Nätverkssäkerhetsgrupper
Du kan använda en Azure-nätverkssäkerhetsgrupp för att filtrera nätverkstrafik mellan Azure-resurser i ett virtuellt Azure-nätverk. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till, eller utgående nätverkstrafik från, flera typer av Azure-resurser. För varje regel kan du ange källa och mål, port och protokoll.
Den här artikeln beskriver egenskaperna för en regel för nätverkssäkerhetsgrupp, standardsäkerhetsregler som tillämpas och de regelegenskaper som du kan ändra för att skapa en förhöjd säkerhetsregel.
Säkerhetsregler
En nätverkssäkerhetsgrupp innehåller så många regler som du vill, inom azure-prenumerationsgränser. Varje regel anger följande egenskaper:
Property | Förklaring |
---|---|
Name | Ett unikt namn inom nätverkssäkerhetsgruppen. Namnet kan vara upp till 80 tecken långt. Det måste börja med ett ordtecken, och det måste sluta med ett ordtecken eller med '_'. Namnet kan innehålla ordtecken eller '.', '-', '_'. |
Prioritet | Ett tal mellan 100 och 4096. Regler bearbetas i prioritetsordning. Låga tal bearbetas före höga tal eftersom låga tal har högre prioritet. När trafiken matchar en regel avbryts bearbetningen. Därför bearbetas inte regler som finns med lägre prioriteter (högre tal) som har samma attribut som regler med högre prioritet. Azures standardsäkerhetsregler får det högsta antalet med lägst prioritet för att säkerställa att anpassade regler alltid bearbetas först. |
Källa eller mål | Valfria, eller enskilda IP-adresser, CIDR-block (Classless Inter-Domain Routing) (t.ex. 10.0.0.0/24), tjänsttaggar eller programsäkerhetsgrupper. Om du anger en adress för en Azure-resurs anger du den privata IP-adressen som tilldelats till resursen. Nätverkssäkerhetsgrupper bearbetas efter att Azure omvandlar en offentlig IP-adress till en privat IP-adress för inkommande trafik, och innan Azure omvandlar en privat IP-adress till en offentlig IP-adress för utgående trafik. Färre säkerhetsregler behövs när du anger ett intervall, en tjänsttagg eller en programsäkerhetsgrupp. Möjligheten att ange flera enskilda IP-adresser och intervall (du kan inte ange flera tjänsttaggar eller programgrupper) i en regel kallas för utökade säkerhetsregler. Förhöjda säkerhetsregler kan bara skapas i nätverkssäkerhetsgrupper som skapats genom Resource Manager-distributionsmodellen. Du kan inte ange flera IP-adresser och IP-adressintervall i nätverkssäkerhetsgrupper som skapats via den klassiska distributionsmodellen. Om källan pekar på undernätet 10.0.1.0/24 (där VM1 finns) och målpunkterna till undernätet 10.0.2.0/24 (där VM2 finns), anger detta att syftet med NSG är att filtrera nätverkstrafik för VM2 och NSG är associerat med nätverksgränssnittet för VM2. |
Protokoll | TCP, UDP, ICMP, ESP, AH eller Any. ESP- och AH-protokollen är för närvarande inte tillgängliga via Azure-portalen men kan användas via ARM-mallar. |
Riktning | Om regeln gäller för inkommande eller utgående trafik. |
Portintervall | Du kan ange en enskild port eller ett portintervall. Du kan till exempel ange 80 eller 10000–10005. Om du anger intervall behöver du inte skapa lika många säkerhetsregler. Förhöjda säkerhetsregler kan bara skapas i nätverkssäkerhetsgrupper som skapats genom Resource Manager-distributionsmodellen. Du kan inte ange flera portar eller portintervall i samma säkerhetsregel i nätverkssäkerhetsgrupper som skapats via den klassiska distributionsmodellen. |
Åtgärd | Tillåt eller neka |
Säkerhetsreglerna utvärderas och tillämpas baserat på informationen om fem tuppeln (källa, källport, mål, målport och protokoll). Du kan inte skapa två säkerhetsregler med samma prioritet och riktning. En flödespost skapas för befintliga anslutningar. Kommunikation tillåts eller nekas baserat på flödespostens anslutningsstatus. Flödesposten gör att en nätverkssäkerhetsgrupp kan vara tillståndskänslig. Om du till exempel anger en utgående säkerhetsregel till en adress via port 80, behöver du inte ange en inkommande säkerhetsregel för svar på utgående trafik. Du behöver bara ange en inkommande säkerhetsregel om kommunikationen initieras externt. Även det motsatta gäller. Om inkommande trafik tillåts via en port, behöver du inte ange en utgående säkerhetsregel för svar på trafik via porten.
Befintliga anslutningar kanske inte avbryts när du tar bort en säkerhetsregel som tillåter anslutningen. Om du ändrar regler för nätverkssäkerhetsgrupper påverkas endast nya anslutningar. När en ny regel skapas eller en befintlig regel uppdateras i en nätverkssäkerhetsgrupp gäller den endast för nya anslutningar. Befintliga anslutningar utvärderas inte med de nya reglerna.
Det finns gränser för hur många säkerhetsregler du kan skapa i en nätverkssäkerhetsgrupp. Läs mer i informationen om begränsningar för Azure.
Standardsäkerhetsregler
Azure skapar följande standardregler i varje nätverkssäkerhetsgrupp som du skapar:
Inkommande
AllowVNetInBound
Prioritet | Källa | Källportar | Mål | Målportar | Protokoll | Access |
---|---|---|---|---|---|---|
65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Alla | Tillåt |
AllowAzureLoadBalancerInBound
Prioritet | Källa | Källportar | Mål | Målportar | Protokoll | Access |
---|---|---|---|---|---|---|
65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Alla | Tillåt |
DenyAllInbound
Prioritet | Källa | Källportar | Mål | Målportar | Protokoll | Access |
---|---|---|---|---|---|---|
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Valfri | Neka |
Utgående
AllowVnetOutBound
Prioritet | Källa | Källportar | Mål | Målportar | Protokoll | Access |
---|---|---|---|---|---|---|
65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Alla | Tillåt |
AllowInternetOutBound
Prioritet | Källa | Källportar | Mål | Målportar | Protokoll | Access |
---|---|---|---|---|---|---|
65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Alla | Tillåt |
DenyAllOutBound
Prioritet | Källa | Källportar | Mål | Målportar | Protokoll | Access |
---|---|---|---|---|---|---|
65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Valfri | Neka |
I kolumnerna Källa och Mål är VirtualNetwork, AzureLoadBalancer, och Internet så kallade tjänsttaggar, inte IP-adresser. I protokollkolumnen omfattar Any TCP, UDP och ICMP. När du skapar en regel kan du ange TCP, UDP, ICMP eller Any. 0.0.0.0/0 i kolumnerna Källa och Mål representerar alla adresser. Klienter som Azure-portalen, Azure CLI eller PowerShell kan använda * eller något annat för det här uttrycket.
Du kan inte ta bort standardreglerna, men du kan åsidosätta dem genom att skapa regler med högre prioritet.
Förhöjda säkerhetsregler
Förhöjda säkerhetsregler förenklar säkerhetsdefinitionen för virtuella nätverk så att du kan definiera större och mer komplexa nätverkssäkerhetsprinciper med färre regler. Du kan kombinera flera portar och flera explicita IP-adresser och IP-intervall i en enda, lättbegriplig säkerhetsregel. Använd förhöjda regler i fälten för källa, mål och port för en regel. För att göra det enklare att underhålla definitionen av dina säkerhetsregler kan du kombinera förhöjda säkerhetsregler med tjänsttaggar eller programsäkerhetsgrupper. Det finns gränser för antalet adresser, intervall och portar som du kan ange i en regel. Läs mer i informationen om begränsningar för Azure.
Tjänsttaggar
En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Det hjälper till att minimera komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler.
Mer information finns i Azure-tjänsttaggar. Ett exempel på hur du använder taggen Lagringstjänst för att begränsa nätverksåtkomst finns i Begränsa nätverksåtkomst till PaaS-resurser.
Programsäkerhetsgrupper
Med programsäkerhetsgrupper kan du konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper. Du kan återanvända din säkerhetsprincip i stor skala utan manuellt underhåll av explicita IP-adresser. Mer information finns i Programsäkerhetsgrupper.
Azure-plattformsöverväganden
Virtuell IP-adress för värdnoden: Grundläggande infrastrukturtjänster som DHCP, DNS, IMDS och hälsoövervakning tillhandahålls via de virtualiserade värd-IP-adresserna 168.63.129.16 och 169.254.169.254. De här IP-adresserna tillhör Microsoft och är de enda virtualiserade IP-adresserna som används i alla regioner för det här ändamålet. Som standard omfattas dessa tjänster inte av de konfigurerade nätverkssäkerhetsgrupperna om de inte är riktade mot tjänsttaggar som är specifika för varje tjänst. Om du vill åsidosätta den här grundläggande infrastrukturkommunikationen kan du skapa en säkerhetsregel för att neka trafik med hjälp av följande tjänsttaggar i reglerna för nätverkssäkerhetsgruppen: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Lär dig hur du diagnostiserar filtrering av nätverkstrafik och diagnostiserar nätverksroutning.
Licensiering (nyckelhanteringstjänsten): Windows-avbildningar som kör på de virtuella datorerna ska vara licensierade. Licensieringen kontrolleras genom att en begäran skickas till nyckelhanteringstjänstens värdservrar som hanterar sådana frågor. Begäran är en utgående begäran via port 1688. För distributioner som använder konfigurationer med standardflödet 0.0.0.0/0, inaktiveras denna plattformsregel.
Virtuella datorer i lastbalanserade pooler: Källporten och adressintervallet som används kommer från den ursprungliga datorn, inte lastbalanseraren. Målporten och måladressutrymmet kommer från måldatorn, inte lastbalanseraren.
Azure-tjänstinstanser: Instanser av flera Azure-tjänster, till exempel HDInsight, tillämpningstjänstmiljöer och VM-skalningsuppsättningar distribueras i undernät för virtuella nätverk. En fullständig lista över tjänster som du kan distribuera till virtuella nätverk finns i Virtuellt nätverk för Azure-tjänster. Innan du tillämpar en nätverkssäkerhetsgrupp på undernätet bör du bekanta dig med portkraven för varje tjänst. Om du nekar portar som krävs av tjänsten fungerar inte tjänsten korrekt.
Skicka utgående e-post: Microsoft rekommenderar att du använder autentiserade SMTP-relätjänster (ansluts vanligtvis, men inte alltid, via TCP-port 587) för att skicka e-post från Azure Virtual Machines. SMTP-relätjänsterna är specialiserade på avsändaromdöme för att minska möjligheten att externa e-postleverantörer avvisar meddelanden. Sådana SMTP-relätjänster omfattar, men är inte begränsade till, Exchange Online Protection och SendGrid. Användningen av SMTP-relätjänster är inte begränsad i Azure, oavsett vilken typ av prenumeration du har.
Om du har skapat din Azure-prenumeration före 15 november 2017 kan du, förutom att använda SMTP-relätjänster, även skicka e-post direkt via TCP-port 25. Om du har skapat din prenumeration efter 15 november 2017 kan du inte skicka e-post direkt via port 25. Beteendet för utgående kommunikation via port 25 beror på vilken typ av prenumeration du har:
ugovor za preduzeća: För virtuella datorer som distribueras i standardprenumerationer ugovor za preduzeća blockeras inte de utgående SMTP-anslutningarna på TCP-port 25. Det finns dock ingen garanti för att externa domäner accepterar inkommande e-postmeddelanden från de virtuella datorerna. Om dina e-postmeddelanden avvisas eller filtreras av de externa domänerna bör du kontakta e-posttjänstleverantörerna för de externa domänerna för att lösa problemen. De här problemen omfattas inte av Azure-supporten.
För Enterprise Dev/Test-prenumerationer blockeras port 25 som standard. Det går att ta bort det här blocket. Om du vill begära att blocket ska tas bort går du till avsnittet Det går inte att skicka e-post (SMTP-port 25) på sidan Diagnostisera och lösa inställningar för Azure Virtual Network-resursen i Azure-portalen och kör diagnostiken. Detta undantar de kvalificerade enterprise dev/test-prenumerationerna automatiskt.
När prenumerationen är undantagen från det här blocket och de virtuella datorerna har stoppats och startats om undantas alla virtuella datorer i prenumerationen framöver. Undantaget gäller endast för den begärda prenumerationen och endast för VM-trafik som dirigeras direkt till Internet.
Betala per användning: Utgående kommunikation via port 25 blockeras från alla resurser. Inga begäranden om att ta bort begränsningen kan göras eftersom begäranden inte beviljas. Om du vill skicka e-post från din virtuella dator måste du använda en SMTP-relätjänst.
MSDN, Azure Pass, Azure i Open, Education och kostnadsfri utvärderingsversion: Utgående port 25-kommunikation blockeras från alla resurser. Inga begäranden om att ta bort begränsningen kan göras eftersom begäranden inte beviljas. Om du vill skicka e-post från din virtuella dator måste du använda en SMTP-relätjänst.
Molntjänstleverantör: Utgående port 25-kommunikation blockeras från alla resurser. Inga begäranden om att ta bort begränsningen kan göras eftersom begäranden inte beviljas. Om du vill skicka e-post från din virtuella dator måste du använda en SMTP-relätjänst.
Nästa steg
- Information om vilka Azure-resurser som kan distribueras till ett virtuellt nätverk och ha nätverkssäkerhetsgrupper kopplade till dem finns i Integrering av virtuella nätverk för Azure-tjänster
- Information om hur trafik utvärderas med nätverkssäkerhetsgrupper finns i Så här fungerar nätverkssäkerhetsgrupper.
- Om du aldrig har skapat en nätverkssäkerhetsgrupp kan du gå en snabb självstudie för att få lite erfarenhet.
- Om du redan är bekant med nätverkssäkerhetsgrupper och vill lära dig hur du hanterar dem läser du Hantera en nätverkssäkerhetsgrupp.
- Om du har kommunikationsproblem och behöver felsöka nätverkssäkerhetsgrupper läser du Diagnose a virtual machine network traffic filter problem (Diagnostisera problem med filtreringen av nätverkstrafik för virtuella nätverk).
- Lär dig hur du aktiverar flödesloggar för nätverkssäkerhetsgrupper för att analysera nätverkstrafik till och från resurser som har en associerad nätverkssäkerhetsgrupp.