使用 Azure 门户部署网络安全组

Azure 中的 网络安全组（NSG） 允许筛选 Azure 虚拟网络中传入和传出 Azure 资源的网络流量。

网络安全组的特征

我们来了解一下网络安全组的特征。

• 网络安全组包含一系列安全规则，通过这些规则，可以允许或拒绝入站或出站网络流量。

• 网络安全组可以关联到子网或网络接口。

• 一个网络安全组可以进行多次关联。

• 需要在 Azure 门户中创建网络安全组并定义安全规则。

NSG 安全规则

网络安全组包含允许或拒绝发到 Azure 资源的入站或出站网络流量的安全规则。 可以为每项规则指定源和目标、端口以及协议。 一个网络安全组包含零个或者不超过 Azure 订阅限制的任意数量的规则。 每条规则都具有这些属性。

• Azure 为网络安全组定义默认 入站 安全规则。 这些规则拒绝所有入站流量，但来自虚拟网络和 Azure 负载均衡器的流量除外。

• Azure 为网络安全组定义默认 出站 安全规则。 这些规则仅允许出站流量进入 Internet 和虚拟网络。

每个网络安全组及其定义的安全规则都单独进行评估。 Azure 会处理为配置中的每个虚拟机定义的每个规则中的条件。 - 有效的安全规则视图是 Azure 网络观察程序中的一项功能，可用于查看应用于网络接口的聚合入站和出站规则。 它提供对应用于网络接口的安全和管理规则的可见性。

• 对于入站流量，Azure 会首先处理任何关联子网的网络安全组安全规则，然后再处理任何关联的网络接口。

• 对于出站流量，进程是反向的。 Azure 首先评估任何关联网络接口的网络安全组安全规则，然后再评估任何关联的子网。