确定网络安全组的有效规则

每个网络安全组及其定义的安全规则都单独进行评估。 Azure 会处理为配置中的每个虚拟机定义的每个规则中的条件。

• 对于入站流量，Azure 会首先处理任何关联子网的网络安全组安全规则，然后再处理任何关联的网络接口。
• 对于出站流量，进程是反向的。 Azure 首先评估任何关联网络接口的网络安全组安全规则，然后再评估任何关联的子网。
• 对于入站和出站评估过程，Azure 还会检查如何为子网内流量应用规则。 子网内流量是指同一子网中的虚拟机。

Azure 最终为虚拟机应用定义的安全规则的方式，决定了规则的整体有效性。

网络安全组评估

在将网络安全组应用于子网和网络接口时，每个网络安全组都是单独评估的。 入站和出站规则都根据优先级和处理顺序考虑。

创建有效规则时的注意事项

查看以下注意事项，了解如何为虚拟网络中的计算机创建有效的安全规则。

• 请考虑允许所有流量。 如果将虚拟机放置在子网中或使用网络接口，则无需将子网或 NIC 与网络安全组相关联。 此方法允许根据默认 Azure 安全规则通过子网或 NIC 的所有网络流量。 如果你不关心在特定级别控制流向资源的流量，则不要将该级别的资源关联到网络安全组。

• 请考虑允许规则的重要性。 创建网络安全组时，必须为组中的子网和网络接口定义“允许”规则，以确保流量可以通过。 如果网络安全组中有子网或 NIC，则必须在每个级别定义允许规则。 否则，针对任何不提供允许规则定义的级别，流量都被拒绝。

• 请考虑子网内流量。 与子网关联的网络安全组的安全规则可能会影响子网中所有虚拟机之间的流量。 可以通过在网络安全组中定义拒绝所有入站和出站流量的规则来禁止子网内流量。 此规则可防止子网中的所有虚拟机相互通信。

• 考虑规则优先级。 网络安全组的安全规则按优先级顺序进行处理。 若要确保始终处理特定安全规则，请为该规则分配尽可能低的优先级值。 最好在优先级编号中保留间隔（例如 100、200、300 等）。 编号中的间隔让你可以添加新规则，而无需编辑现有规则。

查看有效的安全规则

如果有多个网络安全组，并且不确定要应用哪些安全规则，则可以在 Azure 门户中使用“有效安全规则”链接。 可以使用该链接来验证计算机、子网和网络接口应用了哪些安全规则。