Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie eine Azure-Netzwerksicherheitsgruppe (NSG), um Den Netzwerkdatenverkehr zu und von Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Netzwerksicherheitsgruppen bieten wichtige Funktionen für die Datenverkehrsfilterung, die Ihnen dabei helfen, Ihre Cloudinfrastruktur zu sichern, indem sie steuern, welcher Datenverkehr zwischen Ressourcen fließen kann. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen oder ausgehenden Netzwerkdatenverkehr von diesen zulassen oder verweigern. Für jede Regel können Sie Quell- und Zieldetails, Port und Protokoll angeben.
Sie können Ressourcen von mehreren Azure-Diensten in einem virtuellen Azure-Netzwerk bereitstellen. Eine vollständige Liste finden Sie unter Dienste, die in einem virtuellen Netzwerk bereitgestellt werden können. Bei Bedarf können Sie eine Netzwerksicherheitsgruppe jedem virtuellen Netzwerk-Subnetz und jeder Netzwerkschnittstelle auf einem virtuellen Computer zuordnen. Die gleiche Netzwerksicherheitsgruppe kann beliebig vielen Subnetzen und Netzwerkschnittstellen zugeordnet werden.
Das folgende Diagramm veranschaulicht unterschiedliche Szenarien für die Bereitstellung von Netzwerksicherheitsgruppen, um Netzwerkdatenverkehr zu und aus dem Internet über TCP-Port 80 zuzulassen:
Im vorherigen Diagramm erfahren Sie, wie Azure eingehende und ausgehende Regeln verarbeitet. Das Diagramm veranschaulicht, wie Netzwerksicherheitsgruppen die Datenverkehrsfilterung behandeln.
Inbound traffic
Bei eingehendem Datenverkehr verarbeitet Azure zuerst die Regeln in einer Netzwerksicherheitsgruppe, die einem Subnetz zugeordnet ist, sofern vorhanden. Azure verarbeitet dann die Regeln in einer Netzwerksicherheitsgruppe, die der Netzwerkschnittstelle zugeordnet ist, sofern vorhanden. Die gleiche Bewertungsreihenfolge gilt für den intrasubnetzinternen Datenverkehr.
VM1: Die Sicherheitsregeln in NSG1 werden verarbeitet, da NSG1subnetz1 zugeordnet ist und VM1 sich in Subnetz1 befindet. Die Standardsicherheitsregel "DenyAllInbound " blockiert den Datenverkehr, es sei denn, Sie erstellen eine benutzerdefinierte Regel, die Port 80 explizit zulässt. NSG2, die der Netzwerkschnittstelle NIC1 zugeordnet ist, wertet den blockierten Datenverkehr nicht aus. Wenn NSG1 jedoch port 80 in seiner Sicherheitsregel zulässt, wertet NSG2 den Datenverkehr aus. Um Port 80 auf den virtuellen Computer zuzulassen, muss sowohl NSG1 als auch NSG2 eine Regel enthalten, die Port 80 aus dem Internet zulässt.
VM2: Die Sicherheitsregeln in NSG1 werden verarbeitet, da VM2 auch in Subnetz1 enthalten ist. Da VM2 nicht über eine Netzwerksicherheitsgruppe verfügt, die der Netzwerkschnittstelle zugeordnet ist, empfängt sie den gesamten Datenverkehr, der über NSG1 zulässig ist, und verweigert den gesamten Datenverkehr, der von NSG1 blockiert wurde. Datenverkehr wird für alle Ressourcen im selben Subnetz entweder zugelassen oder verweigert, wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist.
VM3: Da keine Netzwerksicherheitsgruppe mit Subnetz2 verknüpft ist, ist datenverkehr in das Subnetz zulässig und wird von NSG2 verarbeitet, da NSG2 der Netzwerkschnittstelle NIC1 zugeordnet ist, die mit VM3 verbunden ist.
VM4: Datenverkehr wird auf VM4 blockiert, da eine Netzwerksicherheitsgruppe weder Subnetz3 noch die Netzwerkschnittstelle auf dem virtuellen Computer zugeordnet ist. Der gesamte Netzwerkdatenverkehr ist über ein Subnetz und eine Netzwerkschnittstelle blockiert, wenn diesen keine Netzwerksicherheitsgruppe zugeordnet ist. Der virtuelle Computer mit einer standardmäßigen öffentlichen IP-Adresse ist standardmäßig sicher. Damit Datenverkehr aus dem Internet fließen kann, muss eine Netzwerksicherheitsgruppe dem Subnetz oder der Netzwerkschnittstelle des virtuellen Computers zugeordnet sein. Weitere Informationen finden Sie unter IP-Adressversion.
Outbound traffic
Bei ausgehendem Datenverkehr verarbeitet Azure Netzwerksicherheitsgruppenregeln in einer bestimmten Reihenfolge. Azure wertet die Regeln in jeder Netzwerksicherheitsgruppe aus, die einer Netzwerkschnittstelle zugeordnet ist. Anschließend verarbeitet Azure die Regeln in jeder Netzwerksicherheitsgruppe, die dem Subnetz zugeordnet ist. Die gleiche Verarbeitungsreihenfolge gilt für intrasubnetzinternen Datenverkehr.
VM1: Die Sicherheitsregeln in NSG2 werden verarbeitet. Die AllowInternetOutbound-Standardsicherheitsregel in NSG1 und NSG2 ermöglicht den Datenverkehr, es sei denn, Sie erstellen eine Sicherheitsregel, die Port 80 explizit für das Internet verweigert. Wenn NSG2 port 80 in seiner Sicherheitsregel verweigert, verweigert es den Datenverkehr, und NSG1 empfängt niemals den Datenverkehr und kann ihn nicht auswerten. Um Port 80 vom virtuellen Computer zu verweigern, muss eine oder beide Netzwerksicherheitsgruppen über eine Regel verfügen, die Port 80 zum Internet verweigert.
VM2: Der gesamte Datenverkehr wird über die Netzwerkschnittstelle an das Subnetz gesendet, da die an VM2 angefügte Netzwerkschnittstelle keine Netzwerksicherheitsgruppe zugeordnet ist. Die Regeln in NSG1 werden verarbeitet.
VM3: Wenn NSG2 port 80 in seiner Sicherheitsregel verweigert, blockiert er den Datenverkehr. Wenn NSG2 Port 80 nicht verweigert, lässt die Standardsicherheitsregel AllowInternetOutbound in NSG2 den Datenverkehr zu, weil Subnet2 keine Netzwerksicherheitsgruppe zugeordnet ist.
VM4: Datenverkehr fließt frei von VM4 , da keine Netzwerksicherheitsgruppe der Netzwerkschnittstelle des virtuellen Computers oder Subnetz3 zugeordnet ist.
Intra-subnet traffic
Es ist wichtig zu beachten, dass Sicherheitsregeln in einer Netzwerksicherheitsgruppe, die einem Subnetz zugeordnet ist, die Konnektivität zwischen virtuellen Computern innerhalb des Netzwerks beeinträchtigen kann. Standardmäßig können virtuelle Computer im selben Subnetz basierend auf einer Standardmäßigen Netzwerksicherheitsgruppenregel kommunizieren, die intrasubnetzinternen Datenverkehr zulässt. Wenn Sie NSG1 eine Regel hinzufügen, die den gesamten eingehenden und ausgehenden Datenverkehr verweigert, kann VM1 und VM2 nicht miteinander kommunizieren.
Sie können die Aggregatregeln, die auf eine Netzwerkschnittstelle angewendet werden, leicht prüfen, indem Sie die geltenden Sicherheitsregeln für eine Netzwerkschnittstelle anzeigen. Die Funktion zum Überprüfen des IP-Flusses in Azure Network Watcher hilft dabei, zu bestimmen, ob die Kommunikation über eine Netzwerkschnittstelle zulässig ist oder nicht. Die Überprüfung des IP-Flusses bestimmt, ob eine Kommunikation erlaubt oder abgelehnt wird. Außerdem wird ermittelt, welche Netzwerksicherheitsregel für das Zulassen oder Verweigern des Datenverkehrs verantwortlich ist.
Der Netzwerkprüfer von Azure Virtual Network Manager kann auch bei der Problembehandlung von Erreichbarkeitsproblemen zwischen virtuellen Computern und dem Internet oder anderen Azure-Ressourcen helfen. Die Netzwerkverifizierer bieten Einblicke in Netzwerk-Sicherheitsgrupperegeln sowie andere Azure-spezifische Regeln und Richtlinien, die sich auf die Konnektivität auswirken können.
Tip
Vermeiden Sie für eine optimale Sicherheitskonfiguration das Zuordnen von Netzwerksicherheitsgruppen zu einem Subnetz und den Netzwerkschnittstellen gleichzeitig. Wählen Sie aus, ob die Netzwerksicherheitsgruppe entweder dem Subnetz oder der Netzwerkschnittstelle zugeordnet werden soll, aber nicht mit beiden gleichzeitig. Wenn Sie Netzwerksicherheitsgruppen auf mehreren Ebenen anwenden, können die Regeln miteinander in Konflikt stehen. Diese Überlappung in Sicherheitsregeln führt häufig zu unerwarteten Problemen bei der Datenverkehrsfilterung, die schwer zu beheben sind.
Next steps
Erfahren Sie, welche Azure-Ressourcen Sie in einem virtuellen Netzwerk bereitstellen können. Weitere Informationen finden Sie unter "Virtuelle Netzwerkintegration für Azure-Dienste ", um Ressourcen zu finden, die Netzwerksicherheitsgruppen unterstützen.
Führen Sie ein kurzes Tutorial durch, um Erfahrung im Erstellen einer Netzwerksicherheitsgruppe zu sammeln.
Wenn Sie sich mit Netzwerksicherheitsgruppen auskennen und diese verwalten müssen, finden Sie unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe weitere Informationen.
Wenn Kommunikationsschwierigkeiten auftreten und Sie Probleme mit Netzwerksicherheitsgruppen beheben müssen, finden Sie unter Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers weitere Informationen.
Erfahren Sie, wie Sie virtuelle Netzwerkflussprotokolle aktivieren, um Datenverkehr zu und von Ihrem virtuellen Netzwerk zu analysieren, der möglicherweise über zugeordnete Netzwerksicherheitsgruppen geleitet wird.