建立、變更或刪除網路安全性群組

  • 發行項

網路安全性群組中的安全性規則能讓您篩選可在虛擬網路子網路及網路介面中流入和流出的網路流量類型。 若要深入了解網路安全性群組,請參閱網路安全性群組概觀。 接下來,請完成篩選網路流量教學課程,以獲得網路安全性群組的一些經驗。

必要條件

如果您沒有包含作用中訂用帳戶的 Azure 帳戶,請建立免費帳戶。 開始本文的其餘部分之前,請先完成下列其中一項工作:

  • 入口網站使用者:使用您的 Azure 帳戶登入 Azure 入口網站

  • PowerShell 使用者:在 Azure Cloud Shell 中,或是從您的電腦以本機方式執行 PowerShell 來執行命令。 Azure Cloud Shell 是免費的互動式 Shell,可讓您用來執行本文中的步驟。 它具有預先安裝和設定的共用 Azure 工具,可與您的帳戶搭配使用。 在 [Azure Cloud Shell] 瀏覽器索引標籤中,尋找 [選取環境] 下拉式清單,然後選擇 [PowerShell] (如果尚未選取)。

    如果您在本機執行 PowerShell,請使用 Azure PowerShell 模組 1.0.0 版或更新版本。 執行 Get-Module -ListAvailable Az.Network 以尋找安裝的版本。 如果您需要安裝或升級,請參閱安裝 Azure PowerShell 模組。 執行 Connect-AzAccount 以登入 Azure。

  • Azure CLI 使用者:在 Azure Cloud Shell 中,或是從您的電腦以本機方式執行 Azure CLI 來執行命令。 Azure Cloud Shell 是免費的互動式 Shell,可讓您用來執行本文中的步驟。 它具有預先安裝和設定的共用 Azure 工具,可與您的帳戶搭配使用。 在 Azure Cloud Shell 瀏覽器索引標籤中,尋找 [選取環境] 下拉式清單,然後選擇 [Bash] (如果尚未選取)。

    如果您是在本機執行 Azure CLI,請使用 Azure CLI 2.0.28 版或更新版本。 執行 az --version 以尋找安裝的版本。 如果您需要安裝或升級,請參閱安裝 Azure CLI。 執行 az login 以登入 Azure。

網路參與者角色自訂角色指派適當的權限

使用網路安全性群組

您可以建立網路安全性群組、檢視所有網路安全性群組檢視網路安全性群組的詳細資料,以及變更刪除網路安全性群組。 您也可以讓網路安全性群組與網路介面子網路建立關聯或解除關聯。

建立網路安全性群組

您可以為每個 Azure 區域和訂用帳戶建立的網路安全性群組數目有所限制。 若要深入了解,請參閱 Azure 訂用帳戶和服務限制、配額及條件約束

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 在搜尋結果中選取 [網路安全性群組]

  2. 選取 + 建立

  3. 在 [建立網路安全性群組] 頁面的 [基本] 索引標籤底下,輸入或選取下列值:

    設定 動作
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取現有的資源群組,或選取 [新建] 以建立新的資源群組。 此範例使用 myResourceGroup 資源群組。
    [執行個體詳細資料]
    網路安全性群組名稱 輸入您要建立的網路安全性群組的名稱。
    區域 選取您想要的區域。

    Screenshot of create network security group in Azure portal.

  4. 選取 [檢閱 + 建立]。

  5. 看到 [驗證成功] 訊息之後,請選取 [建立]

檢視所有網路安全性群組

在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 選取搜尋結果中的 [網路安全性群組],以查看訂用帳戶中網路安全性群組的清單。

Screenshot of network security groups list in Azure portal.

檢視網路安全性群組的詳細資料

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組,然後選取搜尋結果中的 [網路安全性群組]

  2. 選取您的網路安全性群組名稱。

在 [設定] 底下,您可以檢視網路安全性群組所關聯的 [輸入安全性規則] 和 [輸出安全性規則]、[網路介面] 和 [子網路]

在 [監視] 底下,您可以啟用或停用 [診斷設定]。 如需詳細資訊,請參閱網路安全性群組的資源記錄

在 [說明] 下,您可以檢視 [有效安全性規則]。 如需詳細資訊,請參閱診斷虛擬機器網路流量篩選問題

Screenshot of network security group page in Azure portal.

若要深入了解列出的一般 Azure 設定,請參閱下列文章:

變更網路安全性群組

網路安全性群組最常見的變更如下:

讓網路安全性群組與網路介面建立關聯或解除關聯

如需網路安全性群組關聯與解除關聯的詳細資訊,請參閱關聯或解除關聯安全性群組

讓網路安全性群組與子網路建立關聯或解除關聯

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組,然後選取搜尋結果中的 [網路安全性群組]

  2. 選取網路安全性群組的名稱,然後選取 [子網路]

若要將網路安全性群組與子網路產生關聯,請選取 [+ 關聯],然後選取您的虛擬網路和您要與網路安全性群組建立關聯的子網路。 選取 [確定]。

Screenshot of associate a network security group to a subnet in Azure portal.

若要將網路安全性群組與子網路解除關聯,請選取您要與網路安全性群組解除關聯的子網路旁的三個點,然後選取 [解除關聯]。 選取 [是]

Screenshot of dissociate a network security group from a subnet in Azure portal.

刪除網路安全性群組

如果網路安全性群組與任何子網路或網路介面關聯,便無法刪除。 請先將網路安全性群組與所有子網路和網路介面中斷關聯,再嘗試刪除它。

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組,然後選取搜尋結果中的 [網路安全性群組]

  2. 選取您想要刪除的網路安全性群組。

  3. 選取 [刪除],然後選取確認對話方塊中的 [是]

    Screenshot of delete a network security group in Azure portal.

使用安全性規則

網路安全性群組包含零個或多個安全性規則。 您可以建立檢視全部檢視詳細資料變更刪除安全性規則。

建立安全性規則

每個 Azure 位置和訂用帳戶可以建立的每個網路安全性群組規則數目有所限制。 若要深入了解,請參閱 Azure 訂用帳戶和服務限制、配額及條件約束

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組,然後選取搜尋結果中的 [網路安全性群組]

  2. 選取您想要為其新增安全性規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

    列出數個現有的規則,包括您可能未新增的規則。 當您建立網路安全性群組時,會在該群組中建立數個預設安全性規則。 若要深入了解,請參閱預設安全性規則。 您無法刪除預設安全性規則,但您可以使用優先順序較高的規則來覆寫這些規則。

  4. 選取 [+ 新增]。 選取或新增下列設定的值,然後選取 [新增]

    設定 詳細資料
    來源 值為下列其中之一:
    • 任何
    • IP 位址
    • 我的 IP 位址
    • 服務標籤
    • 應用程式安全性群組

    如果您選擇 [IP 位址],也必須指定 [來源 IP 位址/CIDR 範圍]

    如果您選擇 [服務標籤],也要挑選 [來源服務標籤]

    如果您選擇 [應用程式安全性群組],也必須挑選現有的應用程式安全性群組。 如果您針對 [來源] 和 [目的地] 選擇 [應用程式安全性群組],則兩個應用程式安全性群組內的網路介面都必須在相同的虛擬網路中。 了解如何建立應用程式安全性群組
    來源 IP 位址/CIDR 範圍 以逗號分隔的 IP 位址清單,以及無類別網域間路由選擇 (CIDR) 範圍

    如果您將 [來源] 設定為 [IP 位址],就會顯示此設定。 您必須指定單一值或以逗號分隔的多值清單。 多值範例是 10.0.0.0/16, 192.188.1.1。 您可以指定的值數目有所限制。 如需詳細資訊,請參閱 Azure 限制

    如果您指定的 IP 位址已指派給 Azure VM,請指定其私人 IP 位址,而非其公用 IP 位址。 在 Azure 針對輸入安全性規則將公用 IP 位址轉譯為私人 IP 位址之後,但是在 Azure 針對輸出規則將私人 IP 位址轉譯為公用 IP 位址之前,Azure 會處理安全性規則。 若要深入了解 Azure 中的 IP 位址,請參閱公用 IP 位址私人 IP 位址
    來源服務標籤 下拉式清單中的服務標籤 如果您針對安全性規則將 [來源] 設定為 [服務標籤],就會顯示此設定。 服務標籤是為 IP 位址類別預先定義的識別碼。 若要深入了解可用的服務標籤,以及每個標籤所代表的意義,請參閱服務標籤
    來源應用程式安全性群組 現有的應用程式安全性群組 如果您將 [來源] 設定為 [應用程式安全性群組],則會出現此設定。 選取存在於與網路介面相同區域的應用程式安全性群組。 了解如何建立應用程式安全性群組
    來源連接埠範圍 值為下列其中之一:
    • 單一連接埠,例如 80
    • 連接埠範圍,例如 1024-65535
    • 單一連接埠和/或連接埠範圍的逗號分隔清單,例如 80, 1024-65535
    • 星號 (*) 可以允許任何連接埠上的流量
    		 此設定會指定規則允許或拒絕流量的連接埠。 您可以指定的連接埠數目有所限制。 如需詳細資訊,請參閱 Azure 限制
    目的地 值為下列其中之一:
    • 任何
    • IP 位址
    • 服務標籤
    • 應用程式安全性群組

    如果您選擇 [IP 位址],則也必須指定 [目的地 IP 位址/CIDR 範圍]

    如果您選擇 [服務標籤],也要挑選 [目的地服務標籤]

    如果您選擇 [應用程式安全性群組],也必須挑選現有的應用程式安全性群組。 如果您針對 [來源] 和 [目的地] 選擇 [應用程式安全性群組],則兩個應用程式安全性群組內的網路介面都必須在相同的虛擬網路中。 了解如何建立應用程式安全性群組
    目的地 IP 位址/CIDR 範圍 IP 位址和 CIDR 範圍的逗號分隔清單

    如果您將 [目的地] 變更為 [IP 位址],就會顯示此設定。 類似於 [來源] 和 [來源 IP 位址/CIDR 範圍],您可以指定單一或多個位址或是位址範圍。 您可以指定的數目有所限制。 如需詳細資訊,請參閱 Azure 限制

    如果您指定的 IP 位址已指派給 Azure VM,請確定您指定其私人 IP,而非其公用 IP 位址。 在 Azure 針對輸入安全性規則將公用 IP 位址轉譯為私人 IP 位址之後,但是在 Azure 針對輸出規則將私人 IP 位址轉譯為公用 IP 位址之前,Azure 會處理安全性規則。 若要深入了解 Azure 中的 IP 位址,請參閱公用 IP 位址私人 IP 位址
    目的地服務標籤 下拉式清單中的服務標籤 如果您針對安全性規則將 [目的地] 設定為 [服務標籤],就會顯示此設定。 服務標籤是為 IP 位址類別預先定義的識別碼。 若要深入了解可用的服務標籤,以及每個標籤所代表的意義,請參閱服務標籤
    目的地應用程式安全性群組 現有的應用程式安全性群組 如果您將 [目的地] 設定為 [應用程式安全性群組],則會出現此設定。 選取存在於與網路介面相同區域的應用程式安全性群組。 了解如何建立應用程式安全性群組
    服務 來自下拉式清單的目的地通訊協定 此設定會指定安全性規則的目的地通訊協定和連接埠範圍。 您可以選擇預先定義的服務,例如 RDP,或選擇 [自訂],並在 [目的地連接埠範圍] 中提供連接埠範圍。
    目的地連接埠範圍 值為下列其中之一:
    • 單一連接埠,例如 80
    • 連接埠範圍,例如 1024-65535
    • 單一連接埠和/或連接埠範圍的逗號分隔清單,例如 80, 1024-65535
    • 星號 (*) 可以允許任何連接埠上的流量
    		 如同 [來源連接埠範圍],您可以指定單一或多個連接埠和範圍。 您可以指定的數目有所限制。 如需詳細資訊,請參閱 Azure 限制
    通訊協定 AnyTCPUDPICMP 您可以將規則限制為傳輸控制通訊協定 (TCP)、使用者資料包通訊協定 (UDP) 或網際網路控制訊息通訊協定 (ICMP)。 預設值為將規則套用至所有通訊協定 (任何)。
    動作 允許拒絕 此設定會指定此規則允許或拒絕所提供來源和目的地設定的存取權。
    優先順序 一個介於 100 到 4096 且對網路安全性群組內的所有安全性規則而言具唯一性的值 Azure 會依優先順序處理安全性規則。 編號愈低,優先順序愈高。 建議您在建立規則時,於優先順序編號之間保留間距,例如 100、200 和 300。 保留間距可讓您更輕鬆地在未來新增規則,讓您可以提供比現有規則更高或更低的優先順序。
    名稱 網路安全性群組內規則的唯一名稱 此名稱最多可有 80 個字元。 必須以字母或數字開頭,且必須以字母、數字或底線結尾。 名稱只能包含字母、數字、底線、句點或連字號。
    說明 文字描述 您可以選擇性地指定安全性規則的文字描述。 描述長度不可超過 140 個字元。

    Screenshot of add a security rule to a network security group in Azure portal.

檢視所有安全性規則

網路安全性群組包含零個或多個規則。 若要深入了解檢視規則時列出的資訊,請參閱安全性規則

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組,然後選取搜尋結果中的 [網路安全性群組]

  2. 選取您想要檢視其規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

    該清單包含您已建立的任何規則,以及您的網路安全性群組的預設安全性規則

    Screenshot of inbound security rules of a network security group in Azure portal.

檢視安全性規則的詳細資料

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組,然後選取搜尋結果中的 [網路安全性群組]

  2. 選取您想要檢視其規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

  4. 選取您想要檢視其詳細資料的規則。 如需所有設定的說明,請參閱安全性規則設定

    注意

    此程序只適用於自訂安全性規則。 如果您選擇預設安全性規則,則無法使用。

    Screenshot of details of an inbound security rule of a network security group in Azure portal.

變更安全性規則

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組,然後選取搜尋結果中的 [網路安全性群組]

  2. 選取您想要檢視其規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

  4. 選取您想要變更的規則。

  5. 視需要變更設定,然後選取 [儲存]。 如需所有設定的說明,請參閱安全性規則設定

    Screenshot of change of an inbound security rule details of a network security group in Azure portal.

    注意

    此程序只適用於自訂安全性規則。 系統不允許您變更預設安全性規則。

刪除安全性規則

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組,然後選取搜尋結果中的 [網路安全性群組]

  2. 選取您想要檢視其規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

  4. 選取您想要刪除的規則。

  5. 選取 [刪除],然後選取 [是]

    Screenshot of delete of an inbound security rule of a network security group in Azure portal.

    注意

    此程序只適用於自訂安全性規則。 系統不允許您刪除預設安全性規則。

使用應用程式安全性群組

應用程式安全性群組包含零個或多個網路介面。 若要深入了解,請參閱應用程式安全性群組。 應用程式安全性群組內的所有網路介面都必須存在於相同的虛擬網路中。 若要了解如何將網路介面新增至應用程式安全性群組,請參閱將網路介面新增至應用程式安全性群組

建立應用程式安全性群組

  1. 在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組]

  2. 選取 + 建立

  3. 在 [建立應用程式安全性群組] 頁面的 [基本] 索引標籤底下,輸入或選取下列值:

    設定 動作
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取現有的資源群組,或選取 [新建] 以建立新的資源群組。 此範例使用 myResourceGroup 資源群組。
    [執行個體詳細資料]
    名稱 輸入您要建立的應用程式安全性群組的名稱。
    區域 選取您要在其中建立應用程式安全性群組的區域。

    Screenshot of create an application security group in Azure portal.

  4. 選取 [檢閱 + 建立]。

  5. 看到 [驗證成功] 訊息之後,請選取 [建立]

檢視所有應用程式安全性群組

在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組]。 Azure 入口網站會顯示您的應用程式安全性群組清單。

Screenshot of existing application security groups in Azure portal.

檢視特定應用程式安全性群組的詳細資料

  1. 在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組]

  2. 選取您想要檢視其詳細資料的應用程式安全性群組。

變更應用程式安全性群組

  1. 在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組]

  2. 選取您想要變更的應用程式安全性群組。

選取 [資源群組] 或 [訂用帳戶] 旁的 [移動],以分別變更資源群組或訂用帳戶。

選取 [標籤] 旁的 [編輯] 來新增或移除標籤。 若要深入了解,請參閱使用標籤來組織 Azure 資源和管理階層

Screenshot of change application security group in Azure portal.

注意

您無法變更應用程式安全性群組的位置。

選取 [存取控制 (IAM)],以指派或移除應用程式安全性群組的權限。

刪除應用程式安全性群組

如果應用程式安全性群組包含任何網路介面,您便無法刪除該群組。 若要從應用程式安全性群組移除所有網路介面,請變更網路介面設定或刪除網路介面。 若要深入了解,請參閱在應用程式安全性群組新增或移除刪除網路介面

  1. 在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組]

  2. 選取您想要刪除的應用程式安全性群組。

  3. 選取 [刪除],然後選取 [是] 刪除應用程式安全性群組。

    Screenshot of delete application security group in Azure portal.

權限

若要管理網路安全性群組、安全性規則和應用程式安全性群組,您的帳戶必須獲指派給網路參與者角色。 也可以使用已獲指派下表所列的適當權限的自訂角色

注意

如果已在資源群組層級指派網路參與者角色,您可能會看不到服務標籤的完整清單。 若要檢視完整清單,您可以改為在訂用帳戶範圍指派此角色。 如果您只能針對資源群組允許網路參與者,則也可以針對權限 "Microsoft.Network/locations/serviceTags/read" 和 "Microsoft.Network/locations/serviceTagDetails/read" 建立自訂角色,並在訂用帳戶範圍指派它們,以及在資源群組範圍指派網路參與者。

網路安全性群組

動作 名稱
Microsoft.Network/networkSecurityGroups/read 取得網路安全性群組
Microsoft.Network/networkSecurityGroups/write 建立或更新網路安全性群組
Microsoft.Network/networkSecurityGroups/delete 刪除網路安全性群組
Microsoft.Network/networkSecurityGroups/join/action 將網路安全性群組與子網路或網路介面建立關聯

注意

若要在網路安全性群組上執行 write 作業,訂用帳戶帳戶至少必須具有資源群組的 read 權限,以及 Microsoft.Network/networkSecurityGroups/write 權限。

網路安全性群組規則

動作 名稱
Microsoft.Network/networkSecurityGroups/securityRules/read 取得規則
Microsoft.Network/networkSecurityGroups/securityRules/write 建立或更新規則
Microsoft.Network/networkSecurityGroups/securityRules/delete 刪除規則

應用程式安全性群組

動作 名稱
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action 將 IP 設定加入至應用程式安全性群組
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action 將安全性規則加入至應用程式安全性群組
Microsoft.Network/applicationSecurityGroups/read 取得應用程式安全性群組
Microsoft.Network/applicationSecurityGroups/write 建立或更新應用程式安全性群組
Microsoft.Network/applicationSecurityGroups/delete 刪除應用程式安全性群組

下一步