确定网络安全组规则

使用网络安全组中的安全规则可以筛选网络流量。 可以定义规则来控制进出虚拟网络子网和网络接口的流量。

有关安全规则的注意事项

接下来，我们将介绍网络安全组中的安全规则的特征。

• Azure 在每个网络安全组中创建多个默认安全规则，包括入站流量和出站流量。 默认规则的示例包括 DenyAllInbound 流量和 AllowInternetOutbound 流量。

• Azure 在你创建的每个网络安全组中创建默认安全规则。

• 可以通过指定条件将更多安全规则添加到网络安全组。 下面是最常见的条件列表。

  设置	价值
  来源	任何、IP 地址、我的 IP 地址、服务标记或应用程序安全组
  源端口范围	指定规则允许或拒绝流量的端口
  目的地	任何、IP 地址、服务标记或应用程序安全组
  协议	将规则限制为传输控制协议 (TCP)、用户数据报协议 (UDP) 或 Internet 控制消息协议 (ICMP)。 默认值是将规则应用于所有协议（任何）。
  行动	允许或拒绝
  优先度	一个介于 100 和 4,096 之间的值，对于 NSG 中的所有安全规则都是唯一的

• 每个安全规则都分配有一个优先级值。 网络安全组的所有安全规则都按优先级顺序处理。 如果规则的优先级值较低，则该规则在处理顺序方面具有较高的优先级或优先权。

• 无法删除默认安全规则。

• 可以通过为网络安全组创建另一个具有更高优先级设置的安全规则来重写默认的安全规则。

入站流量规则

Azure 为网络安全组定义了三个默认的入站安全规则。 这些规则拒绝所有入站流量，来自虚拟网络和 Azure 负载均衡器的流量除外。 下图显示了 Azure 门户中网络安全组的默认入站安全规则。

出站流量规则

Azure 为网络安全组定义了三个默认的出站安全规则。 这些规则仅允许出站流量进入 Internet 和虚拟网络。 下图显示了 Azure 门户中网络安全组的默认出站安全规则。