Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Du kan använda en Azure-nätverkssäkerhetsgrupp för att filtrera nätverkstrafik mellan Azure-resurser i virtuella Azure-nätverk. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till, eller utgående nätverkstrafik från, flera typer av Azure-resurser.
Den här artikeln beskriver egenskaperna för en regel för nätverkssäkerhetsgrupper och de standardsäkerhetsregler som tillämpas av Azure. Den beskriver också hur du ändrar regelegenskaper för att skapa en utökad säkerhetsregel.
Säkerhetsregler
En nätverkssäkerhetsgrupp innehåller nätverkssäkerhetsregler efter behov inom azure-prenumerationsgränser. Varje regel anger följande egenskaper:
| Egendom | Förklaring |
|---|---|
| Namn | Ett unikt namn inom nätverkssäkerhetsgruppen. Namnet kan vara upp till 80 tecken långt. Det måste börja med ett ordtecken, och det måste sluta med ett ordtecken eller med _. Namnet kan innehålla ordtecken, ., -eller \_. |
| Prioritet | Ett tal mellan 100 och 4096. Regler bearbetas i prioritetsordning, med lägre tal som bearbetas före högre tal eftersom lägre tal har högre prioritet. När trafiken matchar en regel avbryts bearbetningen. Därför bearbetas inte regler som finns med lägre prioriteter (högre tal) som har samma attribut som regler med högre prioritet. Azures standardsäkerhetsregler får den lägsta prioriteten (högsta antalet) för att säkerställa att dina anpassade regler alltid bearbetas först. |
| Källa eller mål | Du kan ange Alla, en enskild IP-adress, ett CIDR-block (till exempel 10.0.0.0/24), en tjänsttagg eller en programsäkerhetsgrupp. Om du vill ange en viss Azure-resurs använder du den privata IP-adress som tilldelats resursen. För inkommande trafik bearbetar nätverkssäkerhetsgrupper trafik när Azure översätter offentliga IP-adresser till privata IP-adresser. För utgående trafik bearbetar nätverkssäkerhetsgrupper trafik innan privata IP-adresser översätts till offentliga IP-adresser.
Ange ett intervall, en tjänsttagg eller en programsäkerhetsgrupp för att minska antalet säkerhetsregler som behövs. Förhöjda säkerhetsregler gör det möjligt att ange flera enskilda IP-adresser och intervall i en enda regel. Du kan dock inte ange flera tjänsttaggar eller programgrupper i en enda regel. Förhöjda säkerhetsregler är endast tillgängliga i nätverkssäkerhetsgrupper som skapats via Resource Manager-distributionsmodellen. I den klassiska distributionsmodellen kan flera IP-adresser och intervall inte anges i en enda regel. Om källan till exempel är undernätet 10.0.1.0/24 (där VM1 finns) och målet är undernätet 10.0.2.0/24 (där VM2 finns) filtrerar nätverkssäkerhetsgruppen trafik för VM2. Det här beteendet beror på att NSG:n är associerad med VM2:s nätverksgränssnitt. |
| Protokoll | TCP, UDP, ICMP, ESP, AH eller Any. ESP- och AH-protokollen är för närvarande inte tillgängliga via Azure Portal men kan användas via ARM-mallar. |
| Riktning | Om regeln gäller för inkommande eller utgående trafik. |
| Portintervall | Du kan ange en enskild port eller portintervall. Du kan till exempel ange 80 eller 10000-10005. eller för en blandning av enskilda portar och intervall kan du separera dem med kommatecken, till exempel 80, 10000-10005. Genom att ange intervall och kommaavgränsning kan du skapa färre säkerhetsregler. Förhöjda säkerhetsregler kan bara skapas i nätverkssäkerhetsgrupper som skapats genom Resource Manager-distributionsmodellen. Du kan inte ange flera portar eller portintervall i samma säkerhetsregel i nätverkssäkerhetsgrupper som skapats via den klassiska distributionsmodellen. |
| Åtgärd | Tillåt eller neka din angivna trafik. |
Säkerhetsregler utvärderas och tillämpas baserat på information om källan, källporten, målet, målporten och protokollet med fem tupppel. Du kan inte skapa två säkerhetsregler med samma prioritet och riktning. Två säkerhetsregler med samma prioritet och riktning kan leda till en konflikt i hur systemet bearbetar trafik. En flödespost skapas för befintliga anslutningar. Kommunikation tillåts eller nekas baserat på flödespostens anslutningsstatus. Flödesposten gör att en nätverkssäkerhetsgrupp kan vara tillståndsbevarande. Om du till exempel anger en utgående säkerhetsregel till en adress via port 80, behöver du inte ange en inkommande säkerhetsregel för svar på utgående trafik. Du behöver bara ange en inkommande säkerhetsregel om kommunikationen initieras externt. Även det motsatta gäller. Om inkommande trafik tillåts via en port är det inte nödvändigt att ange en utgående säkerhetsregel för att svara på trafik via porten.
När du tar bort en säkerhetsregel som tillät en anslutning förblir befintliga anslutningar oavbrutna. Regler för nätverkssäkerhetsgrupper påverkar bara nya anslutningar. Nya eller uppdaterade regler i en nätverkssäkerhetsgrupp gäller endast för nya anslutningar, vilket gör att befintliga anslutningar inte påverkas av ändringarna. Om du till exempel har en aktiv SSH-session till en virtuell dator och sedan tar bort säkerhetsregeln som tillåter SSH-trafik, förblir den aktuella SSH-sessionen ansluten och funktionell. Men om du försöker upprätta en ny SSH-anslutning efter borttagningen av säkerhetsregeln blockeras det nya anslutningsförsöket.
Det finns gränser för antalet säkerhetsregler som du kan skapa i en nätverkssäkerhetsgrupp och andra egenskaper för nätverkssäkerhetsgruppen. Läs mer i informationen om begränsningar för Azure.
Standardsäkerhetsregler
Azure skapar följande standardregler i varje nätverkssäkerhetsgrupp som du skapar:
Inkommande
TillåtVNetInBound
| Prioritet | Källa | Källportar | Resmål | Destinationshamnar | Protokoll | Åtkomst |
|---|---|---|---|---|---|---|
| 65000 | Virtuellt nätverk | 0-65535 | Virtuellt nätverk | 0-65535 | Någon | Tillåt |
TillåtAzureLoadBalancerInBound
| Prioritet | Källa | Källportar | Resmål | Destinationshamnar | Protokoll | Åtkomst |
|---|---|---|---|---|---|---|
| 65001 | Azure LoadBalancer (Lastbalanserare för Azure) | 0-65535 | 0.0.0.0/0 | 0-65535 | Någon | Tillåt |
DenyAllInbound
| Prioritet | Källa | Källportar | Resmål | Destinationshamnar | Protokoll | Åtkomst |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Någon | Neka |
Utgående
AllowVnetOutBound
| Prioritet | Källa | Källportar | Resmål | Destinationshamnar | Protokoll | Åtkomst |
|---|---|---|---|---|---|---|
| 65000 | Virtuellt nätverk | 0-65535 | Virtuellt nätverk | 0-65535 | Någon | Tillåt |
TillåtUtgåendeInternet
| Prioritet | Källa | Källportar | Resmål | Destinationshamnar | Protokoll | Åtkomst |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Någon | Tillåt |
DenyAllOutBound
| Prioritet | Källa | Källportar | Resmål | Destinationshamnar | Protokoll | Åtkomst |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Någon | Neka |
I kolumnerna Källa och Mål är VirtualNetwork, AzureLoadBalancer och Internettjänsttaggar snarare än IP-adresser. I kolumnen Protokoll omfattar Any TCP, UDP och ICMP. När du skapar en regel kan du ange TCP, UDP, ICMP eller Any. 0.0.0.0/0 i kolumnerna Källa och Mål representerar alla IP-adresser. Klienter som Azure-portalen, Azure CLI eller PowerShell kan använda * eller Alla för det här uttrycket.
Du kan inte ta bort standardreglerna, men du kan åsidosätta dem genom att skapa regler med högre prioritet.
Förhöjda säkerhetsregler
Utökade säkerhetsregler förenklar säkerhetsdefinitionen för virtuella nätverk så att du kan definiera större och komplexa nätverkssäkerhetsprinciper med färre regler. Du kan kombinera flera portar och flera explicita IP-adresser och IP-intervall i en enda, lättbegriplig säkerhetsregel. Använd förhöjda regler i fälten för källa, mål och port för en regel. För att göra det enklare att underhålla definitionen av dina säkerhetsregler kan du kombinera förhöjda säkerhetsregler med tjänsttaggar eller programsäkerhetsgrupper. Det finns gränser för antalet adresser, intervall och portar som du kan ange i en säkerhetsregel. Läs mer i informationen om begränsningar för Azure.
Tjänsttaggar
En tjänsttagg representerar en grupp IP-adressprefix från en viss Azure-tjänst. Det hjälper till att minimera komplexiteten i frekventa uppdateringar av nätverkssäkerhetsregler.
Mer information finns i Azure-tjänsttaggar. Ett exempel på hur du använder taggen Lagringstjänst för att begränsa nätverksåtkomst finns i Begränsa nätverksåtkomst till PaaS-resurser.
Programsäkerhetsgrupper
Med programsäkerhetsgrupper kan du konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper. Du kan återanvända din säkerhetsprincip i stor skala utan manuellt underhåll av explicita IP-adresser. Mer information finns i Programsäkerhetsgrupper.
Regler för säkerhetsadministratör
Säkerhetsadministratörsregler är globala nätverkssäkerhetsregler som tillämpar säkerhetsprinciper på virtuella nätverk. Säkerhetsadministratörsregler kommer från Azure Virtual Network Manager, en hanteringstjänst som gör det möjligt för nätverksadministratörer att gruppera, konfigurera, distribuera och hantera virtuella nätverk globalt över prenumerationer.
Säkerhetsadministratörsregler har alltid högre prioritet än regler för nätverkssäkerhetsgrupper och utvärderas därför först. Tillåt att säkerhetsadministratörsregler fortsätter att utvärderas genom att jämföras med nätverkssäkerhetsgruppregler. "Tillåt alltid" och "Neka" säkerhetsadministratörsregler, men avsluta trafikutvärderingen när säkerhetsadministratörsregeln har bearbetats. "Tillåt alltid" säkerhetsadministratörsregler skickar trafik direkt till resursen och kringgår eventuellt motstridiga regler för nätverkssäkerhetsgrupper. "Neka" säkerhetsadministratörsregler blockerar trafiken utan att leverera den till målet. Dessa regler tillämpar grundläggande säkerhetsprincip utan risk för konflikter mellan nätverkssäkerhetsgrupper, felkonfiguration eller införande av säkerhetsluckor. De här åtgärdstyperna för säkerhetsadministratörsregeln kan vara användbara för att säkerställa trafikleverans och förhindra motstridande eller oavsiktligt beteende hos underordnade nätverkssäkerhetsgruppregler.
Det här beteendet är viktigt att förstå eftersom trafikmatchande säkerhetsadministratörsregler för åtgärdstyperna "Tillåt alltid" eller "Neka" inte når nätverkssäkerhetsgruppens regler för ytterligare utvärdering. Mer information finns i Säkerhetsadministratörsregler.
Tidsgräns för flöde
Viktigt!
NSG-flödesloggar (Network Security Group) dras tillbaka den 30 september 2027. Efter den 30 juni 2025 kan du inte längre skapa nya NSG-flödesloggar. Vi rekommenderar att du migrerar till flödesloggar för virtuella nätverk, som åtgärdar begränsningarna i NSG-flödesloggar. Efter slutdatumet stöds inte längre trafikanalys som är aktiverad för NSG-flödesloggar och befintliga NSG-flödesloggresurser i dina prenumerationer tas bort. Befintliga NSG-flödesloggposter tas dock inte bort från Azure Storage och fortsätter att följa deras konfigurerade kvarhållningsprinciper. Mer information finns i det officiella meddelandet.
Inställningarna för flödestimeout avgör hur länge en flödespost förblir aktiv innan den löper ut. Du kan konfigurera den här inställningen med hjälp av Azure-portalen eller via kommandoraden. Mer information finns i översikten över NSG-flödesloggar.
Azure-plattformsöverväganden
Virtuell IP-adress för värdnoden: Grundläggande infrastrukturtjänster som DHCP, DNS, IMDS och hälsoövervakning tillhandahålls via de virtualiserade värd-IP-adresserna 168.63.129.16 och 169.254.169.254. De här IP-adresserna tillhör Microsoft och är de enda virtualiserade IP-adresserna som används i alla regioner för det här ändamålet. Som standard omfattas dessa tjänster inte av de konfigurerade nätverkssäkerhetsgrupperna om de inte är riktade mot tjänsttaggar som är specifika för varje tjänst. Om du vill åsidosätta den här grundläggande infrastrukturkommunikationen kan du skapa en säkerhetsregel för att neka trafik med hjälp av följande tjänsttaggar i reglerna för nätverkssäkerhetsgruppen: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Lär dig hur du diagnostiserar filtrering av nätverkstrafik och diagnostiserar nätverksroutning.
Licensiering (nyckelhanteringstjänsten): Windows-avbildningar som kör på de virtuella datorerna ska vara licensierade. För att säkerställa licensiering skickar systemet en begäran till nyckelhanteringstjänstens värdservrar som hanterar sådana frågor. Begäran görs utgående via port 1688. För distributioner med standardkonfigurationen route 0.0.0.0/0 inaktiveras den här plattformsregeln.
Virtuella datorer i lastbalanserade pooler: Källporten och adressintervallet som används kommer från den ursprungliga datorn, inte lastbalanseraren. Målporten och adressintervallet är för måldatorn, inte lastbalanseraren.
Azure-tjänstinstanser: Instanser av flera Azure-tjänster, till exempel HDInsight, Programtjänstmiljöer och Vm-skalningsuppsättningar, distribueras i virtuella nätverksundernät. Se en fullständig lista över tjänster som du kan distribuera till virtuella nätverk. Innan du tillämpar en nätverkssäkerhetsgrupp på undernätet bör du bekanta dig med portkraven för varje tjänst. Om du nekar portar som krävs av tjänsten fungerar inte tjänsten korrekt.
Skicka utgående e-post: Microsoft rekommenderar att du använder autentiserade SMTP-relätjänster (ansluts vanligtvis, men inte alltid, via TCP-port 587) för att skicka e-post från Azure Virtual Machines. SMTP-relätjänster specialiserar sig på avsändarens rykte för att minimera risken för att partner-e-postleverantörer avvisar meddelanden. Sådana SMTP-relätjänster omfattar, men är inte begränsade till, Exchange Online Protection och SendGrid. Användningen av SMTP-relätjänster är inte begränsad i Azure, oavsett vilken typ av prenumeration du har.
Om du skapade din Azure-prenumeration före den 15 november 2017, förutom att kunna använda SMTP-relätjänster, kan du skicka e-post direkt via TCP-port 25. Om du skapade din prenumeration efter den 15 november 2017 kanske du inte kan skicka e-post direkt via port 25. Beteendet för utgående kommunikation via port 25 beror på vilken typ av prenumeration du har:
Enterprise-avtal: För virtuella datorer som distribueras i vanliga Enterprise-avtalsprenumerationer blockeras inte de utgående SMTP-anslutningarna på TCP-port 25. Det finns dock ingen garanti för att externa domäner accepterar inkommande e-postmeddelanden från de virtuella datorerna. Om externa domäner avvisar eller filtrerar e-post kontaktar du e-posttjänstleverantörerna för de externa domänerna för att lösa problemen. Dessa problem omfattas inte av Azure Support.
För Enterprise Dev/Test-prenumerationer blockeras port 25 som standard. Det går att ta bort den här blockeringen. Om du vill begära att blocket ska tas bort går du till avsnittet Det går inte att skicka e-post (SMTP-port 25) på sidan Diagnostisera och lösa inställningar för Azure Virtual Network-resursen i Azure Portal och kör diagnostiken. Den här proceduren undantar de kvalificerade enterprise dev/test-prenumerationerna automatiskt.
När en prenumeration har undantagits från den här blockeringen och de virtuella datorerna har stoppats och startats om undantas alla virtuella datorer i prenumerationen framöver. Undantaget gäller endast för den begärda prenumerationen och endast för VM-trafik som dirigerar direkt till Internet.
Betala per användning: Utgående kommunikation via port 25 blockeras från alla resurser. Inga begäranden om att ta bort begränsningen kan göras eftersom begäranden inte beviljas. Om du vill skicka e-post från din virtuella dator måste du använda en SMTP-relätjänst.
MSDN, Azure Pass, Azure i Open, Education och kostnadsfri utvärderingsversion: Utgående port 25-kommunikation blockeras från alla resurser. Inga begäranden om att ta bort begränsningen kan göras eftersom begäranden inte beviljas. Om du vill skicka e-post från din virtuella dator måste du använda en SMTP-relätjänst.
Molntjänstleverantör: Utgående port 25-kommunikation blockeras från alla resurser. Inga begäranden om att ta bort begränsningen kan göras eftersom begäranden inte beviljas. Om du vill skicka e-post från din virtuella dator måste du använda en SMTP-relätjänst.
Nästa steg
Lär dig vilka Azure-resurser du kan distribuera till ett virtuellt nätverk. Se Integrering av virtuella nätverk för Azure-tjänster för att förstå hur nätverkssäkerhetsgrupper kan associeras med dem.
Information om hur nätverkssäkerhetsgrupper utvärderar trafik finns i Så här fungerar nätverkssäkerhetsgrupper.
Skapa en nätverkssäkerhetsgrupp genom att följa den här snabbguiden.
Om du redan är bekant med nätverkssäkerhetsgrupper och vill lära dig hur du hanterar dem läser du Hantera en nätverkssäkerhetsgrupp.
Om du har kommunikationsproblem och behöver felsöka nätverkssäkerhetsgrupper läser du Diagnose a virtual machine network traffic filter problem (Diagnostisera problem med filtreringen av nätverkstrafik för virtuella nätverk).
Lär dig hur du aktiverar flödesloggar för virtuella nätverk för att analysera nätverkstrafik som flödar genom ett virtuellt nätverk som kan matcha en associerad nätverkssäkerhetsgrupp.