Skapa, ändra eller ta bort en nätverkssäkerhetsgrupp
Med säkerhetsregler i nätverkssäkerhetsgrupper kan du filtrera vilken typ av nätverkstrafik som kan flöda in i och ut ur virtuella nätverk, undernät och nätverksgränssnitt. Mer information om nätverkssäkerhetsgrupper finns i Översikt över nätverkssäkerhetsgrupp. Slutför sedan självstudien Filtrera nätverkstrafik för att få lite erfarenhet av nätverkssäkerhetsgrupper.
Förutsättningar
Om du inte har ett Azure-konto med en aktiv prenumeration skapar du ett kostnadsfritt. Slutför en av dessa uppgifter innan du startar resten av den här artikeln:
Portalanvändare: Logga in på Azure-portalen med ditt Azure-konto.
PowerShell-användare: Kör antingen kommandona i Azure Cloud Shell eller kör PowerShell lokalt från datorn. Azure Cloud Shell är ett interaktivt gränssnitt som du kan använda för att utföra stegen i den här artikeln. Den har vanliga Azure-verktyg förinstallerat och har konfigurerats för användning med ditt konto. På webbläsarfliken Azure Cloud Shell letar du upp listrutan Välj miljö och väljer sedan PowerShell om den inte redan är markerad.
Om du kör PowerShell lokalt använder du Azure PowerShell-modul version 1.0.0 eller senare. Kör
Get-Module -ListAvailable Az.Network
för att hitta den installerade versionen. Om du behöver installera eller uppgradera kan du läsa Install Azure PowerShell module (Installera Azure PowerShell-modul). KörConnect-AzAccount
för att logga in på Azure.Azure CLI-användare: Kör antingen kommandona i Azure Cloud Shell eller kör Azure CLI lokalt från datorn. Azure Cloud Shell är ett interaktivt gränssnitt som du kan använda för att utföra stegen i den här artikeln. Den har vanliga Azure-verktyg förinstallerat och har konfigurerats för användning med ditt konto. På webbläsarfliken Azure Cloud Shell letar du upp listrutan Välj miljö och väljer sedan Bash om den inte redan är markerad.
Om du kör Azure CLI lokalt använder du Azure CLI version 2.0.28 eller senare. Kör
az --version
för att hitta den installerade versionen. Om du behöver installera eller uppgradera kan du läsa Installera Azure CLI. Köraz login
för att logga in på Azure.
Tilldela rollen Nätverksdeltagare eller en anpassad roll med lämpliga behörigheter.
Arbeta med nätverkssäkerhetsgrupper
Du kan skapa, visa alla, visa information om, ändra och ta bort en nätverkssäkerhetsgrupp. Du kan också associera eller koppla bort en nätverkssäkerhetsgrupp från ett nätverksgränssnitt eller undernät.
Skapa en nätverkssäkerhetsgrupp
Det finns en gräns för hur många nätverkssäkerhetsgrupper du kan skapa för varje Azure-region och prenumeration. Mer information finns i Azure-prenumerations - och tjänstgränser, kvoter och begränsningar.
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp. Välj Nätverkssäkerhetsgrupper i sökresultaten.
Välj + Skapa.
På sidan Skapa nätverkssäkerhetsgrupp går du till fliken Grundläggande inställningar och anger eller väljer följande värden:
Inställning Åtgärd Projektinformation Prenumeration Välj din Azure-prenumerationen. Resursgrupp Välj en befintlig resursgrupp eller skapa en ny genom att välja Skapa ny. I det här exemplet används resursgruppen myResourceGroup . Instansinformation Namn på nätverkssäkerhetsgrupp Ange ett namn för den nätverkssäkerhetsgrupp som du skapar. Region Välj önskad region. Välj Granska + skapa.
När du har fått meddelandet Validering har skickats väljer du Skapa.
Visa alla nätverkssäkerhetsgrupper
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp. Välj Nätverkssäkerhetsgrupper i sökresultaten för att se listan över nätverkssäkerhetsgrupper i din prenumeration.
Visa information om en nätverkssäkerhetsgrupp
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj namnet på nätverkssäkerhetsgruppen.
Under Inställningar kan du visa de inkommande säkerhetsregler, utgående säkerhetsregler, nätverksgränssnitt och undernät som nätverkssäkerhetsgruppen är associerad med.
Under Övervakning kan du aktivera eller inaktivera diagnostikinställningar. Mer information finns i Resursloggning för en nätverkssäkerhetsgrupp.
Under Hjälp kan du visa Effektiva säkerhetsregler. Mer information finns i Diagnostisera problem med nätverkstrafikfilter för virtuella datorer.
Mer information om vanliga Azure-inställningar finns i följande artiklar:
Ändra en nätverkssäkerhetsgrupp
De vanligaste ändringarna i en nätverkssäkerhetsgrupp är:
Associera eller koppla en nätverkssäkerhetsgrupp till eller från ett nätverksgränssnitt
Associera eller koppla en nätverkssäkerhetsgrupp till eller från ett undernät
Associera eller koppla en nätverkssäkerhetsgrupp till eller från ett nätverksgränssnitt
Mer information om associationen och kopplingen mellan en nätverkssäkerhetsgrupp finns i Associera eller koppla bort en nätverkssäkerhetsgrupp.
Associera eller koppla en nätverkssäkerhetsgrupp till eller från ett undernät
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj namnet på nätverkssäkerhetsgruppen och välj sedan Undernät.
Om du vill associera en nätverkssäkerhetsgrupp med undernätet väljer du + Associera och sedan ditt virtuella nätverk och det undernät som du vill associera nätverkssäkerhetsgruppen med. Välj OK.
Om du vill koppla bort en nätverkssäkerhetsgrupp från undernätet väljer du de tre punkterna bredvid det undernät som du vill koppla bort nätverkssäkerhetsgruppen från och väljer sedan Koppla bort. Välj Ja.
Ta bort en nätverkssäkerhetsgrupp
Om en nätverkssäkerhetsgrupp är associerad med undernät eller nätverksgränssnitt kan den inte tas bort. Koppla bort en nätverkssäkerhetsgrupp från alla undernät och nätverksgränssnitt innan du försöker ta bort den.
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj den nätverkssäkerhetsgrupp som du vill ta bort.
Välj Ta bort och välj sedan Ja i bekräftelsedialogrutan.
Arbeta med säkerhetsregler
En nätverkssäkerhetsgrupp innehåller noll eller fler säkerhetsregler. Du kan skapa, visa alla, visa information om, ändra och ta bort en säkerhetsregel.
Skapa en säkerhetsregel
Det finns en gräns för hur många regler per nätverkssäkerhetsgrupp du kan skapa för varje Azure-plats och prenumeration. Mer information finns i Azure-prenumerations - och tjänstgränser, kvoter och begränsningar.
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj namnet på den nätverkssäkerhetsgrupp som du vill lägga till en säkerhetsregel i.
Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.
Flera befintliga regler visas, inklusive vissa som du kanske inte har lagt till. När du skapar en nätverkssäkerhetsgrupp skapas flera standardsäkerhetsregler i den. Mer information finns i standardsäkerhetsregler. Du kan inte ta bort standardsäkerhetsregler, men du kan åsidosätta dem med regler som har högre prioritet.
Välj + Lägg till. Välj eller lägg till värden för följande inställningar och välj sedan Lägg till:
Inställning Värde Details Source En av: - Alla
- IP-adresser
- Min IP-adress
- Tjänsttagg
- Programsäkerhetsgrupp
Om du väljer IP-adresser måste du också ange KÄLL-IP-adresser/CIDR-intervall.
Om du väljer Tjänsttagg måste du också välja en källtjänsttagg.
Om du väljer Programsäkerhetsgrupp måste du också välja en befintlig programsäkerhetsgrupp. Om du väljer Programsäkerhetsgrupp för både Källa och Mål måste nätverksgränssnitten i båda programsäkerhetsgrupperna finnas i samma virtuella nätverk. Lär dig hur du skapar en programsäkerhetsgrupp.
Källans IP-adresser/CIDR-intervall En kommaavgränsad lista över IP-adresser och CIDR-intervall (Classless Interdomain Routing) Den här inställningen visas om du anger Källan till IP-adresser. Du måste ange ett enskilt värde eller en kommaavgränsad lista med flera värden. Ett exempel på flera värden är
10.0.0.0/16, 192.188.1.1
. Det finns gränser för hur många värden du kan ange. Mer information finns i Azure-gränser.Om den IP-adress som du anger har tilldelats till en virtuell Azure-dator anger du dess privata IP-adress, inte dess offentliga IP-adress. Azure bearbetar säkerhetsregler efter att den översätter den offentliga IP-adressen till en privat IP-adress för inkommande säkerhetsregler, men innan den översätter en privat IP-adress till en offentlig IP-adress för utgående regler. Mer information om IP-adresser i Azure finns i Offentliga IP-adresser och privata IP-adresser.
Källtjänsttagg En tjänsttagg från listrutan Den här inställningen visas om du anger Käll till Tjänsttagg för en säkerhetsregel. En tjänsttagg är en fördefinierad identifierare för en kategori med IP-adresser. Mer information om tillgängliga tjänsttaggar och vad varje tagg representerar finns i Tjänsttaggar. Källprogramsäkerhetsgrupp En befintlig programsäkerhetsgrupp Den här inställningen visas om du anger Källa till Programsäkerhetsgrupp. Välj en programsäkerhetsgrupp som finns i samma region som nätverksgränssnittet. Lär dig hur du skapar en programsäkerhetsgrupp. Källportintervall En av: - En enda port, till exempel
80
- Ett antal portar, till exempel
1024-65535
- En kommaavgränsad lista över enskilda portar och/eller portintervall, till exempel
80, 1024-65535
- En asterisk (
*
) för att tillåta trafik på valfri port
Den här inställningen anger de portar där regeln tillåter eller nekar trafik. Det finns gränser för hur många portar du kan ange. Mer information finns i Azure-gränser. Mål En av: - Alla
- IP-adresser
- Tjänsttagg
- Programsäkerhetsgrupp
Om du väljer IP-adresser måste du också ange mål-IP-adresser/CIDR-intervall.
Om du väljer Tjänsttagg måste du också välja en måltjänsttagg.
Om du väljer Programsäkerhetsgrupp måste du också välja en befintlig programsäkerhetsgrupp. Om du väljer Programsäkerhetsgrupp för både Källa och Mål måste nätverksgränssnitten i båda programsäkerhetsgrupperna finnas i samma virtuella nätverk. Lär dig hur du skapar en programsäkerhetsgrupp.
Mål-IP-adresser/CIDR-intervall En kommaavgränsad lista över IP-adresser och CIDR-intervall Den här inställningen visas om du ändrar Mål till IP-adresser. På samma sätt som käll- och käll-IP-adresser/CIDR-intervall kan du ange enskilda eller flera adresser eller intervall. Det finns gränser för det antal som du kan ange. Mer information finns i Azure-gränser.
Om den IP-adress som du anger har tilldelats till en virtuell Azure-dator kontrollerar du att du anger dess privata IP-adress, inte dess offentliga IP-adress. Azure bearbetar säkerhetsregler efter att den översätter den offentliga IP-adressen till en privat IP-adress för inkommande säkerhetsregler, men innan Azure översätter en privat IP-adress till en offentlig IP-adress för utgående regler. Mer information om IP-adresser i Azure finns i Offentliga IP-adresser och privata IP-adresser.
Måltjänsttagg En tjänsttagg från listrutan Den här inställningen visas om du anger Mål till Tjänsttagg för en säkerhetsregel. En tjänsttagg är en fördefinierad identifierare för en kategori med IP-adresser. Mer information om tillgängliga tjänsttaggar och vad varje tagg representerar finns i Tjänsttaggar. Målprogramsäkerhetsgrupp En befintlig programsäkerhetsgrupp Den här inställningen visas om du anger Mål till Programsäkerhetsgrupp. Välj en programsäkerhetsgrupp som finns i samma region som nätverksgränssnittet. Lär dig hur du skapar en programsäkerhetsgrupp. Tjänst Ett målprotokoll från listrutan Den här inställningen anger målprotokollet och portintervallet för säkerhetsregeln. Du kan välja en fördefinierad tjänst, till exempel RDP, eller välja Anpassad och ange portintervallet i Målportintervall. Målportintervall En av: - En enda port, till exempel
80
- Ett antal portar, till exempel
1024-65535
- En kommaavgränsad lista över enskilda portar och/eller portintervall, till exempel
80, 1024-65535
- En asterisk (
*
) för att tillåta trafik på valfri port
Precis som med källportintervall kan du ange enskilda eller flera portar och intervall. Det finns gränser för det antal som du kan ange. Mer information finns i Azure-gränser. Protokoll Any, TCP, UDP eller ICMP Du kan begränsa regeln till TCP (Transmission Control Protocol), User Datagram Protocol (UDP) eller Internet Control Message Protocol (ICMP). Standardvärdet är att regeln ska gälla för alla protokoll (alla). Åtgärd Tillåt eller neka Den här inställningen anger om den här regeln tillåter eller nekar åtkomst för den angivna käll- och målkonfigurationen. Prioritet Ett värde mellan 100 och 4096 som är unikt för alla säkerhetsregler i nätverkssäkerhetsgruppen Azure bearbetar säkerhetsregler i prioritetsordning. Desto lägre tal, desto högre prioritet. Vi rekommenderar att du lämnar ett mellanrum mellan prioritetsnummer när du skapar regler, till exempel 100, 200 och 300. Om du lämnar luckor blir det enklare att lägga till regler i framtiden, så att du kan ge dem högre eller lägre prioritet än befintliga regler. Namn Ett unikt namn för regeln i nätverkssäkerhetsgruppen Namnet kan vara upp till 80 tecken. Den måste börja med en bokstav eller ett tal och måste avslutas med en bokstav, ett tal eller ett understreck. Namnet får endast innehålla bokstäver, siffror, understreck, punkter eller bindestreck. Beskrivning En textbeskrivning Du kan också ange en textbeskrivning för säkerhetsregeln. Beskrivningen får inte vara längre än 140 tecken.
Visa alla säkerhetsregler
En nätverkssäkerhetsgrupp innehåller noll eller fler regler. Mer information om informationen som visas när du visar regler finns i Säkerhetsregler.
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.
Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.
Listan innehåller alla regler som du har skapat och standardsäkerhetsreglerna för nätverkssäkerhetsgruppen.
Visa information om en säkerhetsregel
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.
Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.
Välj den regel som du vill visa information för. En förklaring av alla inställningar finns i Inställningar för säkerhetsregler.
Kommentar
Den här proceduren gäller endast för en anpassad säkerhetsregel. Det fungerar inte om du väljer en standardsäkerhetsregel.
Ändra en säkerhetsregel
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.
Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.
Välj den regel som du vill ändra.
Ändra inställningarna efter behov och välj sedan Spara. En förklaring av alla inställningar finns i Inställningar för säkerhetsregler.
Kommentar
Den här proceduren gäller endast för en anpassad säkerhetsregel. Du får inte ändra en standardsäkerhetsregel.
Ta bort en säkerhetsregel
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.
Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.
Välj de regler som du vill ta bort.
Välj Ta bort och välj sedan Ja.
Kommentar
Den här proceduren gäller endast för en anpassad säkerhetsregel. Du kan inte ta bort en standardsäkerhetsregel.
Arbeta med programsäkerhetsgrupper
En programsäkerhetsgrupp innehåller noll eller fler nätverksgränssnitt. Mer information finns i programsäkerhetsgrupper. Alla nätverksgränssnitt i en programsäkerhetsgrupp måste finnas i samma virtuella nätverk. Information om hur du lägger till ett nätverksgränssnitt i en programsäkerhetsgrupp finns i Lägga till ett nätverksgränssnitt i en programsäkerhetsgrupp.
Skapa en programsäkerhetsgrupp
I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultaten.
Välj + Skapa.
På sidan Skapa en programsäkerhetsgrupp går du till fliken Grundläggande inställningar och anger eller väljer följande värden:
Inställning Åtgärd Projektinformation Prenumeration Välj din Azure-prenumerationen. Resursgrupp Välj en befintlig resursgrupp eller skapa en ny genom att välja Skapa ny. I det här exemplet används resursgruppen myResourceGroup . Instansinformation Name Ange ett namn för programsäkerhetsgruppen som du skapar. Region Välj den region som du vill skapa programsäkerhetsgruppen i. Välj Granska + skapa.
När du har fått meddelandet Validering har skickats väljer du Skapa.
Visa alla programsäkerhetsgrupper
I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultaten. Azure-portalen visar en lista över dina programsäkerhetsgrupper.
Visa information om en specifik programsäkerhetsgrupp
I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultaten.
Välj den programsäkerhetsgrupp som du vill visa information om.
Ändra en programsäkerhetsgrupp
I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultaten.
Välj den programsäkerhetsgrupp som du vill ändra.
Välj flytta bredvid Resursgrupp eller Prenumeration för att ändra resursgruppen eller prenumerationen.
Välj Redigera bredvid Taggar för att lägga till eller ta bort taggar. Mer information finns i Använda taggar för att organisera dina Azure-resurser och hanteringshierarki
Kommentar
Du kan inte ändra platsen för en programsäkerhetsgrupp.
Välj Åtkomstkontroll (IAM) för att tilldela eller ta bort behörigheter till programsäkerhetsgruppen.
Ta bort en programsäkerhetsgrupp
Du kan inte ta bort en programsäkerhetsgrupp om den innehåller några nätverksgränssnitt. Om du vill ta bort alla nätverksgränssnitt från programsäkerhetsgruppen ändrar du inställningarna för nätverksgränssnittet eller tar bort nätverksgränssnitten. Mer information finns i Lägga till eller ta bort från programsäkerhetsgrupper eller Ta bort ett nätverksgränssnitt.
I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultaten.
Välj den programsäkerhetsgrupp som du vill ta bort.
Välj Ta bort och välj sedan Ja för att ta bort programsäkerhetsgruppen.
Behörigheter
Om du vill hantera nätverkssäkerhetsgrupper, säkerhetsregler och programsäkerhetsgrupper måste ditt konto tilldelas rollen Nätverksdeltagare . En anpassad roll kan också användas som har tilldelats lämpliga behörigheter enligt listan i följande tabeller:
Kommentar
Du kanske INTE ser den fullständiga listan över tjänsttaggar om rollen Nätverksdeltagare har tilldelats på resursgruppsnivå. Om du vill visa den fullständiga listan kan du tilldela den här rollen i ett prenumerationsomfång i stället. Om du bara kan tillåta nätverksdeltagare för resursgruppen kan du även skapa en anpassad roll för behörigheterna "Microsoft.Network/locations/serviceTags/read" och "Microsoft.Network/locations/serviceTagDetails/read" och tilldela dem i ett prenumerationsomfång tillsammans med nätverksdeltagaren i resursgruppsomfånget.
Nätverkssäkerhetsgrupp
Åtgärd | Name |
---|---|
Microsoft.Network/networkSecurityGroups/read | Hämta nätverkssäkerhetsgrupp |
Microsoft.Network/networkSecurityGroups/write | Skapa eller uppdatera nätverkssäkerhetsgrupp |
Microsoft.Network/networkSecurityGroups/delete | Ta bort nätverkssäkerhetsgrupp |
Microsoft.Network/networkSecurityGroups/join/action | Associera en nätverkssäkerhetsgrupp med ett undernät eller nätverksgränssnitt |
Kommentar
För att kunna utföra write
åtgärder i en nätverkssäkerhetsgrupp måste prenumerationskontot ha minst read
behörighet för resursgruppen tillsammans med Microsoft.Network/networkSecurityGroups/write
behörighet.
Regel för nätverkssäkerhetsgrupp
Åtgärd | Name |
---|---|
Microsoft.Network/networkSecurityGroups/securityRules/read | Hämta regel |
Microsoft.Network/networkSecurityGroups/securityRules/write | Skapa eller uppdatera regel |
Microsoft.Network/networkSecurityGroups/securityRules/delete | Ta bort regel |
Programsäkerhetsgrupp
Åtgärd | Name |
---|---|
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action | Ansluta en IP-konfiguration till en programsäkerhetsgrupp |
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Ansluta en säkerhetsregel till en programsäkerhetsgrupp |
Microsoft.Network/applicationSecurityGroups/read | Hämta en programsäkerhetsgrupp |
Microsoft.Network/applicationSecurityGroups/write | Skapa eller uppdatera en programsäkerhetsgrupp |
Microsoft.Network/applicationSecurityGroups/delete | Ta bort en programsäkerhetsgrupp |
Nästa steg
Lägg till eller ta bort ett nätverksgränssnitt till eller från en programsäkerhetsgrupp.
Skapa och tilldela Azure Policy-definitioner för virtuella nätverk
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för