Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können eine Azure-Netzwerksicherheitsgruppe verwenden, um den Netzwerkdatenverkehr zwischen Azure-Ressourcen in virtuellen Azure-Netzwerken zu filtern. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen oder ausgehenden Netzwerkdatenverkehr von diesen zulassen oder verweigern.
In diesem Artikel werden die Eigenschaften einer Netzwerksicherheitsgruppenregel und die von Azure angewendeten Standardsicherheitsregeln erläutert. Außerdem wird beschrieben, wie Regeleigenschaften geändert werden, um eine erweiterte Sicherheitsregel zu erstellen.
Sicherheitsregeln
Eine Netzwerksicherheitsgruppe enthält nach Bedarf Netzwerksicherheitsregeln innerhalb von Azure-Abonnementgrenzwerten. Für jede Regel werden die folgenden Eigenschaften angegeben:
| Eigenschaft | Erklärung |
|---|---|
| Name | Ein eindeutiger Name in der Netzwerksicherheitsgruppe. Der Name kann bis zu 80 Zeichen lang sein. Es muss mit einem Wortzeichen beginnen und mit einem Wortzeichen oder mit _ enden. Der Name kann Wortzeichen, ., - oder \_ enthalten. |
| Priorität | Eine Zahl zwischen 100 und 4.096. Regeln werden in der Prioritätsreihenfolge verarbeitet, wobei niedrigere Zahlen vor höheren Zahlen verarbeitet werden, da niedrigere Zahlen eine höhere Priorität haben. Nachdem sich für den Datenverkehr eine Übereinstimmung mit einer Regel ergibt, wird die Verarbeitung angehalten. Daher werden alle Regeln, die mit niedrigeren Prioritäten (höheren Zahlen) vorhanden sind, mit denselben Attributen wie Regeln mit höheren Prioritäten nicht verarbeitet. Azure-Standardsicherheitsregeln erhalten die niedrigste Priorität (höchste Zahl), um sicherzustellen, dass Ihre benutzerdefinierten Regeln immer zuerst verarbeitet werden. |
| Quelle oder Ziel | Sie können Any, eine einzelne IP-Adresse, einen CIDR-Block (z. B. 10.0.0.0/24), ein Diensttag oder eine Anwendungssicherheitsgruppe angeben. Verwenden Sie zum Angeben einer bestimmten Azure-Ressource die private IP-Adresse, die der Ressource zugewiesen ist. Bei eingehendem Datenverkehr verarbeiten Netzwerksicherheitsgruppen Datenverkehr, nachdem Azure öffentliche IP-Adressen in private IP-Adressen übersetzt hat. Für ausgehenden Datenverkehr verarbeiten Netzwerksicherheitsgruppen Datenverkehr, bevor private IP-Adressen in öffentliche IP-Adressen übersetzt werden.
Geben Sie einen Bereich, ein Diensttag oder eine Anwendungssicherheitsgruppe ein, um die Anzahl der erforderlichen Sicherheitsregeln zu verringern. Erweiterte Sicherheitsregeln ermöglichen das Angeben mehrerer einzelner IP-Adressen und Bereiche in einer einzigen Regel. Sie können jedoch nicht mehrere Diensttags oder Anwendungsgruppen in einer einzigen Regel angeben. Erweiterte Sicherheitsregeln sind nur in Netzwerksicherheitsgruppen verfügbar, die über das Ressourcen-Manager-Bereitstellungsmodell erstellt wurden. Im klassischen Bereitstellungsmodell können mehrere IP-Adressen und Bereiche nicht in einer einzigen Regel angegeben werden. Wenn die Quelle z. B. Subnetz 10.0.1.0/24 ist (wobei VM1 sich befindet) und das Ziel Subnetz 10.0.2.0/24 ist (wobei SICH VM2 befindet), filtert die Netzwerksicherheitsgruppe datenverkehr für VM2. Dieses Verhalten tritt auf, da die NSG der Netzwerkschnittstelle von VM2 zugeordnet ist. |
| Protokoll | TCP, UDP, ICMP, ESP, AH oder Any (Beliebig). Die ESP- und AH-Protokolle sind derzeit nicht über das Azure-Portal verfügbar, können aber über ARM-Vorlagen verwendet werden. |
| Direction | Gibt an, ob die Regel für eingehenden oder ausgehenden Datenverkehr gilt. |
| Portbereich | Sie können einen einzelnen Port oder einen bestimmten Portbereich angeben. Sie können beispielsweise 80 oder 10000-10005 angeben; oder für eine Mischung aus einzelnen Ports und Bereichen können Sie sie durch Kommas trennen, z. B. 80, 10000-10005. Durch die Angabe von Bereichen und Kommastrennung können Sie weniger Sicherheitsregeln erstellen. Ergänzte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die mit dem Resource Manager-Bereitstellungsmodell erstellt wurden. In Netzwerksicherheitsgruppen, die mit dem klassischen Bereitstellungsmodell erstellt wurden, können Sie in derselben Sicherheitsregel nicht mehrere Ports oder Portbereiche angeben. |
| Aktion | Erlauben oder verweigern Sie den angegebenen Datenverkehr. |
Sicherheitsregeln werden basierend auf den fünf Tupelinformationen der Quelle, des Quellports, des Ziels, des Zielports und des Protokolls ausgewertet und angewendet. Sie können keine zwei Sicherheitsregeln mit gleicher Priorität und Richtung erstellen. Zwei Sicherheitsregeln mit der gleichen Priorität und Richtung können einen Konflikt in der Art und Weise, wie das System den Datenverkehr verarbeitet, verursachen. Für vorhandene Verbindungen wird ein Flussdatensatz erstellt. Die Kommunikation wird basierend auf dem Verbindungszustand der Flussdatensätze zugelassen oder verweigert. Der Flussdatensatz ermöglicht es, dass eine Netzwerksicherheitsgruppe zustandsbehaftet ist. Wenn Sie beispielsweise eine Sicherheitsregel für Datenverkehr in ausgehender Richtung an eine beliebige Adresse über Port 80 angeben, ist es nicht erforderlich, für die Antwort auf den ausgehenden Datenverkehr eine Sicherheitsregel für Datenverkehr in eingehender Richtung anzugeben. Sie müssen nur dann eine Sicherheitsregel für Datenverkehr in eingehender Richtung angeben, wenn die Kommunikation extern initiiert wird. Das Gegenteil ist wahr. Wenn eingehender Datenverkehr über einen Port zugelassen wird, ist es nicht erforderlich, für die Beantwortung des Datenverkehrs über den Port eine Sicherheitsregel für Datenverkehr in ausgehender Richtung anzugeben.
Wenn Sie eine Sicherheitsregel entfernen, die eine Verbindung zugelassen hat, bleiben vorhandene Verbindungen unterbrechungsfrei. Regeln für Netzwerksicherheitsgruppen wirken sich nur auf neue Verbindungen aus. Neue oder aktualisierte Regeln in einer Netzwerksicherheitsgruppe gelten ausschließlich für neue Verbindungen, sodass vorhandene Verbindungen von den Änderungen nicht betroffen sind. Wenn Sie beispielsweise über eine aktive SSH-Sitzung auf einem virtuellen Computer verfügen und dann die Sicherheitsregel entfernen, die diesen SSH-Datenverkehr zulässt, bleibt Ihre aktuelle SSH-Sitzung verbunden und funktionsfähig. Wenn Sie jedoch versuchen, nach dem Entfernen der Sicherheitsregel eine neue SSH-Verbindung herzustellen, wird dieser neue Verbindungsversuch blockiert.
Es gibt Grenzwerte für die Anzahl der Sicherheitsregeln, die Sie in einer Netzwerksicherheitsgruppe und anderen Eigenschaften der Netzwerksicherheitsgruppe erstellen können. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.
Standardsicherheitsregeln
Azure erstellt in jeder von Ihnen erstellten Netzwerksicherheitsgruppe die folgenden Standardregeln:
Eingehend
AllowVNetInBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0 - 65535 | VirtualNetwork | 0 - 65535 | Beliebig | Allow |
AllowAzureLoadBalancerInBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65001 | Azure-Lastenausgleicher | 0 - 65535 | 0.0.0.0/0 | 0 - 65535 | Beliebig | Allow |
DenyAllInbound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0 - 65535 | 0.0.0.0/0 | 0 - 65535 | Beliebig | Verweigern |
Ausgehend
AllowVnetOutBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0 - 65535 | VirtualNetwork | 0 - 65535 | Beliebig | Allow |
AllowInternetOutBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0 - 65535 | Internet | 0 - 65535 | Beliebig | Allow |
DenyAllOutBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0 - 65535 | 0.0.0.0/0 | 0 - 65535 | Beliebig | Verweigern |
In den Spalten "Quelle " und "Ziel ", "VirtualNetwork", "AzureLoadBalancer" und "Internet " handelt es sich nicht um IP-Adressen, sondern um Diensttags . In der Spalte "Protokoll" umfasst Any TCP, UDP und ICMP. Beim Erstellen einer Regel können Sie TCP, UDP, ICMP oder Any angeben. 0.0.0.0/0 in den Spalten Quelle und Ziel stellt alle IP-Adressen dar. Clients wie das Azure-Portal, azure CLI oder PowerShell können * oder Any für diesen Ausdruck verwenden.
Sie können die Standardregeln nicht entfernen, aber Sie können sie außer Kraft setzen, indem Sie Regeln mit höheren Prioritäten erstellen.
Ergänzte Sicherheitsregeln
Erweiterte Sicherheitsregeln vereinfachen die Sicherheitsdefinition für virtuelle Netzwerke, sodass Sie größere und komplexe Netzwerksicherheitsrichtlinien mit weniger Regeln definieren können. Sie können mehrere Ports und mehrere explizite IP-Adressen und Bereiche zu einer einzelnen Sicherheitsregel zusammenfassen, die leicht verständlich ist. Verwenden Sie ergänzte Regeln in den Feldern für die Quelle, das Ziel und den Port einer Regel. Kombinieren Sie ergänzte Sicherheitsregeln mit Diensttags oder Anwendungssicherheitsgruppen, um die Wartung Ihrer Sicherheitsregeldefinition zu vereinfachen. Es gibt Grenzwerte für die Anzahl der Adressen, Bereiche und Ports, die Sie in einer Sicherheitsregel angeben können. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.
Diensttags
Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts. Sie trägt dazu bei, die Komplexität häufiger Updates für Netzwerksicherheitsregeln zu minimieren.
Weitere Informationen finden Sie unter Azure-Diensttags. Ein Beispiel für die Verwendung des Speicherdiensttags, um den Netzwerkzugriff einzuschränken, finden Sie unter Einschränken des Netzwerkzugriffs auf PaaS-Ressourcen.
Anwendungssicherheitsgruppen
Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen.
Sicherheitsadministratorregeln
Sicherheitsadministratorregeln sind globale Netzwerksicherheitsregeln, die Sicherheitsrichtlinien in virtuellen Netzwerken erzwingen. Sicherheitsadministratorregeln stammen aus Azure Virtual Network Manager, einem Verwaltungsdienst, mit dem Netzwerkadministratoren virtuelle Netzwerke global über Abonnements gruppieren, konfigurieren, bereitstellen und verwalten können.
Sicherheitsadministratorregeln haben immer eine höhere Priorität als Netzwerksicherheitsgruppenregeln und werden daher zuerst ausgewertet. Sicherheitsadministrationsregeln des Typs „Zulassen“ werden weiterhin für die Auswertung verwendet, indem die Regeln für Netzwerksicherheitsgruppen abgeglichen werden. Die Sicherheitsadministrationsregeln „Immer zulassen“ und „Verweigern“ beenden jedoch die Datenverkehrsauswertung, nachdem die Sicherheitsadministrationsregel verarbeitet wurde. Die Sicherheitsadministrationsregeln „Immer zulassen“ senden Datenverkehr direkt an die Ressource und umgehen potenziell widersprüchliche Regeln für Netzwerksicherheitsgruppen. "Deny"-Sicherheitsrichtlinien blockieren den Datenverkehr, ohne ihn an das Ziel weiterzuleiten. Diese Regeln erzwingen die grundlegende Sicherheitsrichtlinie ohne Risiko von Netzwerksicherheitsgruppenkonflikten, Fehlkonfigurationen oder Einführung von Sicherheitslücken. Diese Aktionstypen für Sicherheitsadministrationsregeln können hilfreich sein, um die Datenverkehrsübermittlung zu erzwingen und widersprüchliches oder unbeabsichtigtes Verhalten durch nachgeschaltete Regeln für Netzwerksicherheitsgruppen zu verhindern.
Dieses Verhalten ist wichtig zu verstehen, da Datenverkehr, der den Sicherheitsadministratorregeln mit Aktionstypen "Immer erlauben" oder "Verweigern" entspricht, nicht zur weiteren Auswertung die Regeln der Netzwerksicherheitsgruppen erreicht. Weitere Informationen finden Sie unter "Sicherheitsadministratorregeln".
Flow-Timeout
Von Bedeutung
Die Ablaufprotokolle der Netzwerksicherheitsgruppe (Network Security Group, NSG) werden am 30. September 2027 eingestellt. Nach dem 30. Juni 2025 können Sie keine neuen NSG-Flussprotokolle mehr erstellen. Es wird empfohlen, zu virtuellen Netzwerkflussprotokollen zu migrieren, die die Einschränkungen von NSG-Flussprotokollen beheben. Nach dem Ausmusterungsdatum werden die für NSG-Flussprotokolle aktivierten Verkehrsanalysefunktionen nicht mehr unterstützt, und vorhandene NSG-Flussprotokollressourcen in Ihren Abonnements werden gelöscht. Vorhandene NSG-Ablaufprotokolldatensätze werden jedoch nicht aus Azure Storage gelöscht und folgen weiterhin ihren konfigurierten Aufbewahrungsrichtlinien. Weitere Informationen finden Sie in der offiziellen Ankündigung.
Flow-Timeouteinstellungen bestimmen, wie lange ein Ablaufdatensatz vor ablaufend aktiv bleibt. Sie können diese Einstellung über das Azure-Portal oder über die Befehlszeile konfigurieren. Weitere Informationen finden Sie in der Übersicht über NSG-Ablaufprotokolle.
Aspekte der Azure Platform
Virtuelle IP des Hostknotens: Grundlegende Infrastrukturdienste wie DHCP, DNS, IMDS und die Systemüberwachung werden über die virtualisierten Host-IP-Adressen 168.63.129.16 und 169.254.169.254 bereitgestellt. Diese IP-Adressen gehören Microsoft und sind die einzigen virtuellen IP-Adressen, die in allen Regionen zu diesem Zweck verwendet werden. Standardmäßig unterliegen diese Dienste nicht den konfigurierten Netzwerksicherheitsgruppen, es sei denn, es sind Diensttags, die für jeden Dienst spezifisch sind. Um diese grundlegende Infrastrukturkommunikation außer Kraft zu setzen, können Sie mithilfe der folgenden Diensttags in Ihren Regeln für die Netzwerksicherheitsgruppe eine Sicherheitsregel erstellen, die den Datenverkehr verweigert: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Weitere Informationen zum Diagnostizieren von Problemen mit der Netzwerkfilterung und zum Diagnostizieren von Problemen mit dem Netzwerkrouting
Lizenzierung (Schlüsselverwaltungsdienst): Die auf virtuellen Computern ausgeführten Windows-Images müssen lizenziert werden. Um die Lizenzierung sicherzustellen, sendet das System eine Anforderung an die Key Management Service-Hostserver, die solche Abfragen verarbeiten. Die Anforderung wird in ausgehender Richtung über Port 1688 gesendet. Für Bereitstellungen mit der Standardkonfiguration "Route 0.0.0.0/0" ist diese Plattformregel deaktiviert.
Virtuelle Computer in Pools mit Lastenausgleich: Der angewendete Quellport und -adressbereich stammen vom Ausgangscomputer, nicht vom Lastenausgleich. Der Zielport und -adressbereich sind für den Zielcomputer bestimmt, nicht für den Lastenausgleich.
Azure-Dienstinstanzen: Instanzen mehrerer Azure-Dienste, z. B. HDInsight, Anwendungsdienstumgebungen und Skalierungsgruppen für virtuelle Computer, werden in virtuellen Netzwerksubnetzen bereitgestellt. Sehen Sie sich eine vollständige Liste der Dienste an, die Sie in virtuellen Netzwerken bereitstellen können. Machen Sie sich auf jeden Fall mit den Portanforderungen für die einzelnen Dienste vertraut, bevor Sie eine Netzwerksicherheitsgruppe auf das Subnetz anwenden. Wenn Sie die vom Dienst erforderlichen Ports verweigern, funktioniert der Dienst nicht ordnungsgemäß.
Senden von E-Mails in ausgehender Richtung: Microsoft empfiehlt die Nutzung von authentifizierten SMTP-Relaydiensten (normalerweise über TCP-Port 587 verbunden, aber auch über andere Ports), um E-Mails von Azure Virtual Machines zu senden. SMTP-Relaydienste sind auf absenderreputation spezialisiert, um die Möglichkeit zu minimieren, dass Partner-E-Mail-Anbieter Nachrichten ablehnen. Zu diesen SMTP-Relaydiensten gehören u. a. auch Exchange Online Protection und SendGrid. Die Nutzung von SMTP-Relaydiensten ist in Azure unabhängig von Ihrem Abonnementtyp auf keinerlei Weise eingeschränkt.
Wenn Sie Ihr Azure-Abonnement vor dem 15. November 2017 erstellt haben, können Sie zusätzlich zu den SMTP-Relay-Diensten E-Mails direkt über TCP-Port 25 senden. Wenn Sie Ihr Abonnement nach dem 15. November 2017 erstellt haben, können Sie möglicherweise keine E-Mails direkt über Port 25 senden. Das Verhalten der ausgehenden Kommunikation über Port 25 hängt wie folgt vom Typ Ihres Abonnements ab:
Enterprise Agreement: Für VMs, die in Standardabonnements für Enterprise Agreement bereitgestellt werden, werden die ausgehenden SMTP-Verbindungen auf TCP-Port 25 nicht blockiert. Es gibt jedoch keine Garantie, dass externe Domänen die eingehenden E-Mails von den virtuellen Computern akzeptieren. Wenn externe Domänen E-Mails ablehnen oder filtern, wenden Sie sich an die E-Mail-Dienstanbieter der externen Domänen, um die Probleme zu beheben. Diese Probleme werden vom Azure-Support nicht abgedeckt.
Für Enterprise Dev/Test-Abonnements ist Port 25 standardmäßig blockiert. Diese Blockierung kann aufgehoben werden. Zum Anfordern der Aufhebung der Blockierung navigieren Sie im Azure-Portal zum Abschnitt E-Mail kann nicht gesendet werden (SMTP-Port 25) der Einstellungsseite Diagnose und Problembehandlung für eine Azure Virtual Network-Ressource, und führen Sie die Diagnose aus. Bei diesem Verfahren werden die qualifizierten Enterprise-Entwickler-/Testabonnements automatisch ausgenommen.
Nachdem das Abonnement von dieser Blockierung ausgenommen wurde und die virtuellen Computer beendet und neu gestartet wurden, sind ab sofort alle virtuellen Computer in diesem Abonnement ausgenommen. Die Ausnahme gilt nur für das angeforderte Abonnement und nur für VM-Datenverkehr, der direkt an das Internet weitergeleitet wird.
Nutzungsbasierte Bezahlung: Die Kommunikation in ausgehender Richtung über Port 25 wird für alle Ressourcen blockiert. Es können keine Anforderungen zum Aufheben der Einschränkung gestellt werden, da die Anforderungen nicht gewährt werden. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.
MSDN, Azure Pass, Azure in Open, Education und kostenlose Testversion: Ausgehende Kommunikation über Port 25 wird von allen Ressourcen blockiert. Es können keine Anforderungen zum Aufheben der Einschränkung gestellt werden, da die Anforderungen nicht gewährt werden. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.
Clouddienstanbieter: Die ausgehende Port-25-Kommunikation wird von allen Ressourcen blockiert. Es können keine Anforderungen zum Aufheben der Einschränkung gestellt werden, da die Anforderungen nicht gewährt werden. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.
Nächste Schritte
Erfahren Sie, welche Azure-Ressourcen Sie in einem virtuellen Netzwerk bereitstellen können. Informationen dazu, wie Netzwerksicherheitsgruppen ihnen zugeordnet werden können, finden Sie unter "Virtuelle Netzwerkintegration für Azure-Dienste ".
Informationen dazu, wie Netzwerksicherheitsgruppen Datenverkehr auswerten, finden Sie unter Funktionsweise von Netzwerksicherheitsgruppen.
Erstellen Sie eine Netzwerksicherheitsgruppe, indem Sie diesem schnellen Lernprogramm folgen.
Wenn Sie sich mit Netzwerksicherheitsgruppen auskennen und diese verwalten müssen, finden Sie unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe weitere Informationen.
Wenn Kommunikationsschwierigkeiten auftreten und Sie Probleme mit Netzwerksicherheitsgruppen beheben müssen, finden Sie unter Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers weitere Informationen.
Erfahren Sie, wie Sie virtuelle Netzwerkflussprotokolle aktivieren, um den Netzwerkdatenverkehr zu analysieren, der über ein virtuelles Netzwerk fließt, das einer zugeordneten Netzwerksicherheitsgruppe entsprechen kann.