Bestimmen der effektiven Regeln für Netzwerksicherheitsgruppen

Alle Netzwerksicherheitsgruppen und ihre definierten Sicherheitsregeln werden unabhängig voneinander ausgewertet. Azure verarbeitet die Bedingungen in jeder Regel, die für jeden virtuellen Computer in Ihrer Konfiguration definiert ist.

• Für eingehenden Datenverkehr verarbeitet Azure zunächst Sicherheitsregeln für Netzwerksicherheitsgruppen für alle zugeordneten Subnetze und dann alle zugeordneten Netzwerkschnittstellen.
• Für ausgehenden Datenverkehr wird der Prozess umgekehrt. Azure wertet zunächst die Sicherheitsregeln für Netzwerksicherheitsgruppen für alle zugeordneten Netzwerkschnittstellen aus, gefolgt von allen zugeordneten Subnetzen.
• Für den Auswertungsprozess für eingehenden und ausgehenden Datenverkehr überprüft Azure auch, wie die Regeln für den Datenverkehr innerhalb des Subnetzes angewendet werden. Der Intra-Subnetz-Verkehr bezieht sich auf virtuelle Maschinen im selben Subnetz.

Wie Azure Ihre definierten Sicherheitsregeln für einen virtuellen Computer anwendet, bestimmt die Gesamtwirksamkeit Ihrer Regeln.

Netzwerksicherheitsgruppenauswertung

Wenn Sie Netzwerksicherheitsgruppen auf ein Subnetz und eine Netzwerkschnittstelle anwenden, werden die Netzwerksicherheitsgruppen unabhängig voneinander ausgewertet. Sowohl eingehende als auch ausgehende Regeln werden basierend auf der Prioritäts- und Verarbeitungsreihenfolge berücksichtigt.

Zu beachtende Aspekte beim Erstellen effektiver Regeln

Lesen Sie die folgenden Überlegungen zum Erstellen effektiver Sicherheitsregeln für Computer in einem virtuellen Netzwerk.

• Erwägen Sie, den gesamten Datenverkehr zuzulassen. Wenn Sie einen virtuellen Computer in einem Subnetz platzieren oder eine Netzwerkschnittstelle verwenden, müssen Sie das Subnetz oder die NIC keiner Netzwerksicherheitsgruppe zuordnen. Dieser Ansatz lässt den gesamten Netzwerkdatenverkehr gemäß den Azure-Standardsicherheitsregeln über das Subnetz oder die NIC zu. Wenn Sie nicht darauf bedacht sind, den Datenverkehr zu der Ressource auf einer bestimmten Ebene zu steuern, ordnen Sie Ihre Ressource auf dieser Ebene nicht einer Netzwerksicherheitsgruppe zu.

• Berücksichtigen Sie die Wichtigkeit von Zulassungsregeln. Wenn Sie eine Netzwerksicherheitsgruppe erstellen, müssen Sie eine Zulassungsregel sowohl für das Subnetz als auch für die Netzwerkschnittstelle in der Gruppe definieren, um sicherzustellen, dass der Datenverkehr durchkommt. Wenn Sie in der Netzwerksicherheitsgruppe über ein Subnetz oder eine NIC verfügen, müssen Sie auf jeder Ebene eine Zulassungsregel definieren. Andernfalls wird der Datenverkehr für jede Ebene verweigert, auf der keine Zulassungsregeldefinition bereitgestellt wird.

• Betrachten Sie subnetzinternen Datenverkehr. Die Sicherheitsregeln für eine Netzwerksicherheitsgruppe, die einem Subnetz zugeordnet ist, kann den Datenverkehr zwischen allen virtuellen Computern im Subnetz beeinflussen. Sie können subnetzinternen Datenverkehr verhindern, indem Sie eine Regel in der Netzwerksicherheitsgruppe definieren, um den gesamten eingehenden und ausgehenden Datenverkehr zu verweigern. Diese Regel verhindert, dass alle virtuellen Computer im Subnetz miteinander kommunizieren.

• Berücksichtigen Sie die Regelpriorität. Die Sicherheitsregeln für eine Netzwerksicherheitsgruppe werden in der Reihenfolge der Priorität verarbeitet. Damit sichergestellt ist, dass eine bestimmte Sicherheitsregel immer verarbeitet wird, weisen Sie der Regel den niedrigstmöglichen Prioritätswert zu. Es empfiehlt sich, Lücken in der Prioritätsnummerierung zu belassen, z. B. 100, 200, 300 usw. Die Lücken in der Nummerierung ermöglichen es Ihnen, neue Regeln hinzuzufügen, ohne vorhandene Regeln bearbeiten zu müssen.

Anzeigen effektiver Sicherheitsregeln

Wenn Sie über mehrere Netzwerksicherheitsgruppen verfügen und sich nicht sicher sind, welche Sicherheitsregeln angewendet werden, können Sie den Link Effektive Sicherheitsregeln im Azure-Portal verwenden. Mithilfe des Links können Sie überprüfen, welche Sicherheitsregeln auf die Computer, Subnetze und Netzwerkschnittstellen angewendet werden.