Bestimmen der Regeln für Netzwerksicherheitsgruppen

  • 4 Minuten

Mit Sicherheitsregeln in Netzwerksicherheitsgruppen können Sie Netzwerkdatenverkehr filtern. Sie können Regeln definieren, um den Datenverkehrsfluss in und aus virtuellen Netzwerksubnetzen und Netzwerkschnittstellen zu steuern.

Wissenswertes zu Sicherheitsregeln

Sehen wir uns die Merkmale von Sicherheitsregeln in Netzwerksicherheitsgruppen an.

  • Azure erstellt mehrere Standardsicherheitsregeln innerhalb jeder Netzwerksicherheitsgruppe, einschließlich eingehendem und ausgehendem Datenverkehr. Beispiele für Standardregeln sind DenyAllInbound Datenverkehr und AllowInternetOutbound Datenverkehr.

  • Azure erstellt in jeder von Ihnen erstellten Netzwerksicherheitsgruppe Standardsicherheitsregeln.

  • Sie können einer Netzwerksicherheitsgruppe weitere Sicherheitsregeln hinzufügen, indem Sie Bedingungen angeben. Hier ist eine Liste der am häufigsten verwendeten Bedingungen.

    Konfiguration Wert
    Quelle Beliebig, IP-Adressen, Meine IP-Adresse, Diensttag oder Anwendungssicherheitsgruppe
    Quellportbereiche Geben Sie die Ports an, für die eine Regel den Datenverkehr erlaubt oder verweigert.
    Bestimmungsort Beliebig, IP-Adressen, Diensttag oder Anwendungssicherheitsgruppe
    Protokoll Beschränken Sie die Regel auf das Transmission Control Protocol (TCP), das User Datagram Protocol (UDP) oder das Internet Control Message Protocol (ICMP). Der Standardwert ist, dass die Regel auf alle Protokolle (Any) angewendet wird.
    Maßnahme Zulassen oder Ablehnen
    Priorität Ein Wert von 100 bis 4,096, der für alle Sicherheitsregeln innerhalb der NSG eindeutig ist

  • Jeder Sicherheitsregel wird ein Prioritätswert zugewiesen. Alle Sicherheitsregeln für eine Netzwerksicherheitsgruppe werden in der Reihenfolge der Priorität verarbeitet. Wenn eine Regel über einen niedrigen Prioritätswert verfügt, hat die Regel bei der Auftragsverarbeitung eine höhere Priorität oder Rangordnung.

  • Sie können die Standardsicherheitsregeln nicht entfernen.

  • Sie können eine Standardsicherheitsregel außer Kraft setzen, indem Sie eine weitere Sicherheitsregel erstellen, die eine höhere Prioritätseinstellung für die Netzwerksicherheitsgruppe aufweist.

Regeln für eingehenden Datenverkehr

Azure definiert drei Standardsicherheitsregeln für eingehenden Datenverkehr für die Netzwerksicherheitsgruppe. Durch die Regeln wird der gesamte eingehende Datenverkehr abgelehnt. Davon ausgenommen ist der Datenverkehr aus dem virtuellen Netzwerk und von Azure Load Balancer. Die nächste Abbildung zeigt die standardmäßigen eingehenden Sicherheitsregeln für eine Netzwerksicherheitsgruppe im Azure-Portal.

Screenshot: Standardsicherheitsregeln für eingehenden Datenverkehr für eine Netzwerksicherheitsgruppe im Azure-Portal.

Regeln für ausgehenden Datenverkehr

Azure definiert drei Standardsicherheitsregeln für ausgehenden Datenverkehr für die Netzwerksicherheitsgruppe. Die Regeln lassen nur ausgehenden Datenverkehr zum Internet und zum virtuellen Netzwerk zu. Die nächste Abbildung zeigt die standardmäßigen ausgehenden Sicherheitsregeln für eine Netzwerksicherheitsgruppe im Azure-Portal.

Screenshot: Standardsicherheitsregeln für ausgehenden Datenverkehr für eine Netzwerksicherheitsgruppe im Azure-Portal