Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure sanal ağlarındaki Azure kaynakları arasındaki ağ trafiğini filtrelemek için bir Azure ağ güvenlik grubu kullanabilirsiniz. Ağ güvenlik grupları, farklı Azure kaynaklarına gelen ya da bu kaynaklardan dışarı giden ağ trafiğine izin veren veya bu trafiği reddeden güvenlik kuralları içerir.
Bu makalede bir ağ güvenlik grubu kuralının özellikleri ve Azure tarafından uygulanan varsayılan güvenlik kuralları açıklanmaktadır. Ayrıca genişletilmiş güvenlik kuralı oluşturmak için kural özelliklerinin nasıl değiştirileceği açıklanır.
Güvenlik kuralları
Bir ağ güvenlik grubu, Azure abonelik sınırları içinde istenen ağ güvenlik kurallarını içerir. Her bir kural aşağıdaki özellikleri belirtir:
| Mülk | Açıklama |
|---|---|
| İsim | Ağ güvenlik grubu içinde benzersiz bir ad. Ad en çok 80 karakter uzunluğunda olabilir. Bir sözcük karakteriyle başlamalı ve bir sözcük karakteriyle veya ile _bitmelidir. Ad, ., -veya \_sözcük karakterleri içerebilir. |
| Öncelik | 100 ile 4096 arasında bir rakam. Kurallar öncelik sırasına göre işlenir ve daha düşük sayılar yüksek sayılardan önce işlenir çünkü düşük sayılar daha yüksek önceliğe sahiptir. Trafik bir kuralla eşleştiğinde işlem durur. Sonuç olarak, daha yüksek önceliğe sahip kurallarla aynı özniteliklere sahip düşük önceliklere (daha yüksek sayılara) sahip olan tüm kurallar işlenmez. Özel kurallarınızın her zaman önce işlenmesini sağlamak için Azure varsayılan güvenlik kurallarına en düşük öncelik (en yüksek sayı) verilir. |
| Kaynak veya hedef | Herhangi birini, tek bir IP adresini, CIDR bloğunu (örneğin, 10.0.0.0/24), hizmet etiketini veya uygulama güvenlik grubunu belirtebilirsiniz. Belirli bir Azure kaynağını belirtmek için kaynağa atanan özel IP adresini kullanın. Gelen trafik için, Azure genel IP adreslerini özel IP adreslerine çevirdikten sonra ağ güvenlik grupları trafiği işler. Giden trafik için ağ güvenlik grupları, özel IP adreslerini genel IP adreslerine çevirmeden önce trafiği işler.
Gereken güvenlik kurallarının sayısını azaltmak için bir aralık, hizmet etiketi veya uygulama güvenlik grubu girin. Artırılmış güvenlik kuralları, tek bir kuralda birden çok ayrı IP adresi ve aralığı belirtmeye olanak sağlar. Ancak, tek bir kuralda birden çok hizmet etiketi veya uygulama grubu belirtemezsiniz. Artırılmış güvenlik kuralları yalnızca Resource Manager dağıtım modeli aracılığıyla oluşturulan ağ güvenlik gruplarında kullanılabilir. Klasik dağıtım modelinde, birden çok IP adresi ve aralığı tek bir kuralda belirtilmez. Örneğin, kaynak alt ağ 10.0.1.0/24 (VM1'in bulunduğu yer) alt ağıysa ve hedef 10.0.2.0/24 alt ağıysa (VM2'nin bulunduğu yer), ağ güvenlik grubu VM2 trafiğini filtreler. Bu davranış, NSG'nin VM2'nin ağ arabirimiyle ilişkili olması nedeniyle oluşur. |
| Protokol | TCP, UDP, ICMP, ESP, AH veya Any. ESP ve AH protokolleri şu anda Azure portalı üzerinden kullanılamaz, ancak ARM şablonları aracılığıyla kullanılabilir. |
| Yön | Kuralın gelen veya giden trafiğe uygulanıp uygulanmayacağı. |
| Bağlantı noktası aralığı | Tek bir bağlantı noktası veya bağlantı noktası aralığı belirtebilirsiniz. Örneğin, 80 veya 10000-10005 belirtebilirsiniz; veya tek tek bağlantı noktaları ve aralıkların bir karışımı için bunları 80, 10000-10005 gibi virgüllerle ayırabilirsiniz. Aralıkları ve virgül ayrımlarını belirtmek, daha az güvenlik kuralı oluşturmanıza yardımcı olur. Genişletilmiş güvenlik kuralları yalnızca Resource Manager dağıtım modeliyle oluşturulmuş olan ağ güvenlik gruplarında oluşturulabilir. Klasik dağıtım modeli aracılığıyla oluşturulan ağ güvenlik gruplarında aynı güvenlik kuralında birden çok bağlantı noktası veya bağlantı noktası aralığı belirtemezsiniz. |
| Eylem | Belirtilen trafiğe izin verin veya trafiğinizi reddedin. |
Güvenlik kuralları, kaynak, kaynak bağlantı noktası, hedef, hedef bağlantı noktası ve protokolün beş tanımlama grubu bilgilerine göre değerlendirilir ve uygulanır. Aynı öncelik ve yönde iki güvenlik kuralı oluşturamazsınız. Aynı önceliğe ve yöne sahip iki güvenlik kuralı, sistemin trafiği işleme şekliyle ilgili bir çakışmaya neden olabilir. Var olan bağlantılar için bir akış kaydı oluşturulur. Akış kaydının bağlantı durumuna göre iletişime izin verilir veya iletişim reddedilir. Akış kaydı bir ağ güvenlik grubunun durum bilgisine sahip olmasını sağlar. Örneğin 80 numaralı bağlantı noktasından tüm adreslere doğru giden bir güvenlik kuralı belirtirseniz giden trafiğe yanıt olarak bir gelen güvenlik kuralı belirtmeniz gerekli değildir. Yalnızca iletişimin dışarıdan başlatılması halinde bir gelen güvenlik kuralı belirtmeniz gerekir. Bunun tersi doğrudur. Gelen trafiğe bir bağlantı noktası üzerinden izin verilmesi halinde, bu bağlantı noktası üzerinden gelen trafiğe yanıt vermek için bir giden güvenlik kuralı belirtmeniz gerekli değildir.
Bağlantıya izin veren bir güvenlik kuralını kaldırdığınızda, var olan bağlantılar kesintisiz kalır. Ağ güvenlik grubu kuralları yalnızca yeni bağlantıları etkiler. Ağ güvenlik grubundaki yeni veya güncelleştirilmiş kurallar yalnızca yeni bağlantılara uygulanır ve mevcut bağlantılar değişikliklerden etkilenmez. Örneğin, bir sanal makinede etkin bir SSH oturumunuz varsa ve ardından bu SSH trafiğine izin veren güvenlik kuralını kaldırırsanız, geçerli SSH oturumunuz bağlı ve işlevsel kalır. Ancak, güvenlik kuralı kaldırıldıktan sonra yeni bir SSH bağlantısı kurmaya çalışırsanız, bu yeni bağlantı girişimi engellenir.
Bir ağ güvenlik grubunda oluşturabileceğiniz güvenlik kurallarının sayısı ve ağ güvenlik grubunun diğer özellikleriyle ilgili sınırlar vardır. Ayrıntılar için Azure limitleri makalesini inceleyin.
Varsayılan güvenlik kuralları
Azure, oluşturduğunuz tüm ağ güvenlik gruplarına aşağıdaki varsayılan kuralları ekler:
Gelen Ürünler
AllowVNetInBound
| Öncelik | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Erişim |
|---|---|---|---|---|---|---|
| 65000 | Sanal Ağ | 0-65535 | Sanal Ağ | 0-65535 | Herhangi bir | İzin Ver |
Azure Yük Dengeleyici'nin Girişine İzin Ver
| Öncelik | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Erişim |
|---|---|---|---|---|---|---|
| 65001 | Azure Yük Dengeleyici (AzureLoadBalancer) | 0-65535 | 0.0.0.0/0 | 0-65535 | Herhangi bir | İzin Ver |
DenyAllInbound
| Öncelik | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Erişim |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Herhangi bir | Reddet |
Çıkışa Yönelik
AllowVnetOutBound
| Öncelik | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Erişim |
|---|---|---|---|---|---|---|
| 65000 | Sanal Ağ | 0-65535 | Sanal Ağ | 0-65535 | Herhangi bir | İzin Ver |
İnternet Dışa Yönelik İzin Ver
| Öncelik | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Erişim |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | İnternet | 0-65535 | Herhangi bir | İzin Ver |
DenyAllOutBound
| Öncelik | Kaynak | Kaynak bağlantı noktaları | Hedef | Hedef bağlantı noktaları | Protokol | Erişim |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Herhangi bir | Reddet |
Kaynak ve Hedef sütunlarında VirtualNetwork, AzureLoadBalancer ve Internet, IP adresleri yerine hizmet etiketleridir. Protokol sütununda, Tümü TCP, UDP ve ICMP'yi kapsar. Kural oluştururken TCP, UDP, ICMP veya Any belirtebilirsiniz. Kaynak ve Hedef sütunlarında 0.0.0.0/0 tüm IP adreslerini temsil eder. Azure portalı, Azure CLI veya PowerShell gibi istemciler bu ifade için * veya Herhangi birini kullanabilir.
Varsayılan kuralları kaldıramazsınız, ancak daha yüksek önceliğe sahip kurallar oluşturarak bunları geçersiz kılabilirsiniz.
Genişletilmiş güvenlik kuralları
Artırılmış güvenlik kuralları, sanal ağlar için güvenlik tanımını basitleştirerek daha az kuralla daha büyük ve karmaşık ağ güvenlik ilkeleri tanımlamanızı sağlar. Birden fazla bağlantı noktası ile birden fazla açık IP adresini ve aralığını bir araya getirerek tek ve anlaşılması kolay bir güvenlik kuralı oluşturabilirsiniz. Genişletilmiş kuralları bir kuralın kaynak, hedef ve bağlantı noktası alanlarında kullanabilirsiniz. Güvenlik kuralı tanımınızın bakımını kolaylaştırmak için genişletilmiş güvenlik kurallarını hizmet etiketleri veya uygulama güvenlik gruplarıyla bir arada kullanabilirsiniz. Bir güvenlik kuralında belirtebileceğiniz adres, aralık ve bağlantı noktası sayısı sınırları vardır. Ayrıntılar için Azure limitleri makalesini inceleyin.
Hizmet etiketleri
Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Ağ güvenlik kurallarındaki sık güncelleştirmelerin karmaşıklığını en aza indirmeye yardımcı olur.
Daha fazla bilgi için bkz . Azure hizmet etiketleri. Ağ erişimini kısıtlamak için Depolama hizmeti etiketinin nasıl kullanılacağına ilişkin bir örnek için bkz . PaaS kaynaklarına ağ erişimini kısıtlama.
Uygulama güvenliği grupları
Uygulama güvenlik grupları ağ güvenliğini uygulamanın yapısının doğal bir uzantısı olarak yapılandırmanıza imkan vererek sanal makineleri gruplamanızı ve ağ güvenlik ilkelerini bu gruplara göre tanımlamanızı sağlar. Açık IP adreslerinin bakımını el ile yapmanıza gerek kalmadan güvenlik ilkesini farklı ölçeklerde yeniden kullanabilirsiniz. Daha fazla bilgi için bkz . Uygulama güvenlik grupları.
Güvenlik yöneticisi kuralları
Güvenlik yöneticisi kuralları, sanal ağlarda güvenlik ilkelerini zorunlu kılan genel ağ güvenlik kurallarıdır. Güvenlik yöneticisi kuralları, ağ yöneticilerinin sanal ağları abonelikler arasında genel olarak gruplandırmalarına, yapılandırmalarına, dağıtmalarına ve yönetmelerine olanak tanıyan bir yönetim hizmeti olan Azure Sanal Ağ Yöneticisi'nden kaynaklanır.
Güvenlik yöneticisi kuralları her zaman ağ güvenlik grubu kurallarından daha yüksek önceliğe sahiptir ve bu nedenle önce değerlendirilir. "İzin ver" güvenlik yöneticisi kuralları, ağ güvenlik grubu kurallarını eşleştirerek değerlendirmeye devam eder. Güvenlik yöneticisi kuralı işlendiğinde, "Her zaman izin ver" ve "Reddet" güvenlik yöneticisi kuralları trafik değerlendirmesini sona erdirir. "Her zaman izin ver" güvenlik yöneticisi kuralları, çakışan ağ güvenlik grubu kurallarını atlayarak trafiği doğrudan kaynağa gönderir. "Reddet" güvenlik yöneticisi kuralları trafiği hedefe teslim etmeden engeller. Bu kurallar ağ güvenlik grubu çakışması, yanlış yapılandırma veya güvenlik boşluklarının kullanıma sunulması riski olmadan temel güvenlik ilkesini zorunlu kılar. Bu güvenlik yönetici kural eylem türleri, trafik iletimini sağlamak ve aşağıdaki ağ güvenlik grubu kuralları tarafından çakışan veya istenmeyen davranışları önlemek için yararlı olabilir.
Bu davranışın anlaşılması önemlidir çünkü "Her zaman izin ver" veya "Reddet" eylem türlerine uyan trafik, daha fazla değerlendirme için ağ güvenlik grubu kurallarına ulaşmaz. Daha fazla bilgi edinmek için bkz . Güvenlik yöneticisi kuralları.
Akış zaman aşımı
Önemli
30 Eylül 2027'de ağ güvenlik grubu (NSG) akış günlükleri kullanımdan kaldırılacaktır. Bu emeklilik kapsamında, 30 Haziran 2025 yılı itibariyle yeni NSG akış logları oluşturamayacaksınız. NSG akış günlüklerinin sınırlamalarını aşan sanal ağ akış günlüklerine geçiş yapmanızı öneririz. Emeklilik tarihinden sonra, NSG akış günlükleri ile etkinleştirilen trafik analizleri artık desteklenmeyecek ve aboneliklerinizdeki mevcut NSG akış günlüğü kaynakları silinecektir. Ancak NSG akış günlüğü kayıtları silinmez ve ilgili saklama ilkelerini izlemeye devam eder. Daha fazla bilgi için resmi duyuruya bakın.
Akış zaman aşımı ayarları, bir akış kaydının süresi dolmadan önce ne kadar süre etkin kalacağını belirler. Bu ayarı Azure portalını kullanarak veya komut satırı aracılığıyla yapılandırabilirsiniz. Daha fazla bilgi için bkz. NSG akış günlüklerine genel bakış.
Azure platformunda dikkat edilmesi gerekenler
Konak düğümünün sanal IP'si: DHCP, DNS, IMDS ve sistem durumu izleme gibi temel altyapı hizmetleri 168.63.129.16 ve 169.254.169.254 sanallaştırılmış ana bilgisayar IP adresleri aracılığıyla sağlanır. Bu IP adresleri Microsoft'a aittir ve bu amaçla tüm bölgelerde kullanılan tek sanallaştırılmış IP adresleridir. Varsayılan olarak, her hizmete özgü hizmet etiketleri tarafından hedeflenmediği sürece bu hizmetler yapılandırılmış ağ güvenlik gruplarına tabi değildir. Bu temel altyapı iletişimini geçersiz kılmak için, Ağ Güvenlik Grubu kurallarınızda şu hizmet etiketlerini kullanarak trafiği reddetmek için bir güvenlik kuralı oluşturabilirsiniz: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Ağ trafiği filtrelemeyi tanılamayı ve ağ yönlendirmeyi tanılamayı öğrenin.
Lisanslama (Anahtar Yönetimi Hizmeti): Sanal makinelerde çalışan Windows görüntülerinin lisanslanması gerekir. Lisanslama sağlamak için sistem, bu tür sorguları işleyen Anahtar Yönetimi Hizmeti konak sunucularına bir istek gönderir. İstek, bağlantı noktası 1688 üzerinden gönderilir. Varsayılan yol 0.0.0.0/0 yapılandırmasını kullanan dağıtımlar için bu platform kuralı devre dışı bırakılır.
Yük dengelenmiş havuzlardaki sanal makineler: Uygulanan kaynak bağlantı noktası ve adres aralığı, yük dengeleyiciye değil kaynak bilgisayara aittir. Hedef bağlantı noktası ve adres aralığı, yük dengeleyici değil, hedef bilgisayar içindir.
Azure hizmet örnekleri: HDInsight, Application Service Ortamları ve Sanal Makine Ölçek Kümeleri gibi çeşitli Azure hizmetlerinin örnekleri sanal ağ alt ağlarına dağıtılır. Sanal ağlara dağıtabileceğiniz hizmetlerin tam listesine bakın. Alt ağa bir ağ güvenlik grubu uygulamadan önce, her hizmetin bağlantı noktası gereksinimlerini tanıyın. Hizmetin gerektirdiği bağlantı noktalarını reddederseniz, hizmet düzgün çalışmaz.
Giden e-posta gönderme: Microsoft, Azure Sanal Makineler'den e-posta göndermek için kimliği doğrulanmış SMTP geçiş hizmetlerini (normalde TCP bağlantı noktası 587 üzerinden bağlanır, ama sıklıkla başkalarını da kullanır) kullanmanızı önerir. SMTP geçiş hizmetleri, iş ortağı e-posta sağlayıcılarının iletileri reddetme olasılığını en aza indirmek için gönderen itibarı konusunda uzmanlaşmıştır. Bu tür SMTP geçiş hizmetleri Exchange Online Protection ve SendGrid'i içerir ancak bunlarla sınırlı değildir. Abonelik türünüz ne olursa olsun, Azure'da SMTP geçiş hizmetlerinin kullanımına hiçbir kısıtlama getirilmez.
Azure aboneliğinizi 15 Kasım 2017'den önce oluşturduysanız, SMTP geçiş hizmetlerini kullanabilmenin yanı sıra doğrudan TCP bağlantı noktası 25 üzerinden e-posta gönderebilirsiniz. Aboneliğinizi 15 Kasım 2017'den sonra oluşturduysanız, doğrudan bağlantı noktası 25 üzerinden e-posta gönderemeyebilirsiniz. Bağlantı noktası 25 üzerinden giden iletişimin davranışı, sahip olduğunuz aboneliğe bağlıdır:
Kurumsal Anlaşma: Standart Kurumsal Anlaşma aboneliklerinde dağıtılan VM'ler için 25 numaralı TCP bağlantı noktasında giden SMTP bağlantıları engellenmez. Ancak, dış etki alanlarının VM'lerden gelen e-postaları kabul etme garantisi yoktur. Dış etki alanları e-postaları reddederse veya filtrelerse, sorunları çözmek için dış etki alanlarının e-posta hizmeti sağlayıcılarına başvurun. Bu sorunlar Azure desteği kapsamında değildir.
Kurumsal Geliştirme ve Test aboneliklerinde 25 numaralı bağlantı noktası varsayılan olarak engellenir. Bu engelin kaldırılması mümkündür. Engelin kaldırılmasını istemek için Azure portalındaki Azure Sanal Ağ kaynağının Tanılama ve Çözme ayarları sayfasının E-posta gönderemiyor (SMTP-Bağlantı Noktası 25) bölümüne gidin ve tanılamayı çalıştırın. Bu yordam, nitelikli kurumsal geliştirme/test aboneliklerini otomatik olarak muaf bırakır.
Abonelik bu engelden muaf tutulduktan ve VM’ler durdurulup yeniden başlatıldıktan sonra, söz konusu abonelikteki tüm VM’ler artık muaf tutulur. Muafiyet yalnızca istenen abonelik için ve yalnızca doğrudan İnternet'e yönlendiren VM trafiği için geçerlidir.
Kullandıkça öde: Tüm kaynaklardan 25 numaralı port üzerinden yapılan dışarıya yönelik iletişim engellenir. Kısıtlamayı kaldırmak için istek yapılamaz, çünkü istekler onaylanmıyor. Sanal makinenizden e-posta göndermeniz gerekirse, SMTP geçiş hizmetini kullanmanız gerekir.
MSDN, Azure Pass, Azure in Open, Eğitim ve Ücretsiz deneme: Tüm kaynaklardan giden 25 numaralı port iletişimi engellenmiştir. Kısıtlamayı kaldırmak için istek yapılamaz, çünkü istekler onaylanmıyor. Sanal makinenizden e-posta göndermeniz gerekirse, SMTP geçiş hizmetini kullanmanız gerekir.
Bulut hizmet sağlayıcısı: Bağlantı noktası 25 üzerinden giden iletişim tüm kaynaklardan engellenmiştir. Kısıtlamayı kaldırmak için istek yapılamaz, çünkü istekler onaylanmıyor. Sanal makinenizden e-posta göndermeniz gerekirse, SMTP geçiş hizmetini kullanmanız gerekir.
Sonraki adımlar
Sanal ağa dağıtabileceğiniz Azure kaynaklarını öğrenin. Ağ güvenlik gruplarının bunlarla nasıl ilişkilendirilebileceğini anlamak için bkz. Azure hizmetleri için sanal ağ tümleştirmesi .
Ağ güvenlik gruplarının trafiği nasıl değerlendirdiğini öğrenmek için bkz. Ağ güvenlik grupları nasıl çalışır?
Bu hızlı öğreticiyi izleyerek bir ağ güvenlik grubu oluşturun.
Ağ güvenlik grupları ve yönetimi hakkında bilginiz varsa bkz. Ağ güvenlik gruplarını yönetme.
İletişim sorunları yaşıyorsanız ve ağ güvenlik gruplarıyla ilgili sorunları gidermeniz gerekiyorsa bkz. Sanal makine ağ trafiği filtresi sorunlarını tanılama.
İlişkili bir ağ güvenlik grubuyla eşleşebilecek bir sanal ağ üzerinden akan ağ trafiğini analiz etmek için sanal ağ akış günlüklerini etkinleştirmeyi öğrenin.