您可以使用 Azure 網路安全組來篩選 Azure 虛擬網路中 Azure 資源之間的網路流量。 網路安全性群組包含安全性規則,用來允許或拒絕進出多種 Azure 資源類型的輸入和輸出網路流量。
本文說明網路安全組規則的屬性,以及 Azure 所套用 的預設安全性規則 。 它也描述如何修改規則屬性,以建立 增強式安全性規則。
安全性規則
網路安全組包含 Azure 訂用帳戶 限制內所需的網路安全性規則。 每個規則都會指定下列屬性:
| 屬性 | 說明 |
|---|---|
| 名稱 | 網路安全性群組內的唯一名稱。 名稱長度最多可達 80 個字元。 開頭必須是文字字元,結尾必須是文字字元或 _。 名稱可以包含字元、 .、 -或 \_。 |
| 優先順序 | 100 到 4096 之間的數字。 規則會以優先順序處理,在較高的數位之前處理較少的數位,因為較低的數位具有較高的優先順序。 一旦流量符合規則,處理就會停止。 因此,不會處理任何優先順序較低(較高數位)與優先順序較高規則具有相同屬性的規則。 Azure 預設安全性規則會獲得最低優先順序(最高數位),以確保一律先處理自定義規則。 |
| 來源或目的地 | 您可以指定 Any、個別 IP 位址、CIDR 區塊(例如 10.0.0.0/24)、 服務標記或 應用程式安全組。 若要指定特定的 Azure 資源,請使用指派給資源的私人 IP 位址。 針對輸入流量,網路安全組會處理 Azure 將公用 IP 位址轉譯為私人 IP 地址之後的流量。 針對輸出流量,網路安全組會先處理流量,再將私人IP位址轉譯為公用IP位址。
輸入範圍、服務標籤或應用程式安全組,以減少所需的安全性規則數目。 增強式安全性規則允許在單一規則中指定多個個別IP位址和範圍。 不過,您無法在單一規則中指定多個服務標籤或應用程式群組。 增強型安全性規則僅適用於透過 Resource Manager 部署模型建立的網路安全組。 在傳統部署模型中,無法在單一規則中指定多個IP位址和範圍。 例如,如果來源是子網 10.0.1.0/24(VM1 所在的位置),而目的地為子網 10.0.2.0/24(VM2 所在的位置),網路安全組會篩選 VM2 的流量。 發生此行為是因為 NSG 與 VM2 的網路介面相關聯。 |
| 通訊協定 | [TCP]、[UDP]、[ICMP]、[ESP]、[AH] 或 [任何]。 ESP 和 AH 通訊協定目前無法透過 Azure 入口網站取得,但可透過 ARM 範本使用。 |
| 方向 | 規則是否套用至輸入或輸出流量。 |
| 連接埠範圍 | 您可以指定個別的埠或埠範圍。 例如,您可以指定 80 或 10000-10005;或針對個別埠和範圍的混合,您可以使用逗號分隔它們,例如 80、10000-10005。 指定範圍和逗號分隔可讓您建立較少的安全性規則。 擴增安全性規則只能在透過 Resource Manager 部署模型建立的網路安全性群組中建立。 您無法在透過傳統部署模型建立之網路安全性群組的相同安全性規則中指定多個連接埠與連接埠範圍。 |
| 動作 | 允許或拒絕指定的流量。 |
安全性規則會根據來源、來源埠、目的地、目的地埠和通訊協定的五元組資訊進行評估並套用。 您無法使用相同的優先順序和方向建立兩個安全性規則。 具有相同優先順序和方向的兩個安全性規則可能會造成系統如何處理流量的衝突。 會為現有的連線建立流程記錄。 根據流量記錄的連接狀態,允許或拒絕通訊。 流量紀錄允許網路安全群組有狀態記錄。 例如,如果您針對連接埠 80 的任何位址指定輸出安全性規則,則不需要為輸出流量的回應指定輸入安全性規則。 只有在外部起始通訊時,才需要指定輸入安全性規則。 反之亦然。 如果允許透過連接埠的輸入流量,則不需要指定輸出安全性規則來回應透過連接埠的流量。
當您移除允許連線的安全性規則時,現有的聯機會保持不中斷。 網路安全組規則只會影響新的連線。 網路安全組中的新規則或更新的規則會完全套用至新的連線,讓現有連線不受變更影響。 例如,如果您有虛擬機器的作用中 SSH 工作階段,然後移除允許該 SSH 流量的安全性規則,則目前的 SSH 工作階段會維持連線且正常運作。 不過,如果您在移除安全性規則之後嘗試建立新的 SSH 連線,將會封鎖該新的連線嘗試。
您可以在網路安全組和網路安全組的其他屬性中建立的安全性規則數目有限制。 如需詳細資訊,請參閱 Azure 限制。
預設安全性規則
Azure 會在您建立的每個網路安全性群組中,建立下列預設規則:
輸入
AllowVNetInBound
| 優先順序 | 來源 | 來源連接埠 | 目的地 | 目的地連接埠 | 通訊協定 | 存取權 |
|---|---|---|---|---|---|---|
| 65000 | 虛擬網路 | 0-65535 | 虛擬網路 | 0-65535 | 任何 | 允許 |
AllowAzureLoadBalancerInBound
| 優先順序 | 來源 | 來源連接埠 | 目的地 | 目的地連接埠 | 通訊協定 | 存取權 |
|---|---|---|---|---|---|---|
| 65001 | Azure負載平衡器 (AzureLoadBalancer) | 0-65535 | 0.0.0.0/0 | 0-65535 | 任何 | 允許 |
DenyAllInbound
| 優先順序 | 來源 | 來源連接埠 | 目的地 | 目的地連接埠 | 通訊協定 | 存取權 |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | 任何 | 拒絕 |
輸出
AllowVnetOutBound
| 優先順序 | 來源 | 來源連接埠 | 目的地 | 目的地連接埠 | 通訊協定 | 存取權 |
|---|---|---|---|---|---|---|
| 65000 | 虛擬網路 | 0-65535 | 虛擬網路 | 0-65535 | 任何 | 允許 |
AllowInternetOutBound
| 優先順序 | 來源 | 來源連接埠 | 目的地 | 目的地連接埠 | 通訊協定 | 存取權 |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | 網際網路 | 0-65535 | 任何 | 允許 |
DenyAllOutBound
| 優先順序 | 來源 | 來源連接埠 | 目的地 | 目的地連接埠 | 通訊協定 | 存取權 |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | 任何 | 拒絕 |
在 [來源 ] 和 [ 目的地 ] 數據行中, VirtualNetwork、 AzureLoadBalancer 和 因特網 是 服務卷標 ,而不是 IP 位址。 在 [ 通訊協定 ] 數據行中, [任何] 包含 TCP、UDP 和 ICMP。 建立規則時,您可以指定 TCP、UDP、ICMP 或 Any。 [來源] 和 [目的地] 數據行中的 0.0.0.0/0 代表所有 IP 位址。 Azure 入口網站、Azure CLI 或 PowerShell 等用戶端可以針對此運算式使用 * 或 Any。
您無法移除預設規則,但可以建立規則,賦予較高優先順序,以取代預設規則。
增強型安全性規則
增強式安全性規則可簡化虛擬網路的安全性定義,讓您使用較少的規則來定義較大型且複雜的網路安全策略。 您可以將多個連接埠和多個明確 IP 位址與範圍,合併成易於了解的單一安全性規則。 在規則的來源、目的地和連接埠欄位中使用增強型規則。 若要簡化安全性規則定義的維護,請合併增強型安全性規則與服務標籤或應用程式安全性群組。 您可以在安全性規則中指定的位址、範圍和埠數目有限制。 如需詳細資訊,請參閱 Azure 限制。
服務標籤
服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 這有助於將網路安全性規則上頻繁更新的複雜度降到最低。
如需詳細資訊,請參閱 Azure 服務標記。 如需如何使用儲存體服務標記來限制網路存取的範例,請參閱限制對 PaaS 資源的網路存取。
應用程式安全性群組
應用程式安全性群組可讓您將網路安全性設定為應用程式結構的自然延伸,以便分組虛擬機器,並定義以那些群組為基礎的網路安全性原則。 您可以大規模重複使用您的安全性原則,而不需進行明確 IP 位址的手動維護。 若要深入了解,請參閱應用程式安全性群組。
安全性管理員角色
安全性系統管理員規則是全域網路安全性規則,可強制執行虛擬網路的安全策略。 安全性系統管理員規則源自 Azure 虛擬網路管理員,這是一項管理服務,可讓網路管理員跨訂用帳戶全域分組、設定、部署和管理虛擬網路。
安全性系統管理員規則的優先順序一律高於網路安全組規則,因此會先進行評估。 「允許」安全性管理員規則會繼續進行評估,方法是比對網路安全性群組規則。 不過,「永遠允許」和「拒絕」安全性管理員規則會在處理安全性管理規則之後終止流量評估。 「永遠允許」安全性管理員規則會將流量直接傳送至資源,略過可能衝突的網路安全組規則。 「拒絕」安全性管理員規則會封鎖流量,而不會將其傳遞至目的地。 這些規則會強制執行基準安全策略,而不會有網路安全組衝突、設定錯誤或引入安全性缺口的風險。 這些安全性系統管理員規則動作類型可用於強制執行流量傳遞,並防止下游網路安全組規則發生衝突或非預期的行為。
務必了解此行為,因為「永遠允許」或「拒絕」動作類型的流量比對安全性管理員規則,不會連線到網路安全性群組規則以進行進一步評估。 若要深入瞭解,請參閱 安全性系統管理員規則。
流量逾時
這很重要
網路安全性群組 (NSG) 流程記錄將於 2027 年 9 月 30 日淘汰。 2025 年 6 月 30 日之後,您將無法再建立新的 NSG 流程記錄。 建議您 移轉 至 虛擬網路流程記錄,以解決 NSG 流程記錄的限制。 退役日期之後,針對 NSG 流程記錄資源的流量分析將不再受支援,並且訂用帳戶中的現有 NSG 流程記錄資源將被刪除。 不過,現有的 NSG 流程記錄記錄不會從 Azure 儲存體中刪除,而且會繼續遵循其設定的保留原則。 如需詳細資訊,請參閱官方公告。
流量逾時設定會決定流量記錄在到期前保持作用中的時間長度。 您可以使用 Azure 入口網站或透過命令行來設定此設定。 如需詳細資訊,請參閱 NSG 流量記錄概觀。
Azure 平台的考量
主機節點的虛擬 IP:基本的基礎結構服務,例如 DHCP、DNS、IMDS 和健康情況監控是透過虛擬化主機 IP 位址 168.63.129.16 和 169.254.169.254 所提供。 這些 IP 位址屬於 Microsoft,而且是針對此目的唯一用於所有地區的虛擬 IP。 根據預設,除非以每個服務特定的服務標籤為目標,否則這些服務不會受限於設定的網路安全性群組。 若要覆寫此基本基礎結構通訊,您可以使用下列網路安全性群組規則的服務標記,藉此建立安全性規則以拒絕流量: AzurePlatformDNS、AzurePlatformIMDS、AzurePlatformLKM。 了解如何診斷網路流量篩選及診斷網路路由。
授權 (金鑰管理服務):必須授權在虛擬機器中執行的 Windows 映像。 為了確保授權,系統會將要求傳送給處理這類查詢的密鑰管理服務主機伺服器。 此要求是透過連接埠 1688 輸出。 對於使用 預設路由 0.0.0.0/0 組態的部署,此平台規則會停用。
負載平衡集區中的虛擬機器:套用的來源連接埠和位址範圍是來自原始電腦,而不是負載平衡器。 目的地連接埠和位址範圍屬於目的地電腦,而不是負載平衡器。
Azure 服務實例:數個 Azure 服務的實例,例如 HDInsight、應用程式服務環境和虛擬機擴展集,會部署在虛擬網路子網中。 查看 您可以部署到虛擬網路的完整服務清單。 在將網路安全性群組應用於子網路之前,請先熟悉每個服務的連接埠的要求。 如果您拒絕服務所需的埠,服務將無法正常運作。
傳送外寄電子郵件:Microsoft 建議您利用已驗證的 SMTP 轉送服務 (通常透過 TCP 連接埠 587 連線,但也可透過其他連接埠連線),從 Azure 虛擬機器傳送電子郵件。 SMTP 轉送服務專門從事發件人信譽,以將合作夥伴電子郵件提供者拒絕郵件的可能性降到最低。 這類 SMTP 轉送服務包括但不限於 Exchange Online Protection 和 SendGrid。 不論您的訂用帳戶類型為何,在 Azure 中使用 SMTP 轉送服務不受限制。
如果您在 2017 年 11 月 15 日之前建立了 Azure 訂用帳戶,除了能夠使用 SMTP 轉送服務之外,您也可以透過 TCP 連接埠 25 直接傳送電子郵件。 如果您在 2017 年 11 月 15 日之後建立訂閱,您可能無法直接透過埠 25 傳送電子郵件。 透過連接埠 25 的連出通訊行為取決於您擁有的訂用帳戶類型,如下所示:
Enterprise 合約:對於部署在標準 Enterprise 合約訂用帳戶中的 VM,不會封鎖 TCP 連接埠 25 上的輸出 SMTP 連線。 不過,不保證外部網域接受來自 VM 的傳入電子郵件。 如果外部網域拒絕或篩選電子郵件,請連絡外部網域的電子郵件服務提供者以解決問題。 Azure 支援不會涵蓋這些問題。
針對 Enterprise 開發/測試訂用帳戶,預設會封鎖連接埠 25。 有可能可以移除此區塊。 若要要求解除封鎖,請至 Azure 入口網站中的 Azure 虛擬網路資源,在 [診斷和解決] 設定頁面的 [無法傳送電子郵件 (SMTP-Port 25)] 部分執行診斷。 此程序會自動豁免符合條件的企業開發和測試訂用帳戶。
在此訂用帳戶從封鎖中豁免後,若 VM 停止並重新啟動,該訂用帳戶內的所有 VM 之後都將會被豁免。 豁免僅適用於所要求的訂用帳戶,且僅適用於直接路由至因特網的 VM 流量。
隨用隨付:所有資源的輸出連接埠 25 通訊都遭到封鎖。 無法進行任何移除限制的要求,因為要求未獲授權。 如果您必須從虛擬機器傳送電子郵件,就必須使用 SMTP 轉送服務。
MSDN、Azure Pass、Azure in Open、Education 和免費試用:所有資源的輸出連接埠 25 通訊都遭到封鎖。 無法進行任何移除限制的要求,因為要求未獲授權。 如果您必須從虛擬機器傳送電子郵件,就必須使用 SMTP 轉送服務。
雲端服務提供者:所有資源的出口端口 25 通訊都遭到封鎖。 無法進行任何移除限制的要求,因為要求未獲授權。 如果您必須從虛擬機器傳送電子郵件,就必須使用 SMTP 轉送服務。
下一步
瞭解您可以部署到虛擬網路的 Azure 資源。 請參閱 Azure 服務的虛擬網路整合 ,以了解網路安全組如何與其建立關聯。
若要了解網路安全組如何評估流量,請參閱 網路安全組的運作方式。
遵循本快速入門 教學課程,建立網路安全組。
如果您熟悉網路安全性群組,並且有管理需求,請參閱管理網路安全性群組。
如果您有通訊問題,因而需要對網路安全性群組進行疑難排解,請參閱診斷虛擬機器網路流量篩選問題。
瞭解如何啟用 虛擬網路流量記錄 ,以分析流經可能符合相關聯網路安全組的虛擬網路的網路流量。