een gratis interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. Het bevat veelgebruikte Azure-hulpprogramma's die vooraf zijn geïnstalleerd en geconfigureerd voor gebruik met uw account. Zoek op het tabblad Cloud Shell-browser de vervolgkeuzelijst Omgeving selecteren . Selecteer vervolgens PowerShell als deze nog niet is geselecteerd.

  Als u PowerShell lokaal uitvoert, gebruikt u Azure PowerShell-moduleversie 1.0.0 of hoger. Voer Get-Module -ListAvailable Az.Network uit om te kijken welke versie is geïnstalleerd. Als u PowerShell wilt installeren of upgraden, raadpleegt u De Azure PowerShell-module installeren. Uitvoeren Connect-AzAccount om u aan te melden bij Azure.

• Azure CLI-gebruikers: voer de opdrachten uit in Cloud Shell of voer de Azure CLI lokaal uit vanaf uw computer. Cloud Shell is een gratis interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. Het bevat veelgebruikte Azure-hulpprogramma's die vooraf zijn geïnstalleerd en geconfigureerd voor gebruik met uw account. Zoek op het tabblad Cloud Shell-browser de vervolgkeuzelijst Omgeving selecteren . Selecteer vervolgens Bash als deze nog niet is geselecteerd.

  Als u de Azure CLI lokaal uitvoert, gebruikt u Azure CLI versie 2.0.28 of hoger. Voer az --version uit om te kijken welke versie is geïnstalleerd. Als u uw CLI wilt installeren of upgraden, raadpleegt u De Azure CLI installeren. Uitvoeren az login om u aan te melden bij Azure.

Wijs de rol Inzender voor netwerken of een aangepaste rol toe met de juiste machtigingen.

Met netwerkbeveiligingsgroepen werken

U kunt een NSG maken, alles weergeven, details van, wijzigen en verwijderen. U kunt ook een NSG koppelen of ontkoppelen vanuit een netwerkinterface of een subnet.

Een netwerkbeveiligingsgroep maken

Azure beperkt het aantal NSG's dat u voor elke Azure-regio en elk abonnement kunt maken. Zie azure-abonnements- en servicelimieten, quota en beperkingen voor meer informatie.

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer + Maken.

3. Voer op de pagina Netwerkbeveiligingsgroep maken op het tabblad Basisbeginselen de volgende waarden in of selecteer deze:

   Setting	Action
   Projectdetails
   Subscription	Selecteer uw Azure-abonnement.
   Bronnengroep	Selecteer een bestaande resourcegroep of maak een nieuwe resourcegroep door Nieuwe maken te selecteren. In dit voorbeeld wordt de myResourceGroup resourcegroep gebruikt.
   Instantiegegevens
   Naam van netwerkbeveiligingsgroep	Voer een naam in voor uw nieuwe NSG. In dit voorbeeld wordt de naam myNSGgebruikt.
   Region	Selecteer de gewenste regio waar u de NSG wilt maken.

4. Selecteer Controleren + maken.

5. Nadat het bericht Validatie is geslaagd , selecteert u Maken.

PowerShell

Gebruik New-AzNetworkSecurityGroup om een NSG te maken met de naam myNSG in de regio VS - oost. De NSG met de naam myNSG wordt gemaakt in de bestaande myResourceGroup resourcegroep.

# Define parameters for the new NSG
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
    Location          = "eastus"
}

# Create the network security group
New-AzNetworkSecurityGroup @NSGParams

Azure-CLI

Gebruik az network nsg create om een NSG te maken met de naam myNSG in de bestaande myResourceGroup resourcegroep.

az network nsg create \
    --resource-group myResourceGroup \
    --name myNSG

Alle netwerkbeveiligingsgroepen weergeven

Portal

Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten om de lijst met NSG's in uw abonnement weer te geven.

PowerShell

Gebruik Get-AzNetworkSecurityGroup om alle NSG's in uw abonnement weer te geven.

Get-AzNetworkSecurityGroup | format-table Name, Location, ResourceGroupName, ProvisioningState, ResourceGuid

Azure-CLI

Gebruik az network nsg list om alle NSG's in uw abonnement weer te geven.

az network nsg list --out table

Details van een netwerkbeveiligingsgroep weergeven

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in en selecteer Netwerkbeveiligingsgroepenin de zoekresultaten.

2. Selecteer de naam van uw NSG.

   • Bekijk in Instellingen de inkomende beveiligingsregels, uitgaande beveiligingsregels, netwerkinterfaces en subnetten waaraan de NSG koppelt.

   • Schakel in Bewakingdiagnostische instellingen in of uit. Zie Resourcelogboekregistratie voor een netwerkbeveiligingsgroep voor meer informatie.

   • Bekijk in Helpeffectieve beveiligingsregels. Zie Diagnose a virtual machine (VM) network traffic filter problem.

   

Zie de volgende artikelen voor meer informatie over de algemene Azure-instellingen die worden vermeld:

• Activiteitenlogboeken

• Identiteits- en toegangsbeheer (IAM) voor toegangsbeheer

• Tags

• Locks

• Automation-script

PowerShell

Gebruik Get-AzNetworkSecurityGroup om de details van een NSG weer te geven.

# Define parameters for the NSG
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}

# Retrieve the NSG
Get-AzNetworkSecurityGroup @NSGParams

Zie de volgende artikelen voor meer informatie over de algemene Azure-instellingen die worden vermeld:

• Activiteitenlogboeken

• Toegangsbeheer (IAM)

• Tags

• Locks

Azure-CLI

Gebruik az network nsg show om de details van een NSG weer te geven.

az network nsg show \
    --resource-group myResourceGroup \
    --name myNSG

Zie de volgende artikelen voor meer informatie over de algemene Azure-instellingen die worden vermeld:

• Activiteitenlogboeken

• Toegangsbeheer (IAM)

• Tags

• Locks

Een netwerkbeveiligingsgroep wijzigen

De meest voorkomende wijzigingen in een NSG zijn:

• Een netwerkbeveiligingsgroep koppelen aan of loskoppelen van een netwerkinterface

• Een netwerkbeveiligingsgroep koppelen aan of loskoppelen van een subnet

• Een beveiligingsregel maken

• Een beveiligingsregel verwijderen

Een netwerkbeveiligingsgroep koppelen aan of loskoppelen van een netwerkinterface

Zie Een netwerkbeveiligingsgroep koppelen of ontkoppelen voor meer informatie over de koppeling en ontkoppeling van een NSG.

Een netwerkbeveiligingsgroep koppelen aan of loskoppelen van een subnet

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer vervolgens Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de naam van uw NSG en selecteer vervolgens Subnetten.

   • Als u een NSG aan het subnet wilt koppelen, selecteert u + Koppelen. Selecteer vervolgens uw virtuele netwerk en het subnet waaraan u de NSG wilt koppelen. Kies OK.

     

   • Als u een NSG wilt loskoppelen van het subnet, selecteert u de drie puntjes naast het subnet waaruit u de NSG wilt loskoppelen en selecteert u Dissociate. Selecteer Ja.

     

PowerShell

Gebruik Set-AzVirtualNetworkSubnetConfig om een NSG aan of van een subnet te koppelen of los te koppelen.

# Define parameters for the virtual network and subnet configuration
$VNetParams = @{
    Name              = "myVNet"
    ResourceGroupName = "myResourceGroup"
}
$SubnetParams = @{
    Name              = "mySubnet"
    AddressPrefix     = "10.0.0.0/24"
    NetworkSecurityGroup = $networkSecurityGroup
}

# Retrieve the virtual network
$virtualNetwork = Get-AzVirtualNetwork @VNetParams

# Update the subnet configuration
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $virtualNetwork @SubnetParams

# Update the virtual network
Set-AzVirtualNetwork -VirtualNetwork $virtualNetwork

Azure-CLI

Gebruik az network vnet subnet update to associate or dissociate an NSG to or from a subnet.

az network vnet subnet update \
    --resource-group myResourceGroup \
    --vnet-name myVNet \
    --name mySubnet \
    --network-security-group myNSG

Een netwerkbeveiligingsgroep verwijderen

Als een NSG is gekoppeld aan subnetten of netwerkinterfaces, kunt u deze niet verwijderen. Dissociate an NSG from all subnetten and network interfaces before you attempt to delete it.

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer vervolgens Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de NSG die u wilt verwijderen.

3. Selecteer Verwijderen en vervolgens Ja in het bevestigingsvenster.

   

PowerShell

Gebruik Remove-AzNetworkSecurityGroup om een NSG te verwijderen.

# Define parameters for the NSG to be removed
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}

# Remove the NSG
Remove-AzNetworkSecurityGroup @NSGParams

Azure-CLI

Gebruik az network nsg delete om een NSG te verwijderen.

az network nsg delete \
    --resource-group myResourceGroup \
    --name myNSG

Werken met beveiligingsregels

Een NSG kan meerdere beveiligingsregels bevatten. U kunt een beveiligingsregel maken, alles weergeven, details van, wijzigen en verwijderen .

Een beveiligingsregel maken

Azure beperkt het aantal regels per NSG dat u voor elke Azure-locatie en elk abonnement kunt maken. Zie azure-abonnements- en servicelimieten, quota en beperkingen voor meer informatie.

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer vervolgens Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de naam van de NSG waaraan u een beveiligingsregel wilt toevoegen.

3. Selecteer Inkomende beveiligingsregels of uitgaande beveiligingsregels.

   Wanneer u een NSG maakt, worden in Azure verschillende standaardbeveiligingsregels gemaakt. Zie Standaardbeveiligingsregels voor meer informatie. U kunt standaardbeveiligingsregels niet verwijderen, maar u kunt ze overschrijven met regels met een hogere prioriteit.

4. Selecteer + Toevoegen. Selecteer of voeg waarden toe voor de volgende instellingen en selecteer Vervolgens Toevoegen.

   Setting	Value	Details
   Source	Een van de volgende: Any IP-adressen Mijn IP-adres Servicetag Toepassingsbeveiligingsgroep	Als u IP-adressen selecteert, moet u ook bron-IP-adressen/CIDR-bereiken opgeven. Als u Servicetag selecteert, moet u ook een bronservicetag selecteren. Als u toepassingsbeveiligingsgroep selecteert, moet u ook een bestaande toepassingsbeveiligingsgroep selecteren. Als u toepassingsbeveiligingsgroep selecteert voor zowel bronals bestemming, moeten de netwerkinterfaces binnen beide toepassingsbeveiligingsgroepen zich in hetzelfde virtuele netwerk bevinden. Meer informatie over het maken van een toepassingsbeveiligingsgroep.
   IP-adressen/CIDR-bereiken van bron	Een door komma's gescheiden lijst met IP-adressen en CIDR-bereiken (Classless Interdomain Routing)	Deze instelling wordt weergegeven als u Bron instelt op IP-adressen. U moet één waarde of door komma's gescheiden lijst met meerdere waarden opgeven. Een voorbeeld van meerdere waarden is 10.0.0.0/16, 192.188.1.1. Het aantal waarden dat u kunt opgeven, is beperkt. Zie Azure-limieten voor meer informatie. Als het IP-adres dat u opgeeft, is toegewezen aan een Virtuele Azure-machine, moet u ervoor zorgen dat u het privé-IP-adres opgeeft, niet het openbare IP-adres. Meer informatie over het IP-adresomzettingsgedrag van NSG-regels vindt u in het overzicht.
   Bronservicetag	Een servicetag uit de vervolgkeuzelijst	Deze instelling wordt weergegeven als u Bron instelt op Servicetag voor een beveiligingsregel. Een servicetag is een vooraf gedefinieerde id voor een categorie IP-adressen. Zie Servicetags voor meer informatie over beschikbare servicetags en wat elke tag vertegenwoordigt.
   Beveiligingsgroep van brontoepassing	Een bestaande toepassingsbeveiligingsgroep	Deze instelling wordt weergegeven als u bron instelt op toepassingsbeveiligingsgroep. Selecteer een toepassingsbeveiligingsgroep die zich in dezelfde regio bevindt als de netwerkinterface. Meer informatie over het maken van een toepassingsbeveiligingsgroep.
   Bronpoortbereiken	Een van de volgende: Eén poort, zoals 80 Een reeks poorten, zoals 1024-65535 Een door komma's gescheiden lijst met enkele poorten en/of poortbereiken, zoals 80, 1024-65535 Een sterretje (*) om verkeer op elke poort toe te staan	Met deze instelling worden de poorten opgegeven waarop de regel verkeer toestaat of weigert. Het aantal poorten dat u kunt opgeven, is beperkt. Zie Azure-limieten voor meer informatie.
   Destination	Een van de volgende: Any IP-adressen Servicetag Toepassingsbeveiligingsgroep	Als u IP-adressen selecteert, moet u ook doel-IP-adressen/CIDR-bereiken opgeven. Als u Servicetag selecteert, moet u ook een doelservicetag selecteren. Als u toepassingsbeveiligingsgroep selecteert, moet u ook een bestaande toepassingsbeveiligingsgroep selecteren. Als u toepassingsbeveiligingsgroep selecteert voor zowel bronals bestemming, moeten de netwerkinterfaces binnen beide toepassingsbeveiligingsgroepen zich in hetzelfde virtuele netwerk bevinden. Meer informatie over het maken van een toepassingsbeveiligingsgroep.
   DOEL-IP-adressen/CIDR-bereiken	Een door komma's gescheiden lijst met IP-adressen en CIDR-bereiken	Deze instelling wordt weergegeven als u Bestemming wijzigt in IP-adressen. U kunt één of meerdere adressen of bereiken opgeven, zoals u kunt doen met bron - en bron-IP-adressen/CIDR-bereiken. Het getal dat u kunt opgeven, is beperkt. Zie Azure-limieten voor meer informatie. Als het IP-adres dat u opgeeft, is toegewezen aan een Virtuele Azure-machine, moet u ervoor zorgen dat u het privé-IP-adres opgeeft, niet het openbare IP-adres. Meer informatie over het IP-adresomzettingsgedrag van NSG-regels vindt u in het overzicht.
   Doelservicetag	Een servicetag uit de vervolgkeuzelijst	Deze instelling wordt weergegeven als u Bestemming instelt op Servicetag voor een beveiligingsregel. Een servicetag is een vooraf gedefinieerde id voor een categorie IP-adressen. Zie Servicetags voor meer informatie over beschikbare servicetags en wat elke tag vertegenwoordigt.
   Beveiligingsgroep van doeltoepassing	Een bestaande toepassingsbeveiligingsgroep	Deze instelling wordt weergegeven als u Doel instelt op Toepassingsbeveiligingsgroep. Selecteer een toepassingsbeveiligingsgroep die zich in dezelfde regio bevindt als de netwerkinterface. Meer informatie over het maken van een toepassingsbeveiligingsgroep.
   Service	Een doelprotocol in de vervolgkeuzelijst	Met deze instelling geeft u het doelprotocol en het poortbereik voor de beveiligingsregel op. U kunt een vooraf gedefinieerde service, zoals RDP, selecteren of Aangepast selecteren en het poortbereik opgeven in doelpoortbereiken.
   Poortbereiken van doel	Een van de volgende: Eén poort, zoals 80 Een reeks poorten, zoals 1024-65535 Een door komma's gescheiden lijst met enkele poorten en/of poortbereiken, zoals 80, 1024-65535 Een sterretje (*) om verkeer op elke poort toe te staan	Net als bij bronpoortbereiken kunt u enkele of meerdere poorten en bereiken opgeven. Het getal dat u kunt opgeven, is beperkt. Zie Azure-limieten voor meer informatie.
   Protocol	Alle, TCP, UDP of ICMP	U kunt de regel beperken tot Transmission Control Protocol (TCP), User Datagram Protocol (UDP) of Internet Control Message Protocol (ICMPv4 of ICMPv6). De standaardwaarde is dat de regel van toepassing is op alle protocollen (Any).
   Action	Toestaan of weigeren	Deze instelling geeft aan of deze regel toegang toestaat of weigert voor de opgegeven bron- en doelconfiguratie.
   Priority	Een waarde tussen 100 en 4096 die uniek is voor alle beveiligingsregels binnen de NSG	Azure verwerkt beveiligingsregels in volgorde van prioriteit. Hoe lager het getal, hoe hoger de prioriteit. U wordt aangeraden een kloof tussen prioriteitsnummers te laten wanneer u regels maakt, zoals 100, 200 en 300. Als u hiaten achterlaat, kunt u in de toekomst eenvoudiger regels toevoegen, zodat u ze een hogere of lagere prioriteit kunt geven dan bestaande regels.
   Name	Een unieke naam voor de regel binnen de NSG	De naam mag maximaal 80 tekens bevatten. Deze moet beginnen met een letter of cijfer en moet eindigen op een letter, cijfer of onderstrepingsteken. De naam mag alleen letters, cijfers, onderstrepingstekens, punten of afbreekstreepjes bevatten.
   Description	Een tekstbeschrijving	U kunt desgewenst een tekstbeschrijving opgeven voor de beveiligingsregel. De beschrijving mag niet langer zijn dan 140 tekens.

   

PowerShell

Gebruik Add-AzNetworkSecurityRuleConfig om een NSG-regel te maken.

# Define parameters for the NSG and security rule
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}
$RuleParams = @{
    Name                 = "RDP-rule"
    Description          = "Allow RDP"
    Access               = "Allow"
    Protocol             = "Tcp"
    Direction            = "Inbound"
    Priority             = 300
    SourceAddressPrefix  = "*"
    SourcePortRange      = "*"
    DestinationAddressPrefix = "*"
    DestinationPortRange = 3389
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# Add the security rule to the NSG
Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup @RuleParams

# Update the NSG
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure-CLI

Gebruik az network nsg rule create om een NSG-regel te maken.

az network nsg rule create \
    --resource-group myResourceGroup \
    --nsg-name myNSG \
    --name RDP-rule \
    --priority 300 \
    --destination-address-prefixes '*' \
    --destination-port-ranges 3389 \
    --protocol Tcp \
    --description "Allow RDP"

Dubbele beveiligingsregels

Als u bestaande beveiligingsregels wilt dupliceren, kunt u de JSON van de bestaande NSG exporteren, de securityRulesextraheren en opnemen in uw ARM-sjabloon.

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer vervolgens Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de naam van de NSG waarvoor u de regels wilt dupliceren.

3. Vouw op de overzichtspagina van de NSG de sectie Essentials uit en selecteer de JSON View-link aan de rechterkant.

4. Zoek in het deelvenster "properties" half. Zoek binnen "properties", zoek "securityRules". Kopieer het volledige object van de beveiligingsregel of regels die u wilt dupliceren.

5. Voer in het zoekvak boven aan de portal een aangepaste sjabloon implementeren in en selecteer deze in de zoekresultaten.

6. Selecteer op de pagina Aangepaste implementatieuw eigen sjabloon maken in de editor.

7. Geef op de pagina Sjabloon bewerken de bestaande NSG op waarnaar u de regels wilt dupliceren via de naam en locatie. Plak binnen de "properties"->"securityRules" van de NSG het gekopieerde beveiligingsregelobject of -objecten.

8. Selecteer Opslaan. Selecteer het gewenste abonnement, de resourcegroep en de regio en selecteer Vervolgens Beoordelen en maken.

---

Alle beveiligingsregels weergeven

Een NSG kan meerdere beveiligingsregels bevatten. Zie Beveiligingsregels voor meer informatie over de lijst met informatie wanneer u de regels bekijkt.

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer vervolgens Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de naam van de NSG waarvoor u de regels wilt weergeven.

3. Selecteer Inkomende beveiligingsregels of uitgaande beveiligingsregels.

   De lijst bevat alle regels die u hebt gemaakt en de standaardbeveiligingsregels van uw NSG.

   

PowerShell

Gebruik Get-AzNetworkSecurityRuleConfig om de beveiligingsregels van een NSG weer te geven.

# Define parameters for the NSG
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# List security rules of the NSG in a table
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup | Format-Table Name, Protocol, Access, Priority, Direction, SourcePortRange, DestinationPortRange, SourceAddressPrefix, DestinationAddressPrefix

Azure-CLI

Gebruik az network nsg rule list om de beveiligingsregels van een NSG weer te geven.

az network nsg rule list \
    --resource-group myResourceGroup \
    --nsg-name myNSG

De details van een beveiligingsregel weergeven

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer vervolgens Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de naam van de NSG waarvoor u de regels wilt weergeven.

3. Selecteer Inkomende beveiligingsregels of uitgaande beveiligingsregels.

4. Selecteer de regel waarvoor u details wilt weergeven. Zie Instellingen voor beveiligingsregels voor een uitleg van alle instellingen.

   Note

   Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. Dit werkt niet als u een standaardbeveiligingsregel kiest.

   

PowerShell

Gebruik Get-AzNetworkSecurityRuleConfig om de details van een beveiligingsregel weer te geven.

# Define parameters for the NSG and security rule
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}
$RuleParams = @{
    Name = "RDP-rule"
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# View details of the security rule
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup @RuleParams

Note

Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. Dit werkt niet als u een standaardbeveiligingsregel kiest.

Azure-CLI

Gebruik az network nsg rule show om de details van een beveiligingsregel weer te geven.

az network nsg rule show \
    --resource-group myResourceGroup \
    --nsg-name myNSG \
    --name RDP-rule

Note

Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. Dit werkt niet als u een standaardbeveiligingsregel kiest.

Een beveiligingsregel wijzigen

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer vervolgens Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de naam van de NSG waarvoor u de regels wilt weergeven.

3. Selecteer Inkomende beveiligingsregels of uitgaande beveiligingsregels.

4. Selecteer de regel die u wilt wijzigen.

5. Wijzig de instellingen van de regel indien nodig en selecteer Opslaan. Zie Instellingen voor beveiligingsregels voor een uitleg van alle instellingen.

   

   Note

   Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. U kunt geen standaardbeveiligingsregel wijzigen.

PowerShell

Gebruik Set-AzNetworkSecurityRuleConfig om een NSG-regel bij te werken.

# Define parameters for the NSG and security rule
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}
$RuleParams = @{
    Name                 = "RDP-rule"
    Description          = "Allow RDP"
    Access               = "Allow"
    Protocol             = "Tcp"
    Direction            = "Inbound"
    Priority             = 200
    SourceAddressPrefix  = "*"
    SourcePortRange      = "*"
    DestinationAddressPrefix = "*"
    DestinationPortRange = 3389
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# Update the security rule in the NSG
Set-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup @RuleParams

# Update the NSG
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Note

Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. U kunt geen standaardbeveiligingsregel wijzigen.

Azure-CLI

Gebruik az network nsg rule update om een NSG-regel bij te werken.

az network nsg rule update \
    --resource-group myResourceGroup \
    --nsg-name myNSG \
    --name RDP-rule \
    --priority 200

Note

Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. U kunt geen standaardbeveiligingsregel wijzigen.

Een beveiligingsregel verwijderen

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer vervolgens Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de naam van de NSG waarvoor u de regels wilt weergeven.

3. Selecteer Inkomende beveiligingsregels of uitgaande beveiligingsregels.

4. Selecteer de regel die u wilt verwijderen. U kunt meer dan één regel tegelijk selecteren om te verwijderen.

5. Selecteer Verwijderen en selecteer Vervolgens Ja.

   

   Note

   Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. U mag geen standaardbeveiligingsregel verwijderen.

PowerShell

Gebruik Remove-AzNetworkSecurityRuleConfig om een beveiligingsregel uit een NSG te verwijderen.

# Define parameters for the NSG and security rule. You may specify more than one rule to delete at a time
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}
$RuleParams = @{
    Name = "RDP-rule"
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# Remove the security rule from the NSG
Remove-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup @RuleParams

# Update the NSG
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Note

Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. U mag geen standaardbeveiligingsregel verwijderen.

Azure-CLI

Gebruik az network nsg rule delete om een beveiligingsregel uit een NSG te verwijderen.

az network nsg rule delete \
    --resource-group myResourceGroup \
    --nsg-name myNSG \
    --name RDP-rule

Note

Deze procedure is alleen van toepassing op een aangepaste beveiligingsregel. U mag geen standaardbeveiligingsregel verwijderen.

Werken met toepassingsbeveiligingsgroepen

Een toepassingsbeveiligingsgroep bevat nul of meer netwerkinterfaces. Zie Toepassingsbeveiligingsgroepen voor meer informatie. Alle netwerkinterfaces in een toepassingsbeveiligingsgroep moeten zich in hetzelfde virtuele netwerk bevinden. Zie Een netwerkinterface toevoegen aan een toepassingsbeveiligingsgroep voor informatie over het toevoegen van een netwerkinterface aan een toepassingsbeveiligingsgroep.

Een toepassingsbeveiligingsgroep maken

Portal

1. Voer in het zoekvak boven aan de portal toepassingsbeveiligingsgroep in. Selecteer vervolgens Toepassingsbeveiligingsgroepen in de zoekresultaten.

2. Selecteer + Maken.

3. Voer op de pagina Een toepassingsbeveiligingsgroep maken op het tabblad Basisbeginselen de volgende waarden in of selecteer deze:

   Setting	Action
   Projectdetails
   Subscription	Selecteer uw Azure-abonnement.
   Bronnengroep	Selecteer een bestaande resourcegroep of maak een nieuwe resourcegroep door Nieuwe maken te selecteren. In dit voorbeeld wordt de myResourceGroup resourcegroep gebruikt.
   Instantiegegevens
   Name	Voer een naam in voor de nieuwe toepassingsbeveiligingsgroep. In dit voorbeeld wordt de naam myASGgebruikt.
   Region	Selecteer de gewenste regio waar u de toepassingsbeveiligingsgroep wilt maken.

4. Selecteer Controleren + maken.

5. Nadat het bericht Validatie is geslaagd , selecteert u Maken.

PowerShell

Gebruik New-AzApplicationSecurityGroup om een toepassingsbeveiligingsgroep te maken.

# Define parameters for the new application security group
$ASGParams = @{
    ResourceGroupName = "myResourceGroup"
    Name              = "myASG"
    Location          = "eastus"
}

# Create the application security group
New-AzApplicationSecurityGroup @ASGParams

Azure-CLI

Gebruik az network asg create om een toepassingsbeveiligingsgroep te maken.

az network asg create \
    --resource-group myResourceGroup \
    --name myASG \
    --location eastus

Alle toepassingsbeveiligingsgroepen weergeven

Portal

Voer in het zoekvak boven aan de portal toepassingsbeveiligingsgroep in. Selecteer vervolgens Toepassingsbeveiligingsgroepen in de zoekresultaten. Er wordt een lijst met uw toepassingsbeveiligingsgroepen weergegeven in Azure Portal.

PowerShell

Gebruik Get-AzApplicationSecurityGroup om alle toepassingsbeveiligingsgroepen in uw Azure-abonnement weer te geven.

Get-AzApplicationSecurityGroup | format-table Name, ResourceGroupName, Location

Azure-CLI

Gebruik az network asg list om alle toepassingsbeveiligingsgroepen in een resourcegroep weer te geven.

az network asg list \
    --resource-group myResourceGroup \
    --out table

De details van een specifieke toepassingsbeveiligingsgroep weergeven

Portal

1. Voer in het zoekvak boven aan de portal toepassingsbeveiligingsgroep in. Selecteer vervolgens Toepassingsbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de toepassingsbeveiligingsgroep waarvoor u de details wilt weergeven.

PowerShell

Gebruik Get-AzApplicationSecurityGroup om de details van een toepassingsbeveiligingsgroep weer te geven.

Get-AzApplicationSecurityGroup -Name myASG

Azure-CLI

Gebruik az network asg show om de details van een toepassingsbeveiligingsgroep weer te geven.

az network asg show \
    --resource-group myResourceGroup \
    --name myASG

Een toepassingsbeveiligingsgroep wijzigen

Portal

1. Voer in het zoekvak boven aan de portal toepassingsbeveiligingsgroep in. Selecteer vervolgens Toepassingsbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de toepassingsbeveiligingsgroep die u wilt wijzigen:

   • Selecteer verplaatsen naast de resourcegroep of het abonnement om respectievelijk de resourcegroep of het abonnement te wijzigen.

   • Selecteer Bewerken naast Tags om tags toe te voegen of te verwijderen. Zie Tags gebruiken om uw Azure-resources en -beheerhiërarchie te organiseren voor meer informatie.

     

     Note

     U kunt de locatie van een toepassingsbeveiligingsgroep niet wijzigen.

   • Ga naar de sectie Toegangsbeheer (IAM) om machtigingen toe te wijzen of te verwijderen voor de toepassingsbeveiligingsgroep.

PowerShell

# Define parameters for the application security group
$ASGParams = @{
    ResourceGroupName = "myResourceGroup"
    Name              = "myASG"
}

# Retrieve the application security group
$applicationSecurityGroup = Get-AzApplicationSecurityGroup @ASGParams

New-AzTag -ResourceId $applicationSecurityGroup.Id -Tag @{ Dept = "Finance" }

Azure-CLI

Gebruik az network asg update om de tags voor een toepassingsbeveiligingsgroep bij te werken.

az network asg update \
    --resource-group myResourceGroup \
    --name myASG \
    --tags Dept=Finance

Note

U kunt de resourcegroep, het abonnement of de locatie van een toepassingsbeveiligingsgroep niet wijzigen met behulp van de Azure CLI.

Een toepassingsbeveiligingsgroep verwijderen

U kunt een toepassingsbeveiligingsgroep niet verwijderen als deze netwerkinterfaces bevat. Als u alle netwerkinterfaces uit de toepassingsbeveiligingsgroep wilt verwijderen, wijzigt u de netwerkinterface-instellingen of verwijdert u de netwerkinterfaces. Zie Een netwerkinterface toevoegen of verwijderen voormeer informatie.

Portal

1. Voer in het zoekvak boven aan de portal toepassingsbeveiligingsgroep in. Selecteer vervolgens Toepassingsbeveiligingsgroepen in de zoekresultaten.

2. Selecteer de toepassingsbeveiligingsgroep die u wilt verwijderen.

3. Selecteer Verwijderen en selecteer vervolgens Ja om de toepassingsbeveiligingsgroep te verwijderen.

   

PowerShell

Gebruik Remove-AzApplicationSecurityGroup om een toepassingsbeveiligingsgroep te verwijderen.

# Define parameters for the application security group to be removed
$ASGParams = @{
    ResourceGroupName = "myResourceGroup"
    Name              = "myASG"
}

# Remove the application security group
Remove-AzApplicationSecurityGroup @ASGParams

Azure-CLI

Gebruik az network asg delete om een toepassingsbeveiligingsgroep te verwijderen.

az network asg delete \
    --resource-group myResourceGroup \
    --name myASG

Permissions

Als u NSG's, beveiligingsregels en toepassingsbeveiligingsgroepen wilt beheren, moet uw account worden toegewezen aan de rol Netwerkbijdrager . U kunt ook een aangepaste rol gebruiken met de juiste machtigingen die zijn toegewezen, zoals vermeld in de volgende tabellen.

Note

Mogelijk ziet u niet de volledige lijst met servicetags als de rol Inzender voor netwerken is toegewezen op resourcegroepniveau. Als u de volledige lijst wilt weergeven, kunt u deze rol in plaats daarvan toewijzen aan een abonnementsbereik. Als u de rol Netwerkbijdrager alleen voor de resourcegroep kunt toestaan, kunt u ook een aangepaste rol maken voor de machtigingen Microsoft.Network/locations/serviceTags/read en Microsoft.Network/locations/serviceTagDetails/read. Wijs ze toe aan een abonnementsbereik, samen met de rol Inzender voor netwerken in het bereik van de resourcegroep.

Netwerkbeveiligingsgroep

Action	Name
Microsoft.Network/networkSecurityGroups/read	Haal een NSG op.
Microsoft.Network/networkSecurityGroups/write	Een NSG maken of bijwerken.
Microsoft.Network/networkSecurityGroups/delete	Een NSG verwijderen.
Microsoft.Network/networkSecurityGroups/join/action	Koppel een NSG aan een subnet of netwerkinterface.

Note

Als u bewerkingen wilt uitvoeren write op een NSG, moet het abonnementsaccount ten minste read machtigingen hebben voor de resourcegroep, samen met Microsoft.Network/networkSecurityGroups/write machtigingen.

Regel voor netwerkbeveiligingsgroep

Action	Name
Microsoft.Network/networkSecurityGroups/securityRules/read	Haal een regel op.
Microsoft.Network/networkSecurityGroups/securityRules/write	Een regel maken of bijwerken.
Microsoft.Network/networkSecurityGroups/securityRules/delete	Een regel verwijderen.

Toepassingsbeveiligingsgroep

Action	Name
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action	Voeg een IP-configuratie toe aan een toepassingsbeveiligingsgroep.
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action	Voeg een beveiligingsregel toe aan een toepassingsbeveiligingsgroep.
Microsoft.Network/applicationSecurityGroups/read	Haal een toepassingsbeveiligingsgroep op.
Microsoft.Network/applicationSecurityGroups/write	Een toepassingsbeveiligingsgroep maken of bijwerken.
Microsoft.Network/applicationSecurityGroups/delete	Een toepassingsbeveiligingsgroep verwijderen.

Verwante inhoud

• Een netwerkinterface toevoegen aan of verwijderen uit een toepassingsbeveiligingsgroep.

• Azure Policy-definities voor virtuele netwerken maken en toewijzen.