建立、變更或刪除網路安全性群組

  • 發行項

網路安全性群組中的安全性規則能讓您篩選可在虛擬網路子網路及網路介面中流入和流出的網路流量類型。 若要深入了解網路安全性群組,請參閱網路安全性群組概觀。 接下來,請完成篩選網路流量教學課程,以獲得網路安全性群組的一些經驗。

必要條件

如果您沒有包含作用中訂用帳戶的 Azure 帳戶,請建立免費帳戶。 開始本文的其餘部分之前,請先完成下列其中一項工作:

  • 入口網站使用者:使用您的 Azure 帳戶登入 Azure 入口網站

  • PowerShell 使用者:在 Azure Cloud Shell 中,或是從您的電腦以本機方式執行 PowerShell 來執行命令。 Azure Cloud Shell 是免費的互動式 Shell,可讓您用來執行本文中的步驟。 它具有預先安裝和設定的共用 Azure 工具,可與您的帳戶搭配使用。 在 [Azure Cloud Shell] 瀏覽器索引標籤中,尋找 [選取環境] 下拉式清單,然後選擇 [PowerShell] (如果尚未選取)。

    如果您在本機執行 PowerShell,請使用 Azure PowerShell 模組 1.0.0 版或更新版本。 執行 Get-Module -ListAvailable Az.Network 來了解安裝的版本。 如果您需要安裝或升級,請參閱安裝 Azure PowerShell 模組。 執行 Connect-AzAccount 以登入 Azure。

  • Azure CLI 使用者:在 Azure Cloud Shell 中,或是從您的電腦以本機方式執行 Azure CLI 來執行命令。 Azure Cloud Shell 是免費的互動式 Shell,可讓您用來執行本文中的步驟。 它具有預先安裝和設定的共用 Azure 工具,可與您的帳戶搭配使用。 在 Azure Cloud Shell 瀏覽器索引標籤中,尋找 [選取環境] 下拉式清單,然後選擇 [Bash] (如果尚未選取)。

    如果您在本機執行 Azure CLI,請使用 Azure CLI 2.0.28 版或更新版本。 執行 az --version 來了解安裝的版本。 如果您需要安裝或升級,請參閱安裝 Azure CLI。 執行 az login 以登入 Azure。

指派具有適當許可權的網路參與者角色自訂角色

使用網路安全性群組

您可以建立網路安全性群組、檢視所有網路安全性群組檢視網路安全性群組的詳細資料,以及變更刪除網路安全性群組。 您也可以建立網路安全性群組與 網路介面子網的關聯或解除關聯。

建立網路安全性群組

您可以為每個 Azure 區域和訂用帳戶建立多少網路安全性群組的限制。 若要深入了解,請參閱 Azure 訂用帳戶和服務限制、配額及條件約束

  1. 在入口網站頂端的搜尋方塊中,輸入 網路安全性群組。 在搜尋結果中選取 [網路安全性群組]。

  2. 選取 [+ 建立] 。

  3. 在 [ 建立網路安全性群組 ] 頁面的 [ 基本] 索引標籤底下,輸入或選取下列值:

    設定 動作
    專案詳細資料
    訂用帳戶 選取 Azure 訂用帳戶。
    資源群組 選取現有的資源群組,或選取 [新建] 來建立 新的資源群組。 此範例使用 myResourceGroup 資源群組。
    執行個體詳細資料
    網路安全性群組名稱 輸入您要建立之網路安全性群組的名稱。
    區域 選取您想要的區域。

    在 Azure 入口網站 中建立網路安全性群組的螢幕擷取畫面。

  4. 選取 [檢閱 + 建立]。

  5. 看到 [驗證成功] 訊息之後,請選取 [建立]。

檢視所有網路安全性群組

在入口網站頂端的搜尋方塊中,輸入 網路安全性群組。 在搜尋結果中選取 [網路安全性群組 ],以查看您訂用帳戶中的網路安全性群組清單。

Azure 入口網站 中網路安全性群組清單的螢幕擷取畫面。

檢視網路安全性群組的詳細資料

  1. 在入口網站頂端的搜尋方塊中,輸入 網路安全性群組 ,然後在搜尋結果中選取 [網路安全性群組 ]。

  2. 選取您的網路安全性群組名稱。

在 [ 設定] 底下,您可以檢視網路安全性群組相關聯的 輸入安全性規則輸出安全性規則網路介面子網

在 [監視] 底下,您可以啟用或停用 [診斷設定]。 如需詳細資訊,請參閱 網路安全性群組的資源記錄

[說明] 底下,您可以檢視 有效的安全性規則。 如需詳細資訊,請參閱診斷虛擬機器網路流量篩選問題

Azure 入口網站中網路安全性群組頁面的螢幕擷取畫面。

若要深入了解列出的一般 Azure 設定,請參閱下列文章:

變更網路安全性群組

網路安全性群組最常見的變更如下:

建立或解除網路安全性群組與網路介面的關聯或中斷關聯

如需網路安全性群組關聯和解除關聯的詳細資訊,請參閱 關聯或解除網路安全性群組

將網路安全性群組與子網建立關聯或中斷關聯

  1. 在入口網站頂端的搜尋方塊中,輸入 網路安全性群組 ,然後在搜尋結果中選取 [網路安全性群組 ]。

  2. 選取網路安全性群組的名稱,然後選取 [ 子網]。

若要將網路安全性群組與子網建立關聯,請選取 [ + 關聯],然後選取虛擬網路和您要建立網路安全性群組關聯的子網。 選取 [確定]。

將網路安全性群組與Azure 入口網站中子網建立關聯的螢幕擷取畫面。

若要解除網路安全性群組與子網的關聯,請選取您要解除網路安全性群組與子閘道聯之子網旁的三個點,然後選取 [ 解除關聯]。 選取 [是]。

將網路安全性群組與Azure 入口網站中的子網解除關聯的螢幕擷取畫面。

刪除網路安全性群組

如果網路安全性群組與任何子網路或網路介面關聯,便無法刪除。 請先將網路安全性群組與所有子網路和網路介面中斷關聯,再嘗試刪除它。

  1. 在入口網站頂端的搜尋方塊中,輸入 網路安全性群組 ,然後在搜尋結果中選取 [網路安全性群組 ]。

  2. 選取您要刪除的網路安全性群組。

  3. 選取 [刪除],然後選取確認對話方塊中的 [是]。

    刪除Azure 入口網站中網路安全性群組的螢幕擷取畫面。

使用安全性規則

網路安全性群組包含零個或多個安全性規則。 您可以 建立檢視所有專案、 檢視詳細資料、 變更刪除 安全性規則。

建立安全性規則

每個 Azure 位置和訂用帳戶可以建立的每個網路安全性群組規則數目有所限制。 若要深入了解,請參閱 Azure 訂用帳戶和服務限制、配額及條件約束

  1. 在入口網站頂端的搜尋方塊中,輸入 網路安全性群組 ,然後在搜尋結果中選取 [網路安全性群組 ]。

  2. 選取您想要為其新增安全性規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則 ] 或 [ 輸出安全性規則]。

    列出數個現有的規則,包括您可能未新增的規則。 當您建立網路安全性群組時,會在該群組中建立數個預設安全性規則。 若要深入了解,請參閱預設安全性規則。 您無法刪除預設安全性規則,但是可以使用優先順序較高的規則來覆寫它們。

  4. 選取 [+ 新增]。 選取或新增下列設定的值,然後選取 [ 新增]:

    設定 詳細資料
    來源 值為下列其中之一:
    • 任何
    • IP 位址
    • 我的 IP 位址
    • 服務標記
    • 應用程式安全性群組

    如果您選擇 [IP 位址],也必須指定 [來源 IP 位址/CIDR 範圍]。

    如果您選擇 [服務標籤],您也必須挑選 [來源服務標籤]。

    如果您選擇 [應用程式安全性群組],也必須挑選現有的應用程式安全性群組。 如果您針對 [來源] 和 [目的地] 選擇 [應用程式安全性群組],則兩個應用程式安全性群組內的網路介面都必須在相同的虛擬網路中。 了解如何建立應用程式安全性群組
    來源 IP 位址/CIDR 範圍 以逗號分隔的 IP 位址清單,以及無類別網域間路由選擇 (CIDR) 範圍

    如果您將 [來源 ] 設定為 [IP 位址],就會顯示此設定。 您必須指定單一值或以逗號分隔的多值清單。 多值範例是 10.0.0.0/16, 192.188.1.1。 您可以指定的值數目有所限制。 如需詳細資訊,請參閱 Azure 限制

    如果您指定的 IP 位址已指派給 Azure VM,請指定其私人 IP 位址,而非其公用 IP 位址。 在 Azure 針對輸入安全性規則將公用 IP 位址轉譯為私人 IP 位址之後,但是在 Azure 針對輸出規則將私人 IP 位址轉譯為公用 IP 位址之前,Azure 會處理安全性規則。 若要深入瞭解 Azure 中的 IP 位址,請參閱 公用 IP 位址私人 IP 位址
    來源服務標籤 下拉式清單中的服務標籤 如果您針對安全性規則將 [來源 ] 設定為 [服務標籤 ],就會顯示此設定。 服務標籤是為 IP 位址類別預先定義的識別碼。 若要深入了解可用的服務標籤,以及每個標籤所代表的意義,請參閱服務標籤
    來源應用程式安全性群組 現有的應用程式安全性群組 如果您將 [來源] 設定為 [應用程式安全性群組],則會出現此設定。 選取存在於與網路介面相同區域的應用程式安全性群組。 了解如何建立應用程式安全性群組
    來源連接埠範圍 值為下列其中之一:
    • 單一連接埠,例如 80
    • 連接埠範圍,例如 1024-65535
    • 單一連接埠和/或連接埠範圍的逗號分隔清單,例如 80, 1024-65535
    • 星號 (*) 可以允許任何連接埠上的流量
    		 此設定會指定規則允許或拒絕流量的連接埠。 您可以指定的連接埠數目有所限制。 如需詳細資訊,請參閱 Azure 限制
    目的地 值為下列其中之一:
    • 任何
    • IP 位址
    • 服務標記
    • 應用程式安全性群組

    如果您選擇 IP 位址,您也必須指定 目的地 IP 位址/CIDR 範圍

    如果您選擇 [服務標籤],您也必須挑選 目的地服務標籤

    如果您選擇 [應用程式安全性群組],您也必須選取現有的應用程式安全性群組。 如果您針對 [來源] 和 [目的地] 選擇 [應用程式安全性群組],則兩個應用程式安全性群組內的網路介面都必須在相同的虛擬網路中。 了解如何建立應用程式安全性群組
    目的地 IP 位址/CIDR 範圍 IP 位址和 CIDR 範圍的逗號分隔清單

    如果您將 [目的地] 變更為 [IP 位址],就會顯示此設定。 類似於 [來源] 和 [來源 IP 位址/CIDR 範圍],您可以指定單一或多個位址或是位址範圍。 您可以指定的數目有所限制。 如需詳細資訊,請參閱 Azure 限制

    如果您指定的 IP 位址已指派給 Azure VM,請確定您指定其私人 IP,而非其公用 IP 位址。 在 Azure 針對輸入安全性規則將公用 IP 位址轉譯為私人 IP 位址之後,但是在 Azure 針對輸出規則將私人 IP 位址轉譯為公用 IP 位址之前,Azure 會處理安全性規則。 若要深入瞭解 Azure 中的 IP 位址,請參閱 公用 IP 位址私人 IP 位址
    目的地服務標記 下拉式清單中的服務標籤 如果您針對安全性規則將 [目的地 ] 設定為 [服務標籤 ],就會顯示此設定。 服務標籤是為 IP 位址類別預先定義的識別碼。 若要深入了解可用的服務標籤,以及每個標籤所代表的意義,請參閱服務標籤
    目的地應用程式安全性群組 現有的應用程式安全性群組 如果您將 [目的地] 設定為 [應用程式安全性群組],則會出現此設定。 選取存在於與網路介面相同區域的應用程式安全性群組。 了解如何建立應用程式安全性群組
    服務 下拉式清單中的目的地通訊協定 此設定會指定安全性規則的目的地通訊協定和埠範圍。 您可以選擇預先定義的服務,例如 RDP,或選擇 [ 自訂 ],並在 [目的地埠範圍] 中提供埠範圍。
    目的地連接埠範圍 值為下列其中之一:
    • 單一連接埠,例如 80
    • 連接埠範圍,例如 1024-65535
    • 單一連接埠和/或連接埠範圍的逗號分隔清單,例如 80, 1024-65535
    • 星號 (*) 可以允許任何連接埠上的流量
    		 如同 [來源連接埠範圍],您可以指定單一或多個連接埠和範圍。 您可以指定的數目有所限制。 如需詳細資訊,請參閱 Azure 限制
    通訊協定 AnyTCPUDPICMP 您可以將規則限制為傳輸控制通訊協定 (TCP)、使用者資料包通訊協定 (UDP) 或網際網路控制訊息通訊協定 (ICMP)。 預設會套用至所有通訊協定 (Any) 。
    動作 允許拒絕 此設定會指定此規則允許或拒絕所提供來源和目的地設定的存取權。
    優先順序 一個介於 100 到 4096 且對網路安全性群組內的所有安全性規則而言具唯一性的值 Azure 會依優先順序處理安全性規則。 編號愈低,優先順序愈高。 建議您在建立規則時,於優先順序編號之間保留間距,例如 100、200 和 300。 保留間距可讓您更輕鬆地在未來新增規則,讓您可以提供比現有規則更高或更低的優先順序。
    名稱 網路安全性群組內規則的唯一名稱 此名稱最多可有 80 個字元。 必須以字母或數字開頭,且必須以字母、數字或底線結尾。 名稱只能包含字母、數字、底線、句點或連字號。
    說明 文字描述 您可以選擇性地指定安全性規則的文字描述。 描述不能超過 140 個字元。

    在 Azure 入口網站 中將安全性規則新增至網路安全性群組的螢幕擷取畫面。

檢視所有安全性規則

網路安全性群組包含零個或多個規則。 若要深入瞭解檢視規則時所列的資訊,請參閱 安全性規則

  1. 在入口網站頂端的搜尋方塊中,輸入 網路安全性群組 ,然後在搜尋結果中選取 [網路安全性群組 ]。

  2. 選取您想要檢視其規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則 ] 或 [ 輸出安全性規則]。

    此清單包含您已建立的任何規則,以及網路安全性群組 的預設安全性規則

    Azure 入口網站中網路安全性群組輸入安全性規則的螢幕擷取畫面。

檢視安全性規則的詳細資料

  1. 在入口網站頂端的搜尋方塊中,輸入 網路安全性群組 ,然後在搜尋結果中選取 [網路安全性群組 ]。

  2. 選取您想要檢視其規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則 ] 或 [ 輸出安全性規則]。

  4. 選取您想要檢視其詳細資料的規則。 如需所有設定的說明,請參閱安全性規則設定

    注意

    此程序只適用於自訂安全性規則。 如果您選擇預設安全性規則,則無法使用。

    Azure 入口網站中網路安全性群組輸入安全性規則詳細資料的螢幕擷取畫面。

變更安全性規則

  1. 在入口網站頂端的搜尋方塊中,輸入 網路安全性群組 ,然後在搜尋結果中選取 [網路安全性群組 ]。

  2. 選取您想要檢視其規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則 ] 或 [ 輸出安全性規則]。

  4. 選取您想要變更的規則。

  5. 視需要變更設定,然後選取 [儲存]。 如需所有設定的說明,請參閱安全性規則設定

    Azure 入口網站中網路安全性群組輸入安全性規則詳細資料的變更螢幕擷取畫面。

    注意

    此程序只適用於自訂安全性規則。 系統不允許您變更預設安全性規則。

刪除安全性規則

  1. 在入口網站頂端的搜尋方塊中,輸入 網路安全性群組 ,然後在搜尋結果中選取 [網路安全性群組 ]。

  2. 選取您想要檢視其規則的網路安全性群組名稱。

  3. 選取 [輸入安全性規則 ] 或 [ 輸出安全性規則]。

  4. 選取您想要刪除的規則。

  5. 選取 [刪除],然後選取 [是]。

    Azure 入口網站中網路安全性群組的輸入安全性規則刪除的螢幕擷取畫面。

    注意

    此程序只適用於自訂安全性規則。 系統不允許您刪除預設安全性規則。

使用應用程式安全性群組

應用程式安全性群組包含零個或多個網路介面。 若要深入了解,請參閱應用程式安全性群組。 應用程式安全性群組內的所有網路介面都必須存在於相同的虛擬網路中。 若要了解如何將網路介面新增至應用程式安全性群組,請參閱將網路介面新增至應用程式安全性群組

建立應用程式安全性群組

  1. 在入口網站頂端的搜尋方塊中,輸入 應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組 ]。

  2. 選取 [+ 建立]。

  3. 在 [ 建立應用程式安全性群組 ] 頁面的 [ 基本] 索引標籤底下,輸入或選取下列值:

    設定 動作
    專案詳細資料
    訂用帳戶 選取 Azure 訂用帳戶。
    資源群組 選取現有的資源群組,或選取 [新建] 來建立 新的資源群組。 此範例使用 myResourceGroup 資源群組。
    執行個體詳細資料
    名稱 輸入您要建立的應用程式安全性群組名稱。
    區域 選取您要建立應用程式安全性群組的區域。

    在 Azure 入口網站 中建立應用程式安全性群組的螢幕擷取畫面。

  4. 選取 [檢閱 + 建立]。

  5. 看到 [驗證成功] 訊息之後,請選取 [建立]。

檢視所有應用程式安全性群組

在入口網站頂端的搜尋方塊中,輸入 應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組 ]。 Azure 入口網站會顯示您的應用程式安全性群組清單。

Azure 入口網站中現有應用程式安全性群組的螢幕擷取畫面。

檢視特定應用程式安全性群組的詳細資料

  1. 在入口網站頂端的搜尋方塊中,輸入 應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組 ]。

  2. 選取您想要檢視其詳細資料的應用程式安全性群組。

變更應用程式安全性群組

  1. 在入口網站頂端的搜尋方塊中,輸入 應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組 ]。

  2. 選取您要變更的應用程式安全性群組。

選取[資源群組] 或 [用帳戶] 旁的移動,以分別變更資源群組或訂用帳戶。

選取 [標籤] 旁的[編輯],以新增或移除標籤。 若要深入瞭解,請參閱 使用標籤來組織 Azure 資源和管理階層

Azure 入口網站中變更應用程式安全性群組的螢幕擷取畫面。

注意

您無法變更應用程式安全性群組的位置。

選取 [存取控制] (IAM) ,以指派或移除應用程式安全性群組的許可權。

刪除應用程式安全性群組

如果應用程式安全性群組包含任何網路介面,您便無法刪除該群組。 若要從應用程式安全性群組移除所有網路介面,請變更網路介面設定或刪除網路介面。 若要深入了解,請參閱在應用程式安全性群組新增或移除刪除網路介面

  1. 在入口網站頂端的搜尋方塊中,輸入 應用程式安全性群組。 選取搜尋結果中的 [應用程式安全性群組 ]。

  2. 選取您要刪除的應用程式安全性群組。

  3. 選取 [刪除],然後選取 [是] 刪除應用程式安全性群組。

    Azure 入口網站中刪除應用程式安全性群組的螢幕擷取畫面。

權限

若要管理網路安全性群組、安全性規則和應用程式安全性群組,您的帳戶必須指派給 網路參與者 角色。 自訂角色也可用來指派下表所列的適當許可權:

網路安全性群組

動作 名稱
Microsoft.Network/networkSecurityGroups/read 取得網路安全性群組
Microsoft.Network/networkSecurityGroups/write 建立或更新網路安全性群組
Microsoft.Network/networkSecurityGroups/delete 刪除網路安全性群組
Microsoft.Network/networkSecurityGroups/join/action 將網路安全性群組與子網路或網路介面建立關聯

注意

若要在網路安全性群組上執行 write 作業,訂用帳戶帳戶至少必須具有資源群組的 read 權限,以及 Microsoft.Network/networkSecurityGroups/write 權限。

網路安全性群組規則

動作 名稱
Microsoft.Network/networkSecurityGroups/securityRules/read 取得規則
Microsoft.Network/networkSecurityGroups/securityRules/write 建立或更新規則
Microsoft.Network/networkSecurityGroups/securityRules/delete 刪除規則

應用程式安全性群組

動作 名稱
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action 將 IP 設定加入至應用程式安全性群組
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action 將安全性規則加入至應用程式安全性群組
Microsoft.Network/applicationSecurityGroups/read 取得應用程式安全性群組
Microsoft.Network/applicationSecurityGroups/write 建立或更新應用程式安全性群組
Microsoft.Network/applicationSecurityGroups/delete 刪除應用程式安全性群組

下一步