Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt een Azure netwerkbeveiligingsgroep (NSG) gebruiken om netwerkverkeer naar en van Azure-resources in een virtueel Azure-netwerk te filteren. Een netwerkbeveiligingsgroep bevat beveiligingsregels waarmee binnenkomend netwerkverkeer naar of uitgaand netwerkverkeer van verschillende typen Azure-resources wordt toegestaan of geweigerd. Voor elke regel kunt u de bron en bestemming, poort en protocol specificeren.
Je kunt resources van verschillende Azure-diensten implementeren in een virtueel netwerk van Azure. Zie Services die kunnen worden geïmplementeerd in een virtueel netwerk voor een volledige lijst. U kunt nul of één netwerkbeveiligingsgroep koppelen aan elk subnet van het virtuele netwerk en de netwerkinterface in een virtuele machine. Dezelfde netwerkbeveiligingsgroep kan worden gekoppeld aan zoveel subnets en netwerkinterfaces als u wilt.
De onderstaande afbeelding illustreert verschillende scenario's voor hoe netwerkbeveiligingsgroepen kunnen worden ingezet om netwerkverkeer van en naar het internet via TCP-poort 80 toe te staan.
Raadpleeg het voorgaande diagram om te begrijpen hoe azure binnenkomende en uitgaande regels verwerkt. In de afbeelding ziet u hoe netwerkbeveiligingsgroepen verkeer filteren.
Binnenkomend verkeer
Voor inkomend verkeer verwerkt Azure eerst de regels in een netwerkbeveiligingsgroep die aan een subnet is gekoppeld, indien aanwezig, en vervolgens de regels in een netwerkbeveiligingsgroep die aan de netwerkinterface is gekoppeld, indien aanwezig. Dit proces omvat eveneens intra-subnetverkeer.
VM1: NSG1 verwerkt de beveiligingsregels omdat NSG1 is gekoppeld aan Subnet1 en VM1 zich in Subnet1 bevindt. De standaardbeveiligingsregel DenyAllInbound blokkeert het verkeer, tenzij een regel expliciet poort 80 inkomend toestaat. De netwerkinterface die is gekoppeld aan NSG2 evalueert het geblokkeerde verkeer niet. Als NSG1 echter poort 80 toestaat in de beveiligingsregel, evalueert NSG2 vervolgens het verkeer. Als u poort 80 wilt toestaan voor de virtuele machine, moeten zowel NSG1 als NSG2 een regel bevatten waarmee poort 80 van internet is toegestaan.
VM2: De regels in NSG1 worden verwerkt omdat VM2 zich ook in Subnet1 bevindt. Omdat VM2 geen netwerkbeveiligingsgroep heeft gekoppeld aan de netwerkinterface, ontvangt deze al het verkeer dat is toegestaan via NSG1 of wordt alle verkeer geweigerd dat is geweigerd door NSG1. Verkeer wordt toegestaan of geweigerd voor alle resources in hetzelfde subnet wanneer een netwerkbeveiligingsgroep aan een subnet is gekoppeld.
VM3: Omdat er geen netwerkbeveiligingsgroep is gekoppeld aan Subnet2, wordt verkeer toegestaan in het subnet en verwerkt door NSG2, omdat NSG2 is gekoppeld aan de netwerkinterface die is gekoppeld aan VM3.
VM4: Verkeer wordt geblokkeerd naar VM4, omdat een netwerkbeveiligingsgroep niet is gekoppeld aan Subnet3 of de netwerkinterface op de virtuele machine. Al het netwerkverkeer wordt geblokkeerd via een subnet en netwerkinterface als er geen netwerkbeveiligingsgroep aan hen is gekoppeld. De virtuele machine met een standaard openbaar IP-adres is standaard beveiligd. Om verkeer vanuit het internet te laten komen, moet een NSG worden toegewezen aan het subnet of de NIC van de virtuele machine. Zie ip-adresversie voor meer informatie
Uitgaand verkeer
Voor uitgaand verkeer verwerkt Azure eerst de regels in een netwerkbeveiligingsgroep die is gekoppeld aan een netwerkinterface, als er een is en vervolgens de regels in een netwerkbeveiligingsgroep die is gekoppeld aan het subnet, als er een is. Dit proces omvat eveneens intra-subnetverkeer.
VM1: De beveiligingsregels in NSG2 worden verwerkt. Met de standaardbeveiligingsregel AllowInternetOutbound in zowel NSG1 als NSG2 wordt het verkeer toegestaan, tenzij u een beveiligingsregel maakt waarmee poort 80 uitgaand naar internet wordt geweigerd. Als NSG2 poort 80 in de beveiligingsregel weigert, wordt het verkeer geweigerd en wordt het verkeer nooit geëvalueerd door NSG1 . Als u poort 80 van de virtuele machine wilt weigeren, moet een van beide netwerkbeveiligingsgroepen een regel hebben die poort 80 naar internet weigert.
VM2: Al het verkeer wordt via de netwerkinterface naar het subnet verzonden, omdat aan de netwerkinterface die is gekoppeld aan VM2 geen netwerkbeveiligingsgroep is gekoppeld. De regels in NSG1 worden verwerkt.
VM3: Als NSG2 poort 80 in de beveiligingsregel weigert, wordt het verkeer geweigerd. Als NSG2 poort 80 niet weigert, staat de standaardbeveiligingsregel AllowInternetOutbound in NSG2 het verkeer toe omdat er geen netwerkbeveiligingsgroep is gekoppeld aan Subnet2.
VM4: Al het netwerkverkeer is toegestaan van VM4, omdat een netwerkbeveiligingsgroep niet is gekoppeld aan de netwerkinterface die is gekoppeld aan de virtuele machine of aan Subnet3.
Intra-subnetverkeer
Het is belangrijk op te merken dat beveiligingsregels in een NSG die aan een subnet is gekoppeld, de connectiviteit tussen VM's binnen het subnet kunnen beïnvloeden. Standaard kunnen virtuele machines binnen hetzelfde subnet communiceren op basis van een standaardregel van NSG die verkeer binnen het subnet toestaat. Als u een regel toevoegt aan NSG1 die al het binnenkomende en uitgaande verkeer weigert, kunnen VM1 en VM2 niet met elkaar communiceren.
U kunt de statistische regels die zijn toegepast op een netwerkinterface eenvoudig weergeven door de effectieve beveiligingsregels voor een netwerkinterface weer te geven. U kunt ook de mogelijkheid voor IP-stroomverificatie in Azure Network Watcher gebruiken om te bepalen of communicatie naar of vanuit een netwerkinterface is toegestaan. U kunt IP flow verify gebruiken om te bepalen of een communicatie is toegestaan of geweigerd. Bovendien, gebruik IP-flowverificatie om de identiteit van de netwerkbeveiligingsregel te bepalen die verantwoordelijk is voor het toestaan of weigeren van het verkeer.
Aanbeveling
Tenzij je daar een specifieke reden voor hebt, raden we aan om een netwerkbeveiligingsgroep te koppelen aan een subnet of een netwerkinterface, maar niet aan beide. Regels in een netwerkbeveiligingsgroep die aan een subnet zijn gekoppeld, kunnen conflicteren met regels in een netwerkbeveiligingsgroep die is gekoppeld aan een netwerkinterface. Mogelijk hebt u onverwachte communicatieproblemen waarvoor probleemoplossing is vereist.
Volgende stappen
Meer informatie over de Azure-resources die u in een virtueel netwerk kunt implementeren. Zie De integratie van virtuele netwerken voor Azure-services om resources te vinden die netwerkbeveiligingsgroepen ondersteunen.
Als u een netwerkbeveiligingsgroep wilt maken, voltooit u een snelle zelfstudie om ervaring op te doen met het maken van een groep.
Als u bekend bent met netwerkbeveiligingsgroepen en deze moet beheren, raadpleegt u Een netwerkbeveiligingsgroep beheren.
Als u communicatieproblemen ondervindt en netwerkbeveiligingsgroepen moet oplossen, raadpleegt u Problemen met netwerkverkeersfilters van virtuele machines vaststellen.
Meer informatie over het inschakelen van stroomlogboeken voor netwerkbeveiligingsgroepen voor het analyseren van netwerkverkeer naar en van resources met een gekoppelde netwerkbeveiligingsgroep.