Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können eine Azure-Netzwerksicherheitsgruppe verwenden, um Netzwerkdatenverkehr zwischen Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr an verschiedene Typen von Azure-Ressourcen oder ausgehenden Netzwerkdatenverkehr von diesen zulassen oder verweigern. Für jede Regel können Sie die Quelle, das Ziel, den Port und das Protokoll angeben.
In diesem Artikel werden die Eigenschaften einer Netzwerksicherheitsgruppenregel und die von Azure angewendeten Standardsicherheitsregeln erläutert. Außerdem wird beschrieben, wie Regeleigenschaften geändert werden, um eine erweiterte Sicherheitsregel zu erstellen.
Sicherheitsregeln
Eine Netzwerksicherheitsgruppe kann – innerhalb der Grenzwerte des Azure-Abonnements – beliebig viele Regeln enthalten. Für jede Regel werden die folgenden Eigenschaften angegeben:
| Eigenschaft | Erklärung |
|---|---|
| Name | Ein eindeutiger Name in der Netzwerksicherheitsgruppe. Der Name kann bis zu 80 Zeichen lang sein. Es muss mit einem Wortzeichen beginnen und mit einem Wortzeichen oder mit _ enden. Der Name kann Buchstaben oder ., -, \_ enthalten. |
| Priorität | Eine Zahl zwischen 100 und 4.096. Regeln werden in der Reihenfolge ihrer Priorität verarbeitet. Regeln mit niedrigeren Zahlen werden vor Regeln mit höheren Zahlen verarbeitet, weil die Priorität für niedrigere Zahlen höher ist. Nachdem sich für den Datenverkehr eine Übereinstimmung mit einer Regel ergibt, wird die Verarbeitung angehalten. Daher werden alle Regeln, die mit niedrigeren Prioritäten (höheren Zahlen) vorhanden sind, mit denselben Attributen wie Regeln mit höheren Prioritäten nicht verarbeitet. Azure-Standardsicherheitsregeln erhalten die höchste Zahl mit der niedrigsten Priorität, um sicherzustellen, dass benutzerdefinierte Regeln immer zuerst verarbeitet werden. |
| Quelle oder Ziel | Sie können Any, eine einzelne IP-Adresse, einen CIDR-Block (z. B. 10.0.0.0/24), ein Diensttag oder eine Anwendungssicherheitsgruppe angeben. Verwenden Sie für Azure-Ressourcen die private IP-Adresse, die der Ressource zugewiesen ist. Netzwerksicherheitsgruppen verarbeiten Datenverkehr, nachdem Azure öffentliche IP-Adressen für eingehenden Datenverkehr in private IP-Adressen übersetzt hat. Sie verarbeiten Datenverkehr, bevor private IP-Adressen für ausgehenden Datenverkehr in öffentliche IP-Adressen übersetzt werden. Geben Sie einen Bereich, ein Diensttag oder eine Anwendungssicherheitsgruppe ein, um die Anzahl der erforderlichen Sicherheitsregeln zu verringern. Erweiterte Sicherheitsregeln ermöglichen das Angeben mehrerer einzelner IP-Adressen und Bereiche in einer einzigen Regel. Sie können jedoch nicht mehrere Diensttags oder Anwendungsgruppen in einer einzigen Regel angeben. Erweiterte Sicherheitsregeln sind nur in Netzwerksicherheitsgruppen verfügbar, die über das Ressourcen-Manager-Bereitstellungsmodell erstellt wurden. Im klassischen Bereitstellungsmodell können mehrere IP-Adressen und Bereiche nicht in einer einzigen Regel angegeben werden.
Wenn die Quelle Subnetz 10.0.1.0/24 (wo sich VM1 befindet) ist und das Ziel Subnetz 10.0.2.0/24 ist (wo sich VM2 befindet), filtert der Netzwerksicherheitsgruppendatenverkehr für VM2. Dieses Verhalten tritt auf, da die NSG der Netzwerkschnittstelle von VM2 zugeordnet ist. |
| Protokoll | TCP, UDP, ICMP, ESP, AH oder Any (Beliebig). Die ESP- und AH-Protokolle sind derzeit nicht über das Azure-Portal verfügbar, können aber über ARM-Vorlagen verwendet werden. |
| Richtung | Gibt an, ob die Regel für ein- oder ausgehenden Datenverkehr gilt. |
| Portbereich | Sie können einen einzelnen Port oder einen Bereich mit Ports angeben. Mögliche Angaben sind beispielsweise „80“ oder „10.000 - 10.005“. Das Angeben von Bereichen ermöglicht Ihnen die Erstellung von weniger Sicherheitsregeln. Ergänzte Sicherheitsregeln können nur in Netzwerksicherheitsgruppen erstellt werden, die mit dem Resource Manager-Bereitstellungsmodell erstellt wurden. In Netzwerksicherheitsgruppen, die mit dem klassischen Bereitstellungsmodell erstellt wurden, können Sie in derselben Sicherheitsregel nicht mehrere Ports oder Portbereiche angeben. |
| Aktion | Zulassen oder Verweigern |
Sicherheitsregeln werden ausgewertet und basierend auf den Informationen zu fünf Tupeln (Quelle, Quellport, Zielport, Zielport und Protokoll) angewendet. Sie können keine zwei Sicherheitsregeln mit gleicher Priorität und Richtung erstellen. Für vorhandene Verbindungen wird ein Flussdatensatz erstellt. Die Kommunikation wird basierend auf dem Verbindungszustand der Flussdatensätze zugelassen oder verweigert. Der Flussdatensatz ermöglicht es, dass eine Netzwerksicherheitsgruppe zustandsbehaftet ist. Wenn Sie beispielsweise eine Sicherheitsregel für Datenverkehr in ausgehender Richtung an eine beliebige Adresse über Port 80 angeben, ist es nicht erforderlich, für die Antwort auf den ausgehenden Datenverkehr eine Sicherheitsregel für Datenverkehr in eingehender Richtung anzugeben. Sie müssen nur dann eine Sicherheitsregel für Datenverkehr in eingehender Richtung angeben, wenn die Kommunikation extern initiiert wird. Dies gilt auch für den umgekehrten Fall. Wenn eingehender Datenverkehr über einen Port zugelassen wird, ist es nicht erforderlich, für die Beantwortung des Datenverkehrs über den Port eine Sicherheitsregel für Datenverkehr in ausgehender Richtung anzugeben.
Wenn Sie eine Sicherheitsregel entfernen, die eine Verbindung zugelassen hat, bleiben vorhandene Verbindungen unterbrechungsfrei. Regeln für Netzwerksicherheitsgruppen wirken sich nur auf neue Verbindungen aus. Neue oder aktualisierte Regeln in einer Netzwerksicherheitsgruppe gelten ausschließlich für neue Verbindungen, sodass vorhandene Verbindungen von den Änderungen nicht betroffen sind.
Es gibt Beschränkungen für die Anzahl von Sicherheitsregeln, die Sie in einer Netzwerksicherheitsgruppe erstellen können. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.
Standardsicherheitsregeln
Azure erstellt in jeder von Ihnen erstellten Netzwerksicherheitsgruppe die folgenden Standardregeln:
Eingehend
AllowVNetInBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0 - 65535 | VirtualNetwork | 0 - 65535 | Beliebig | Erlauben |
AllowAzureLoadBalancerInBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65001 | Azure-Lastenausgleicher | 0 - 65535 | 0.0.0.0/0 | 0 - 65535 | Beliebig | Erlauben |
DenyAllInbound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0 - 65535 | 0.0.0.0/0 | 0 - 65535 | Beliebig | Verweigern |
Ausgehend
AllowVnetOutBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65000 | VirtualNetwork | 0 - 65535 | VirtualNetwork | 0 - 65535 | Beliebig | Erlauben |
AllowInternetOutBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65001 | 0.0.0.0/0 | 0 - 65535 | Internet | 0 - 65535 | Beliebig | Erlauben |
DenyAllOutBound
| Priorität | `Source` | Quellports | Bestimmungsort | Zielports | Protokoll | Zugriff |
|---|---|---|---|---|---|---|
| 65500 | 0.0.0.0/0 | 0 - 65535 | 0.0.0.0/0 | 0 - 65535 | Beliebig | Verweigern |
In den Spalten Quelle und Ziel handelt es sich bei VirtualNetwork, AzureLoadBalancer und Internet um Diensttags und nicht um IP-Adressen. In der Protokollspalte steht Beliebig für TCP, UDP und ICMP. Beim Erstellen einer Regel können Sie „TCP“, „UDP“, „ICMP“ oder „Beliebig“ angeben. 0.0.0.0/0 in den Spalten Quelle und Ziel steht für alle Adressen. Clients wie Azure-Portal, Azure-Befehlszeilenschnittstelle oder PowerShell können „*“ oder „any“ für diesen Ausdruck verwenden.
Sie können die Standardregeln nicht entfernen, aber Sie können sie außer Kraft setzen, indem Sie Regeln mit höheren Prioritäten erstellen.
Ergänzte Sicherheitsregeln
Mit ergänzten Sicherheitsregeln wird die Sicherheitsdefinition für virtuelle Netzwerke vereinfacht, da Sie umfangreichere und komplexe Netzwerksicherheitsregeln mit weniger Regeln definieren können. Sie können mehrere Ports und mehrere explizite IP-Adressen und Bereiche zu einer einzelnen Sicherheitsregel zusammenfassen, die leicht verständlich ist. Verwenden Sie ergänzte Regeln in den Feldern für die Quelle, das Ziel und den Port einer Regel. Kombinieren Sie ergänzte Sicherheitsregeln mit Diensttags oder Anwendungssicherheitsgruppen, um die Wartung Ihrer Sicherheitsregeldefinition zu vereinfachen. Es gibt Beschränkungen für die Anzahl von Adressen, Bereichen und Ports, die Sie in einer Regel angeben können. Ausführliche Informationen finden Sie im Artikel zu den Einschränkungen für Azure-Abonnements.
Diensttags
Ein Diensttag steht für eine Gruppe von IP-Adresspräfixen eines bestimmten Azure-Diensts. Mit Diensttags kann die Komplexität häufiger Aktualisierungen von Netzwerksicherheitsregeln verringert werden.
Weitere Informationen finden Sie unter Azure-Diensttags. Ein Beispiel für die Verwendung des Speicherdiensttags, um den Netzwerkzugriff einzuschränken, finden Sie unter Einschränken des Netzwerkzugriffs auf PaaS-Ressourcen.
Anwendungssicherheitsgruppen
Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen.
Flow-Timeout
Flow-Timeouteinstellungen bestimmen, wie lange ein Ablaufdatensatz vor ablaufend aktiv bleibt. Sie können diese Einstellung über das Azure-Portal oder über die Befehlszeile konfigurieren. Weitere Details finden Sie in der Übersicht über NSG-Ablaufprotokolle.
Aspekte der Azure Platform
Virtuelle IP des Hostknotens: Grundlegende Infrastrukturdienste wie DHCP, DNS, IMDS und die Systemüberwachung werden über die virtualisierten Host-IP-Adressen 168.63.129.16 und 169.254.169.254 bereitgestellt. Diese IP-Adressen gehören Microsoft und sind die einzigen virtuellen IP-Adressen, die in allen Regionen zu diesem Zweck verwendet werden. Standardmäßig unterliegen diese Dienste nicht den konfigurierten Netzwerksicherheitsgruppen, es sei denn, es sind Diensttags, die für jeden Dienst spezifisch sind. Zum Überschreiben dieser grundlegenden Infrastrukturkommunikation können Sie eine Sicherheitsregel erstellen, um Datenverkehr mithilfe der folgenden Diensttags abzulehnen, die in den Regeln Ihrer Netzwerksicherheitsgruppen verwendet werden: AzurePlatformDNS, AzurePlatformIMDS und AzurePlatformLKM. Weitere Informationen zum Diagnostizieren von Problemen mit der Netzwerkfilterung und zum Diagnostizieren von Problemen mit dem Netzwerkrouting
Lizenzierung (Key Management Service) : Die auf VMs ausgeführten Windows-Images müssen lizenziert werden. Zum Sicherstellen der Lizenzierung wird eine entsprechende Anforderung an die Hostserver des Schlüsselverwaltungsdiensts gesendet, die solche Abfragen verarbeiten. Die Anforderung wird in ausgehender Richtung über Port 1688 gesendet. Für Bereitstellungen mit der Standardkonfiguration "Route 0.0.0.0/0" ist diese Plattformregel deaktiviert.
VMs in Pools mit Lastenausgleich: Der angewendete Quellport und -adressbereich stammen vom Ausgangscomputer, nicht vom Lastenausgleich. Der Zielport und -adressbereich sind für den Zielcomputer bestimmt, nicht für den Lastenausgleich.
Azure-Dienstinstanzen: Instanzen mehrerer Azure-Dienste (z. B. HDInsight, App Service-Umgebungen und Virtual Machine Scale Sets) werden in Subnetzen des virtuellen Netzwerks bereitgestellt. Eine vollständige Liste mit den Diensten, die Sie in virtuellen Netzwerken bereitstellen können, finden Sie unter Virtuelles Netzwerk für Azure-Dienste. Machen Sie sich auf jeden Fall mit den Portanforderungen für die einzelnen Dienste vertraut, bevor Sie eine Netzwerksicherheitsgruppe auf das Subnetz anwenden. Wenn Sie die vom Dienst erforderlichen Ports verweigern, funktioniert der Dienst nicht ordnungsgemäß.
Senden von E-Mails in ausgehender Richtung: Microsoft empfiehlt die Nutzung von authentifizierten SMTP-Relaydiensten (normalerweise über TCP-Port 587 verbunden, aber auch über andere Ports), um E-Mails von Azure Virtual Machines zu senden. SMTP-Relaydienste sind auf absenderreputation spezialisiert, um die Möglichkeit zu minimieren, dass Partner-E-Mail-Anbieter Nachrichten ablehnen. Zu diesen SMTP-Relaydiensten gehören u. a. auch Exchange Online Protection und SendGrid. Die Nutzung von SMTP-Relaydiensten ist in Azure unabhängig von Ihrem Abonnementtyp auf keinerlei Weise eingeschränkt.
Wenn Sie Ihr Azure-Abonnement vor dem 15. November 2017 erstellt haben, können Sie zusätzlich zu den SMTP-Relay-Diensten E-Mails direkt über TCP-Port 25 senden. Wenn Sie Ihr Abonnement nach dem 15. November 2017 erstellt haben, können Sie möglicherweise keine E-Mails direkt über Port 25 senden. Das Verhalten der ausgehenden Kommunikation über Port 25 hängt wie folgt vom Typ Ihres Abonnements ab:
Enterprise Agreement: Für VMs, die in Standardabonnements für Enterprise Agreement bereitgestellt werden, werden die ausgehenden SMTP-Verbindungen auf TCP-Port 25 nicht blockiert. Es gibt jedoch keine Garantie, dass externe Domänen die eingehenden E-Mails von den virtuellen Computern akzeptieren. Wenn externe Domänen E-Mails ablehnen oder filtern, wenden Sie sich an die E-Mail-Dienstanbieter der externen Domänen, um die Probleme zu beheben. Diese Probleme werden vom Azure-Support nicht abgedeckt.
Für Enterprise Dev/Test-Abonnements ist Port 25 standardmäßig blockiert. Diese Blockierung kann aufgehoben werden. Zum Anfordern der Aufhebung der Blockierung navigieren Sie im Azure-Portal zum Abschnitt E-Mail kann nicht gesendet werden (SMTP-Port 25) der Einstellungsseite Diagnose und Problembehandlung für eine Azure Virtual Network-Ressource, und führen Sie die Diagnose aus. Bei diesem Verfahren werden die qualifizierten Enterprise-Entwickler-/Testabonnements automatisch ausgenommen.
Nachdem das Abonnement von dieser Blockierung ausgenommen wurde und die virtuellen Computer beendet und neu gestartet wurden, sind ab sofort alle virtuellen Computer in diesem Abonnement ausgenommen. Die Ausnahme gilt nur für das angeforderte Abonnement und ausschließlich für VM-Datenverkehr, der direkt an das Internet weitergeleitet wird.
Nutzungsbasierte Bezahlung: Die Kommunikation in ausgehender Richtung über Port 25 wird für alle Ressourcen blockiert. Es können keine Anfragen zur Beseitigung der Einschränkungen gesendet werden, da keine Ausnahmen gewährt werden. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.
MSDN, Azure Pass, Azure in Open, Education und kostenlose Testversion: Die Kommunikation in ausgehender Richtung über Port 25 wird für alle Ressourcen blockiert. Es können keine Anfragen zur Beseitigung der Einschränkungen gesendet werden, da keine Ausnahmen gewährt werden. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.
Clouddienstanbieter: Die ausgehende Port-25-Kommunikation wird von allen Ressourcen blockiert. Es können keine Anfragen zur Beseitigung der Einschränkungen gesendet werden, da keine Ausnahmen gewährt werden. Wenn Sie über Ihren virtuellen Computer E-Mails senden müssen, müssen Sie einen SMTP-Relaydienst verwenden.
Nächste Schritte
Erfahren Sie, welche Azure-Ressourcen in einem virtuellen Netzwerk bereitgestellt werden können. Informationen dazu, wie Netzwerksicherheitsgruppen ihnen zugeordnet werden können, finden Sie unter "Virtuelle Netzwerkintegration für Azure-Dienste ".
Informationen zum Auswerten des Datenverkehrs mit Netzwerksicherheitsgruppen finden Sie unter Filtern von Netzwerkdatenverkehr mit Netzwerksicherheitsgruppen.
Erstellen Sie eine Netzwerksicherheitsgruppe, indem Sie diesem schnellen Lernprogramm folgen.
Wenn Sie sich mit Netzwerksicherheitsgruppen auskennen und diese verwalten müssen, finden Sie unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe weitere Informationen.
Wenn Kommunikationsschwierigkeiten auftreten und Sie Probleme mit Netzwerksicherheitsgruppen beheben müssen, finden Sie unter Diagnostizieren von Problemen mit dem Filter für Netzwerkdatenverkehr eines virtuellen Computers weitere Informationen.
Informieren Sie sich über die Aktivierung von Netzwerksicherheitsgruppen-Flussprotokollen zum Analysieren des Netzwerkdatenverkehrs zu und von Ressourcen, denen eine Netzwerksicherheitsgruppe zugeordnet ist.