Skapa, ändra eller ta bort en nätverkssäkerhetsgrupp

Med säkerhetsregler i nätverkssäkerhetsgrupper kan du filtrera vilken typ av nätverkstrafik som kan flöda in i och ut ur virtuella nätverk, undernät och nätverksgränssnitt. Mer information om nätverkssäkerhetsgrupper finns i Översikt över nätverkssäkerhetsgrupper. Slutför sedan självstudien Filtrera nätverkstrafik för att få lite erfarenhet av nätverkssäkerhetsgrupper.

Krav

Om du inte har ett Azure-konto med en aktiv prenumeration skapar du ett kostnadsfritt. Slutför en av dessa uppgifter innan du påbörjar resten av den här artikeln:

  • Portalanvändare: Logga in på Azure-Portal med ditt Azure-konto.

  • PowerShell-användare: Kör antingen kommandona i Azure Cloud Shell eller kör PowerShell lokalt från datorn. Azure Cloud Shell är ett interaktivt gränssnitt som du kan använda för att utföra stegen i den här artikeln. Den har vanliga Azure-verktyg förinstallerat och har konfigurerats för användning med ditt konto. På fliken Azure Cloud Shell webbläsare letar du upp listrutan Välj miljö och väljer sedan PowerShell om den inte redan är markerad.

    Om du kör PowerShell lokalt använder du Azure PowerShell modulversion 1.0.0 eller senare. Kör Get-Module -ListAvailable Az.Network för att hitta den installerade versionen. Om du behöver installera eller uppgradera kan du läsa Install Azure PowerShell module (Installera Azure PowerShell-modul). Kör Connect-AzAccount för att logga in på Azure.

  • Azure CLI-användare: Kör antingen kommandona i Azure Cloud Shell eller kör Azure CLI lokalt från datorn. Azure Cloud Shell är ett interaktivt gränssnitt som du kan använda för att utföra stegen i den här artikeln. Den har vanliga Azure-verktyg förinstallerat och har konfigurerats för användning med ditt konto. På fliken Azure Cloud Shell webbläsare letar du upp listrutan Välj miljö och väljer sedan Bash om den inte redan är markerad.

    Om du kör Azure CLI lokalt använder du Azure CLI version 2.0.28 eller senare. Kör az --version för att hitta den installerade versionen. Om du behöver installera eller uppgradera kan du läsa Installera Azure CLI. Kör az login för att logga in på Azure.

Kontot du loggar in på eller ansluter till Azure med måste tilldelas rollen Nätverksdeltagare eller till en anpassad roll som har tilldelats lämpliga åtgärder som anges i Behörigheter.

Arbeta med nätverkssäkerhetsgrupper

Du kan skapa, visa alla, visa information om, ändra och ta bort en nätverkssäkerhetsgrupp. Du kan också associera eller koppla bort en nätverkssäkerhetsgrupp från ett nätverksgränssnitt eller undernät.

Skapa en nätverkssäkerhetsgrupp

Det finns en gräns för hur många nätverkssäkerhetsgrupper du kan skapa för varje Azure-region och prenumeration. Mer information finns i Azure-prenumerationer och tjänstbegränsningar, kvoter och begränsningar.

  1. I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp. Välj Nätverkssäkerhetsgrupper i sökresultatet.

  2. Välj + Skapa.

  3. På sidan Skapa nätverkssäkerhetsgrupp går du till fliken Grundläggande inställningar och anger eller väljer följande värden:

    Inställning Åtgärd
    Projektinformation
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Välj en befintlig resursgrupp eller skapa en ny genom att välja Skapa ny. I det här exemplet används resursgruppen myResourceGroup .
    Instansinformation
    Namn på nätverkssäkerhetsgrupp Ange ett namn för den nätverkssäkerhetsgrupp som du skapar.
    Region Välj önskad region.

    Skärmbild av att skapa en nätverkssäkerhetsgrupp i Azure-Portal.

  4. Välj Granska + skapa.

  5. När du ser meddelandet Validering har skickats väljer du Skapa.

Visa alla nätverkssäkerhetsgrupper

I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp. Välj Nätverkssäkerhetsgrupper i sökresultaten för att se listan över nätverkssäkerhetsgrupper i din prenumeration.

Skärmbild av listan över nätverkssäkerhetsgrupper i Azure-Portal.

Visa information om en nätverkssäkerhetsgrupp

  1. I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.

  2. Välj namnet på nätverkssäkerhetsgruppen.

Under Inställningar kan du visa inkommande säkerhetsregler, utgående säkerhetsregler, nätverksgränssnitt och undernät som nätverkssäkerhetsgruppen är associerad med.

Under Övervakning kan du aktivera eller inaktivera diagnostikinställningar. Mer information finns i Resursloggning för en nätverkssäkerhetsgrupp.

Under Hjälp kan du visa Effektiva säkerhetsregler. Mer information finns i Diagnostisera problem med filtrering av nätverkstrafik på en virtuell dator.

Skärmbild av sidan nätverkssäkerhetsgrupp i Azure-Portal.

Mer information om de vanliga Azure-inställningarna finns i följande artiklar:

Ändra en nätverkssäkerhetsgrupp

De vanligaste ändringarna i en nätverkssäkerhetsgrupp är:

Associera eller koppla en nätverkssäkerhetsgrupp till eller från ett nätverksgränssnitt

Om du vill associera en nätverkssäkerhetsgrupp med eller koppla bort en nätverkssäkerhetsgrupp från ett nätverksgränssnitt läser du Associera en nätverkssäkerhetsgrupp till eller kopplar bort en nätverkssäkerhetsgrupp från ett nätverksgränssnitt.

Associera eller koppla bort en nätverkssäkerhetsgrupp till eller från ett undernät

  1. I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.

  2. Välj namnet på nätverkssäkerhetsgruppen och välj sedan Undernät.

Om du vill associera en nätverkssäkerhetsgrupp med undernätet väljer du + Associera och sedan ditt virtuella nätverk och det undernät som du vill associera nätverkssäkerhetsgruppen med. Välj OK.

Skärmbild av att associera en nätverkssäkerhetsgrupp med ett undernät i Azure-Portal.

Om du vill koppla bort en nätverkssäkerhetsgrupp från undernätet väljer du de tre punkterna bredvid det undernät som du vill koppla bort nätverkssäkerhetsgruppen från och väljer sedan Koppla bort. Välj Ja.

Skärmbild av att koppla bort en nätverkssäkerhetsgrupp från ett undernät i Azure-Portal.

Ta bort en nätverkssäkerhetsgrupp

Om en nätverkssäkerhetsgrupp är associerad med undernät eller nätverksgränssnitt kan den inte tas bort. Koppla bort en nätverkssäkerhetsgrupp från alla undernät och nätverksgränssnitt innan du försöker ta bort den.

  1. I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.

  2. Välj den nätverkssäkerhetsgrupp som du vill ta bort.

  3. Välj Ta bort och sedan Ja i bekräftelsedialogrutan.

    Skärmbild av att ta bort en nätverkssäkerhetsgrupp i Azure-Portal.

Arbeta med säkerhetsregler

En nätverkssäkerhetsgrupp innehåller noll eller flera säkerhetsregler. Du kan skapa, visa alla, visa information om, ändra och ta bort en säkerhetsregel.

Skapa en säkerhetsregel

Det finns en gräns för hur många regler per nätverkssäkerhetsgrupp du kan skapa för varje Azure-plats och prenumeration. Mer information finns i Azure-prenumerationer och tjänstbegränsningar, kvoter och begränsningar.

  1. I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.

  2. Välj namnet på den nätverkssäkerhetsgrupp som du vill lägga till en säkerhetsregel i.

  3. Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.

    Flera befintliga regler visas, inklusive några som du kanske inte har lagt till. När du skapar en nätverkssäkerhetsgrupp skapas flera standardsäkerhetsregler i den. Mer information finns i standardsäkerhetsregler. Du kan inte ta bort standardsäkerhetsregler, men du kan åsidosätta dem med regler som har högre prioritet.

  4. Välj + Lägg till. Välj eller lägg till värden för följande inställningar och välj sedan Lägg till:

    Inställning Värde Information
    Källa Något av:
    • Alla
    • IP-adresser
    • Min IP-adress
    • Tjänsttagg
    • Programsäkerhetsgrupp

    Om du väljer IP-adresser måste du också ange källans IP-adresser/CIDR-intervall.

    Om du väljer Tjänsttagg måste du också välja en källtjänsttagg.

    Om du väljer Programsäkerhetsgrupp måste du också välja en befintlig programsäkerhetsgrupp. Om du väljer Programsäkerhetsgrupp för både Källa och Mål måste nätverksgränssnitten i båda programsäkerhetsgrupperna finnas i samma virtuella nätverk. Lär dig hur du skapar en programsäkerhetsgrupp.

    Källans IP-adresser/CIDR-intervall En kommaavgränsad lista över IP-adresser och CIDR-intervall (Classless Interdomain Routing)

    Den här inställningen visas om du anger Källa till IP-adresser. Du måste ange ett enskilt värde eller en kommaavgränsad lista med flera värden. Ett exempel på flera värden är 10.0.0.0/16, 192.188.1.1. Det finns gränser för hur många värden du kan ange. Mer information finns i Azure-gränser.

    Om den IP-adress som du anger har tilldelats till en virtuell Azure-dator anger du dess privata IP-adress, inte dess offentliga IP-adress. Azure bearbetar säkerhetsregler när den översätter den offentliga IP-adressen till en privat IP-adress för inkommande säkerhetsregler, men innan den översätter en privat IP-adress till en offentlig IP-adress för utgående regler. Mer information om IP-adresser i Azure finns i Offentliga IP-adresser och Privata IP-adresser.

    Källtjänsttagg En tjänsttagg från listrutan Den här inställningen visas om du ställer in KällaTjänsttagg för en säkerhetsregel. En tjänsttagg är en fördefinierad identifierare för en kategori av IP-adresser. Mer information om tillgängliga tjänsttaggar och vad varje tagg representerar finns i Tjänsttaggar.
    Källprogramsäkerhetsgrupp En befintlig programsäkerhetsgrupp Den här inställningen visas om du ställer in KällaProgramsäkerhetsgrupp. Välj en programsäkerhetsgrupp som finns i samma region som nätverksgränssnittet. Lär dig hur du skapar en programsäkerhetsgrupp.
    Källportintervall Något av:
    • En enda port, till exempel 80
    • Ett portintervall, till exempel 1024-65535
    • En kommaavgränsad lista över enskilda portar och/eller portintervall, till exempel 80, 1024-65535
    • En asterisk (*) för att tillåta trafik på valfri port
    Den här inställningen anger de portar som regeln tillåter eller nekar trafik på. Det finns gränser för antalet portar som du kan ange. Mer information finns i Azure-gränser.
    Mål Något av:
    • Alla
    • IP-adresser
    • Tjänsttagg
    • Programsäkerhetsgrupp

    Om du väljer IP-adresser måste du även ange mål-IP-adresser/CIDR-intervall.

    Om du väljer Tjänsttagg måste du också välja en måltjänsttagg.

    Om du väljer Programsäkerhetsgrupp måste du också välja en befintlig programsäkerhetsgrupp. Om du väljer Programsäkerhetsgrupp för både Källa och Mål måste nätverksgränssnitten i båda programsäkerhetsgrupperna finnas i samma virtuella nätverk. Lär dig hur du skapar en programsäkerhetsgrupp.

    Målets IP-adresser/CIDR-intervall En kommaavgränsad lista över IP-adresser och CIDR-intervall

    Den här inställningen visas om du ändrar Mål till IP-adresser. På samma sätt som käll- och käll-IP-adresser/CIDR-intervall kan du ange en eller flera adresser eller intervall. Det finns gränser för det antal som du kan ange. Mer information finns i Azure-gränser.

    Om den IP-adress som du anger har tilldelats till en virtuell Azure-dator ska du se till att du anger dess privata IP-adress, inte dess offentliga IP-adress. Azure bearbetar säkerhetsregler när den översätter den offentliga IP-adressen till en privat IP-adress för inkommande säkerhetsregler, men innan Azure översätter en privat IP-adress till en offentlig IP-adress för regler för utgående trafik. Mer information om IP-adresser i Azure finns i Offentliga IP-adresser och Privata IP-adresser.

    Måltjänsttagg En tjänsttagg från listrutan Den här inställningen visas om du anger Mål till tjänsttagg för en säkerhetsregel. En tjänsttagg är en fördefinierad identifierare för en kategori av IP-adresser. Mer information om tillgängliga tjänsttaggar och vad varje tagg representerar finns i Tjänsttaggar.
    Målprogramsäkerhetsgrupp En befintlig programsäkerhetsgrupp Den här inställningen visas om du anger Mål till Programsäkerhetsgrupp. Välj en programsäkerhetsgrupp som finns i samma region som nätverksgränssnittet. Lär dig hur du skapar en programsäkerhetsgrupp.
    Tjänst Ett målprotokoll från listrutan Den här inställningen anger målprotokollet och portintervallet för säkerhetsregeln. Du kan välja en fördefinierad tjänst, till exempel RDP, eller välja Anpassad och ange portintervallet i Målportintervall.
    Målportintervall Något av:
    • En enda port, till exempel 80
    • Ett portintervall, till exempel 1024-65535
    • En kommaavgränsad lista över enskilda portar och/eller portintervall, till exempel 80, 1024-65535
    • En asterisk (*) för att tillåta trafik på valfri port
    Precis som med källportintervall kan du ange enskilda eller flera portar och intervall. Det finns gränser för det antal som du kan ange. Mer information finns i Azure-gränser.
    Protokoll Any, TCP, UDP eller ICMP Du kan begränsa regeln till TCP (Transmission Control Protocol), UDP (User Datagram Protocol) eller ICMP (Internet Control Message Protocol). Standardinställningen är att regeln ska gälla för alla protokoll (alla).
    Åtgärd Tillåt eller neka Den här inställningen anger om den här regeln tillåter eller nekar åtkomst för den angivna käll- och målkonfigurationen.
    Priority Ett värde mellan 100 och 4096 som är unikt för alla säkerhetsregler i nätverkssäkerhetsgruppen Azure bearbetar säkerhetsregler i prioritetsordning. Desto lägre nummer, desto högre prioritet. Vi rekommenderar att du lämnar ett mellanrum mellan prioritetsnummer när du skapar regler, till exempel 100, 200 och 300. Om du lämnar luckor blir det enklare att lägga till regler i framtiden, så att du kan ge dem högre eller lägre prioritet än befintliga regler.
    Namn Ett unikt namn för regeln i nätverkssäkerhetsgruppen Namnet kan vara upp till 80 tecken. Den måste börja med en bokstav eller siffra, och den måste sluta med en bokstav, siffra eller understreck. Namnet får endast innehålla bokstäver, siffror, understreck, punkter eller bindestreck.
    Beskrivning En textbeskrivning Du kan också ange en textbeskrivning för säkerhetsregeln. Beskrivningen får inte vara längre än 140 tecken.

    Skärmbild av att lägga till en säkerhetsregel i en nätverkssäkerhetsgrupp i Azure-Portal.

Visa alla säkerhetsregler

En nätverkssäkerhetsgrupp innehåller noll eller fler regler. Mer information om informationen som visas när du visar regler finns i Säkerhetsregler.

  1. I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.

  2. Välj namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.

  3. Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.

    Listan innehåller alla regler som du har skapat och standardsäkerhetsreglerna för din nätverkssäkerhetsgrupp.

    Skärmbild av inkommande säkerhetsregler för en nätverkssäkerhetsgrupp i Azure-Portal.

Visa information om en säkerhetsregel

  1. I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.

  2. Välj namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.

  3. Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.

  4. Välj den regel som du vill visa information för. En förklaring av alla inställningar finns i Säkerhetsregelinställningar.

    Anteckning

    Den här proceduren gäller endast för en anpassad säkerhetsregel. Det fungerar inte om du väljer en standardsäkerhetsregel.

    Skärmbild av information om en inkommande säkerhetsregel för en nätverkssäkerhetsgrupp i Azure-Portal.

Ändra en säkerhetsregel

  1. I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.

  2. Välj namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.

  3. Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.

  4. Välj den regel som du vill ändra.

  5. Ändra inställningarna efter behov och välj sedan Spara. En förklaring av alla inställningar finns i Säkerhetsregelinställningar.

    Skärmbild av ändring av information om inkommande säkerhetsregler för en nätverkssäkerhetsgrupp i Azure-Portal.

    Anteckning

    Den här proceduren gäller endast för en anpassad säkerhetsregel. Du får inte ändra en standardsäkerhetsregel.

Ta bort en säkerhetsregel

  1. I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.

  2. Välj namnet på den nätverkssäkerhetsgrupp som du vill visa reglerna för.

  3. Välj Inkommande säkerhetsregler eller Utgående säkerhetsregler.

  4. Välj de regler som du vill ta bort.

  5. Välj Ta bort och välj sedan Ja.

    Skärmbild av borttagning av en inkommande säkerhetsregel för en nätverkssäkerhetsgrupp i Azure-Portal.

    Anteckning

    Den här proceduren gäller endast för en anpassad säkerhetsregel. Du får inte ta bort en standardsäkerhetsregel.

Arbeta med programsäkerhetsgrupper

En programsäkerhetsgrupp innehåller noll eller flera nätverksgränssnitt. Mer information finns i programsäkerhetsgrupper. Alla nätverksgränssnitt i en programsäkerhetsgrupp måste finnas i samma virtuella nätverk. Information om hur du lägger till ett nätverksgränssnitt i en programsäkerhetsgrupp finns i Lägga till ett nätverksgränssnitt i en programsäkerhetsgrupp.

Skapa en programsäkerhetsgrupp

  1. I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultatet.

  2. Välj + Skapa.

  3. På sidan Skapa en programsäkerhetsgrupp går du till fliken Grundläggande inställningar och anger eller väljer följande värden:

    Inställning Åtgärd
    Projektinformation
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Välj en befintlig resursgrupp eller skapa en ny genom att välja Skapa ny. I det här exemplet används resursgruppen myResourceGroup .
    Instansinformation
    Name Ange ett namn för den programsäkerhetsgrupp som du skapar.
    Region Välj den region som du vill skapa programsäkerhetsgruppen i.

    Skärmbild av att skapa en programsäkerhetsgrupp i Azure-Portal.

  4. Välj Granska + skapa.

  5. När du ser meddelandet Validering har skickats väljer du Skapa.

Visa alla programsäkerhetsgrupper

I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultatet. I Azure-Portal visas en lista över dina programsäkerhetsgrupper.

Skärmbild av befintliga programsäkerhetsgrupper i Azure-Portal.

Visa information om en specifik programsäkerhetsgrupp

  1. I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultatet.

  2. Välj den programsäkerhetsgrupp som du vill visa information om.

Ändra en programsäkerhetsgrupp

  1. I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultatet.

  2. Välj den programsäkerhetsgrupp som du vill ändra.

Välj flytta bredvid Resursgrupp eller Prenumeration för att ändra resursgruppen eller prenumerationen.

Välj Redigera bredvid Taggar för att lägga till eller ta bort taggar. Mer information finns i Använda taggar för att organisera dina Azure-resurser och hanteringshierarkin

Skärmbild av ändra programsäkerhetsgrupp i Azure-Portal.

Anteckning

Du kan inte ändra platsen för en programsäkerhetsgrupp.

Välj Åtkomstkontroll (IAM) för att tilldela eller ta bort behörigheter till programsäkerhetsgruppen.

Ta bort en programsäkerhetsgrupp

Du kan inte ta bort en programsäkerhetsgrupp om den innehåller några nätverksgränssnitt. Om du vill ta bort alla nätverksgränssnitt från programsäkerhetsgruppen ändrar du inställningarna för nätverksgränssnittet eller tar bort nätverksgränssnitten. Mer information finns i Lägga till eller ta bort från programsäkerhetsgrupper eller Ta bort ett nätverksgränssnitt.

  1. I sökrutan överst i portalen anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupper i sökresultaten.

  2. Välj den programsäkerhetsgrupp som du vill ta bort.

  3. Välj Ta bort och välj sedan Ja för att ta bort programsäkerhetsgruppen.

    Skärmbild av att ta bort programsäkerhetsgruppen i Azure-Portal.

Behörigheter

Om du vill utföra uppgifter i nätverkssäkerhetsgrupper, säkerhetsregler och programsäkerhetsgrupper måste ditt konto tilldelas rollen Nätverksdeltagare eller till en anpassad roll som har tilldelats lämpliga behörigheter enligt listan i följande tabeller:

Nätverkssäkerhetsgrupp

Åtgärd Name
Microsoft. Network/networkSecurityGroups/read Hämta nätverkssäkerhetsgrupp
Microsoft. Network/networkSecurityGroups/write Skapa eller uppdatera nätverkssäkerhetsgrupp
Microsoft. Network/networkSecurityGroups/delete Ta bort nätverkssäkerhetsgrupp
Microsoft. Network/networkSecurityGroups/join/action Koppla en nätverkssäkerhetsgrupp till ett undernät eller nätverksgränssnitt

Anteckning

Om du vill utföra write åtgärder i en nätverkssäkerhetsgrupp måste prenumerationskontot ha minst read behörighet för resursgruppen tillsammans med Microsoft.Network/networkSecurityGroups/write behörighet.

Regel för nätverkssäkerhetsgrupp

Åtgärd Name
Microsoft. Network/networkSecurityGroups/securityRules/read Hämta regel
Microsoft. Network/networkSecurityGroups/securityRules/write Skapa eller uppdatera regel
Microsoft. Network/networkSecurityGroups/securityRules/delete Ta bort regel

Programsäkerhetsgrupp

Åtgärd Name
Microsoft. Network/applicationSecurityGroups/joinIpConfiguration/action Ansluta en IP-konfiguration till en programsäkerhetsgrupp
Microsoft. Network/applicationSecurityGroups/joinNetworkSecurityRule/action Ansluta en säkerhetsregel till en programsäkerhetsgrupp
Microsoft. Network/applicationSecurityGroups/read Hämta en programsäkerhetsgrupp
Microsoft. Network/applicationSecurityGroups/write Skapa eller uppdatera en programsäkerhetsgrupp
Microsoft. Network/applicationSecurityGroups/delete Ta bort en programsäkerhetsgrupp

Nästa steg