- Artikel
Sie können eine Azure-Netzwerksicherheitsgruppe verwenden, um den Netzwerkverkehr zwischen Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Eine Netzwerksicherheitsgruppe enthältSicherheitsregelndie eingehenden Netzwerkverkehr zu bzw. ausgehenden Netzwerkverkehr von verschiedenen Arten von Azure-Ressourcen zulassen oder verweigern. Für jede Regel können Sie Quelle und Ziel, Port und Protokoll angeben.
In diesem Artikel werden die Eigenschaften einer Netzwerksicherheitsgruppenregel beschriebenStandardsicherheitsregelndie angewendet werden, und die Regeleigenschaften, die Sie ändern können, um eine zu erstellenerweiterte Sicherheitsregel.
Sicherheitsregeln
Eine Netzwerksicherheitsgruppe enthält innerhalb des Azure-Abonnements beliebig viele RegelnGrenzen. Jede Regel gibt die folgenden Eigenschaften an:
| Eigentum | Erläuterung |
|---|---|
| Name | Ein eindeutiger Name innerhalb der Netzwerksicherheitsgruppe. Der Name kann bis zu 80 Zeichen lang sein. Es muss mit einem Wortzeichen beginnen und mit einem Wortzeichen oder mit „_“ enden. Der Name kann Wortzeichen oder „.“, „-“, „_“ enthalten. |
| Priorität | Eine Zahl zwischen 100 und 4096. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet, wobei niedrigere Zahlen vor höheren Zahlen verarbeitet werden, da niedrigere Zahlen eine höhere Priorität haben. Sobald der Datenverkehr einer Regel entspricht, wird die Verarbeitung gestoppt. Daher werden alle vorhandenen Regeln mit niedrigeren Prioritäten (höheren Nummern), die dieselben Attribute wie Regeln mit höheren Prioritäten haben, nicht verarbeitet. |
| Quelle oder Ziel | Eine beliebige oder eine einzelne IP-Adresse, ein CIDR-Block (Classless Inter-Domain Routing) (z. B. 10.0.0.0/24), ein Service-Tag oder eine Anwendungssicherheitsgruppe. Wenn Sie eine Adresse für eine Azure-Ressource angeben, geben Sie die private IP-Adresse an, die der Ressource zugewiesen ist. Netzwerksicherheitsgruppen werden verarbeitet, nachdem Azure eine öffentliche IP-Adresse für eingehenden Datenverkehr in eine private IP-Adresse übersetzt hat und bevor Azure eine private IP-Adresse für ausgehenden Datenverkehr in eine öffentliche IP-Adresse übersetzt hat. Wenn Sie einen Bereich, eine Service-Tag-Nummer oder eine Anwendungssicherheitsgruppe angeben, sind weniger Sicherheitsregeln erforderlich. Die Möglichkeit, in einer Regel mehrere einzelne IP-Adressen und -Bereiche anzugeben (Sie können nicht mehrere Dienst-Tags oder Anwendungsgruppen angeben) wird als bezeichneterweiterte Sicherheitsregeln. Erweiterte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die über das Resource Manager-Bereitstellungsmodell erstellt wurden. Sie können in Netzwerksicherheitsgruppen, die über das klassische Bereitstellungsmodell erstellt wurden, nicht mehrere IP-Adressen und IP-Adressbereiche angeben. |
| Protokoll | TCP, UDP, ICMP, ESP, AH oder beliebig. Die Protokolle ESP und AH sind derzeit nicht über das Azure-Portal verfügbar, können aber über ARM-Vorlagen verwendet werden. |
| Richtung | Ob die Regel für eingehenden oder ausgehenden Datenverkehr gilt. |
| Portbereich | Sie können einen einzelnen oder einen Bereich von Ports angeben. Sie könnten beispielsweise 80 oder 10000-10005 angeben. Durch die Angabe von Bereichen können Sie weniger Sicherheitsregeln erstellen. Erweiterte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die über das Resource Manager-Bereitstellungsmodell erstellt wurden. Sie können in Netzwerksicherheitsgruppen, die über das klassische Bereitstellungsmodell erstellt wurden, nicht mehrere Ports oder Portbereiche in derselben Sicherheitsregel angeben. |
| Aktion | Zulassen oder ablehnen |
Sicherheitsregeln werden basierend auf den fünf Tupelinformationen (Quelle, Quellport, Ziel, Zielport und Protokoll) ausgewertet und angewendet. Sie können nicht zwei Sicherheitsregeln mit derselben Priorität und Richtung erstellen. Für bestehende Verbindungen wird ein Flow-Datensatz erstellt. Die Kommunikation wird basierend auf dem Verbindungsstatus des Flow-Datensatzes zugelassen oder verweigert. Der Flow-Datensatz ermöglicht es einer Netzwerksicherheitsgruppe, zustandsbehaftet zu sein. Wenn Sie beispielsweise eine ausgehende Sicherheitsregel für eine beliebige Adresse über Port 80 angeben, ist es nicht erforderlich, eine eingehende Sicherheitsregel für die Reaktion auf den ausgehenden Datenverkehr anzugeben. Sie müssen nur dann eine Eingangssicherheitsregel angeben, wenn die Kommunikation von extern initiiert wird. Das Gegenteil ist auch der Fall. Wenn eingehender Datenverkehr über einen Port zulässig ist, ist es nicht erforderlich, eine Sicherheitsregel für ausgehenden Datenverkehr anzugeben, um auf Datenverkehr über den Port zu reagieren.
Bestehende Verbindungen werden möglicherweise nicht unterbrochen, wenn Sie eine Sicherheitsregel entfernen, die die Verbindung zugelassen hat. Das Ändern der Netzwerksicherheitsgruppenregeln wirkt sich nur auf neue Verbindungen aus. Wenn in einer Netzwerksicherheitsgruppe eine neue Regel erstellt oder eine vorhandene Regel aktualisiert wird, gilt diese nur für neue Verbindungen. Bestehende Verbindungen werden mit den neuen Regeln nicht neu bewertet.
Die Anzahl der Sicherheitsregeln, die Sie in einer Netzwerksicherheitsgruppe erstellen können, ist begrenzt. Einzelheiten finden Sie unterAzure-Grenzwerte.
Standardsicherheitsregeln
Azure erstellt in jeder von Ihnen erstellten Netzwerksicherheitsgruppe die folgenden Standardregeln:
Eingehende
AllowVNetInBound
| Priorität | Quelle | Quellports | Ziel | Zielports | Protokoll | Zugang |
|---|---|---|---|---|---|---|
| 65000 | Virtuelles Netzwerk | 0-65535 | Virtuelles Netzwerk | 0-65535 | Beliebig | Erlauben |
AllowAzureLoadBalancerInBound
| Priorität | Quelle | Quellports | Ziel | Zielports | Protokoll | Zugang |
|---|---|---|---|---|---|---|
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | Beliebig | Erlauben |
DenyAllInbound
| Priorität | Quelle | Quellports | Ziel | Zielports | Protokoll | Zugang |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Beliebig | Leugnen |
Ausgehend
AllowVnetOutBound
| Priorität | Quelle | Quellports | Ziel | Zielports | Protokoll | Zugang |
|---|---|---|---|---|---|---|
| 65000 | Virtuelles Netzwerk | 0-65535 | Virtuelles Netzwerk | 0-65535 | Beliebig | Erlauben |
AllowInternetOutBound
| Priorität | Quelle | Quellports | Ziel | Zielports | Protokoll | Zugang |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Beliebig | Erlauben |
DenyAllOutBound
| Priorität | Quelle | Quellports | Ziel | Zielports | Protokoll | Zugang |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Beliebig | Leugnen |
ImQuelleUndZielSäulen,Virtuelles Netzwerk,AzureLoadBalancer, UndInternetSindService-Tags, statt IP-Adressen. In der ProtokollspalteBeliebigumfasst TCP, UDP und ICMP. Beim Erstellen einer Regel können Sie TCP, UDP, ICMP oder Beliebig angeben.0.0.0.0/0imQuelleUndZielDie Spalten stellen alle Adressen dar. Clients wie das Azure-Portal, Azure CLI oder PowerShell können für diesen Ausdruck * oder einen beliebigen Wert verwenden.
Sie können die Standardregeln nicht entfernen, aber Sie können sie überschreiben, indem Sie Regeln mit höheren Prioritäten erstellen.
Erweiterte Sicherheitsregeln
Erweiterte Sicherheitsregeln vereinfachen die Sicherheitsdefinition für virtuelle Netzwerke und ermöglichen Ihnen die Definition umfangreicherer und komplexerer Netzwerksicherheitsrichtlinien mit weniger Regeln. Sie können mehrere Ports und mehrere explizite IP-Adressen und -Bereiche in einer einzigen, leicht verständlichen Sicherheitsregel kombinieren. Verwenden Sie erweiterte Regeln in den Quell-, Ziel- und Portfeldern einer Regel. Um die Wartung Ihrer Sicherheitsregeldefinition zu vereinfachen, kombinieren Sie erweiterte Sicherheitsregeln mitService-TagsoderAnwendungssicherheitsgruppen. Die Anzahl der Adressen, Bereiche und Ports, die Sie in einer Regel angeben können, ist begrenzt. Einzelheiten finden Sie unterAzure-Grenzwerte.
Service-Tags
Ein Diensttag stellt eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Dienstes dar. Es trägt dazu bei, die Komplexität häufiger Aktualisierungen der Netzwerksicherheitsregeln zu minimieren.
Weitere Informationen finden Sie unterAzure-Diensttags. Ein Beispiel zur Verwendung des Storage-Diensttags zum Einschränken des Netzwerkzugriffs finden Sie unterBeschränken Sie den Netzwerkzugriff auf PaaS-Ressourcen.
Anwendungssicherheitsgruppen
Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung der Struktur einer Anwendung konfigurieren, sodass Sie virtuelle Maschinen gruppieren und Netzwerksicherheitsrichtlinien basierend auf diesen Gruppen definieren können. Sie können Ihre Sicherheitsrichtlinie in großem Umfang wiederverwenden, ohne explizite IP-Adressen manuell pflegen zu müssen. Weitere Informationen finden Sie unterAnwendungssicherheitsgruppen.
Überlegungen zur Azure-Plattform
Virtuelle IP des Hostknotens: Grundlegende Infrastrukturdienste wie DHCP, DNS, IMDS und Gesundheitsüberwachung werden über die virtualisierten Host-IP-Adressen 168.63.129.16 und 169.254.169.254 bereitgestellt. Diese IP-Adressen gehören Microsoft und sind die einzigen virtualisierten IP-Adressen, die in allen Regionen für diesen Zweck verwendet werden. Standardmäßig unterliegen diese Dienste nicht den konfigurierten Netzwerksicherheitsgruppen, es sei denn, sie werden von diesen als Ziel ausgewähltService-Tagsspezifisch für jeden Dienst. Um diese grundlegende Infrastrukturkommunikation außer Kraft zu setzen, können Sie eine Sicherheitsregel erstellen, um Datenverkehr zu verweigern, indem Sie die folgenden Diensttags in Ihren Netzwerksicherheitsgruppenregeln verwenden: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Lernen wie manDiagnose der Filterung des NetzwerkverkehrsUndNetzwerk-Routing diagnostizieren.
Lizenzierung (Schlüsselverwaltungsdienst): Windows-Images, die in virtuellen Maschinen ausgeführt werden, müssen lizenziert werden. Um die Lizenzierung sicherzustellen, wird eine Anfrage an die Hostserver des Key Management Service gesendet, die solche Anfragen bearbeiten. Die Anfrage erfolgt ausgehend über Port 1688. Für Bereitstellungen mitStandardroute 0.0.0.0/0Konfiguration wird diese Plattformregel deaktiviert.
Virtuelle Maschinen in Pools mit Lastausgleich: Der angewendete Quellport und Adressbereich stammen vom Ursprungscomputer, nicht vom Load Balancer. Der Zielport und der Adressbereich gelten für den Zielcomputer, nicht für den Lastenausgleich.
Azure-Dienstinstanzen: Instanzen mehrerer Azure-Dienste wie HDInsight, Anwendungsdienstumgebungen und VM-Skalierungssätze werden in Subnetzen virtueller Netzwerke bereitgestellt. Eine vollständige Liste der Dienste, die Sie in virtuellen Netzwerken bereitstellen können, finden Sie unterVirtuelles Netzwerk für Azure-Dienste. Bevor Sie eine Netzwerksicherheitsgruppe auf das Subnetz anwenden, machen Sie sich mit den Portanforderungen für jeden Dienst vertraut. Wenn Sie die für den Dienst erforderlichen Ports verweigern, funktioniert der Dienst nicht ordnungsgemäß.
Versenden ausgehender E-Mails: Microsoft empfiehlt, dass Sie authentifizierte SMTP-Relay-Dienste (normalerweise verbunden über TCP-Port 587, oft aber auch andere) verwenden, um E-Mails von Azure Virtual Machines zu senden. SMTP-Relay-Dienste sind auf die Reputation des Absenders spezialisiert, um die Möglichkeit zu minimieren, dass E-Mail-Drittanbieter Nachrichten ablehnen. Zu diesen SMTP-Relay-Diensten gehören unter anderem Exchange Online Protection und SendGrid. Die Nutzung von SMTP-Relay-Diensten ist in Azure unabhängig von Ihrem Abonnementtyp in keiner Weise eingeschränkt.
Wenn Sie Ihr Azure-Abonnement vor dem 15. November 2017 erstellt haben, können Sie nicht nur SMTP-Relay-Dienste nutzen, sondern auch E-Mails direkt über TCP-Port 25 senden. Wenn Sie Ihr Abonnement nach dem 15. November 2017 erstellt haben, ist dies möglicherweise nicht möglich um E-Mails direkt über Port 25 zu senden. Das Verhalten der ausgehenden Kommunikation über Port 25 hängt wie folgt von der Art Ihres Abonnements ab:
Unternehmensvereinbarung: Für VMs, die in Standard-Enterprise-Agreement-Abonnements bereitgestellt werden, werden die ausgehenden SMTP-Verbindungen auf TCP-Port 25 nicht blockiert. Es gibt jedoch keine Garantie dafür, dass externe Domänen die eingehenden E-Mails von den VMs akzeptieren. Wenn Ihre E-Mails von den externen Domänen abgelehnt oder gefiltert werden, sollten Sie sich an die E-Mail-Dienstanbieter der externen Domänen wenden, um die Probleme zu beheben. Diese Probleme werden nicht vom Azure-Support abgedeckt.
Bei Enterprise Dev/Test-Abonnements ist Port 25 standardmäßig blockiert. Es ist möglich, diese Sperre entfernen zu lassen. Um die Aufhebung der Sperre zu beantragen, gehen Sie zuE-Mail kann nicht gesendet werden (SMTP-Port 25)Abschnitt derDiagnostizieren und lösenKlicken Sie im Azure-Portal auf die Einstellungsseite für die Azure Virtual Network-Ressource und führen Sie die Diagnose aus. Dadurch werden die qualifizierten Entwicklungs-/Testabonnements für Unternehmen automatisch ausgenommen.
Nachdem das Abonnement von dieser Sperre ausgenommen wurde und die VMs gestoppt und neu gestartet wurden, sind künftig alle VMs in diesem Abonnement ausgenommen. Die Ausnahme gilt nur für das beantragte Abonnement und nur für VM-Verkehr, der direkt an das Internet weitergeleitet wird.
Zahlen Sie wenn sie hinausgehen:Die ausgehende Kommunikation über Port 25 ist für alle Ressourcen blockiert. Es können keine Anträge auf Aufhebung der Einschränkung gestellt werden, da Anträge nicht gewährt werden. Wenn Sie E-Mails von Ihrer virtuellen Maschine senden müssen, müssen Sie einen SMTP-Relay-Dienst verwenden.
MSDN, Azure Pass, Azure in Open, Education, BizSpark und kostenlose Testversion: Die ausgehende Kommunikation über Port 25 ist für alle Ressourcen blockiert. Es können keine Anträge auf Aufhebung der Einschränkung gestellt werden, da Anträge nicht gewährt werden. Wenn Sie E-Mails von Ihrer virtuellen Maschine senden müssen, müssen Sie einen SMTP-Relay-Dienst verwenden.
Cloud-Dienstanbieter: Die ausgehende Kommunikation über Port 25 ist für alle Ressourcen blockiert. Es können keine Anträge auf Aufhebung der Einschränkung gestellt werden, da Anträge nicht gewährt werden. Wenn Sie E-Mails von Ihrer virtuellen Maschine senden müssen, müssen Sie einen SMTP-Relay-Dienst verwenden.
Nächste Schritte
- Weitere Informationen dazu, welche Azure-Ressourcen in einem virtuellen Netzwerk bereitgestellt werden können und mit denen Netzwerksicherheitsgruppen verknüpft werden können, finden Sie unterVirtuelle Netzwerkintegration für Azure-Dienste
- Informationen zur Auswertung des Datenverkehrs mit Netzwerksicherheitsgruppen finden Sie unterSo funktionieren Netzwerksicherheitsgruppen.
- Wenn Sie noch nie eine Netzwerksicherheitsgruppe erstellt haben, können Sie dies schnell tunLernprogrammum etwas Erfahrung bei der Erstellung zu sammeln.
- Wenn Sie mit Netzwerksicherheitsgruppen vertraut sind und diese verwalten müssen, lesen SieVerwalten Sie eine Netzwerksicherheitsgruppe.
- Wenn Sie Kommunikationsprobleme haben und Probleme mit Netzwerksicherheitsgruppen beheben müssen, lesen SieDiagnostizieren Sie ein Problem mit dem Netzwerkverkehrsfilter einer virtuellen Maschine.
- Erfahren Sie, wie Sie es aktivierenFlussprotokolle der Netzwerksicherheitsgruppeum den Netzwerkverkehr zu und von Ressourcen zu analysieren, denen eine Netzwerksicherheitsgruppe zugeordnet ist.