Создание, изменение и удаление группы безопасности сети

1. В поле поиска в верхней части портала введите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. Выберите + Создать.

3. На странице "Создание группы безопасности сети" на вкладке "Основные сведения" введите или выберите следующие значения:

   Параметр	Действие
   Сведения о проекте
   Отток подписок	Выберите свою подписку Azure.
   Группа ресурсов	Выберите существующую группу ресурсов или создайте новую, нажав кнопку "Создать". В этом примере используется myResourceGroup группа ресурсов.
   Сведения об экземпляре
   Имя группы безопасности сети	Введите имя для новой NSG. В этом примере используется имя myNSG.
   Область/регион	Выберите нужный регион, в котором нужно создать группу безопасности сети.

4. Выберите Review + create (Просмотреть и создать).

5. При появлении сообщения Проверка пройдена выберите Создать.

Используйте New-AzNetworkSecurityGroup , чтобы создать группу безопасности сети с именем myNSG в регионе "Восточная часть США ". Имя группы безопасности сети myNSG создается в существующей myResourceGroup группе ресурсов.

# Define parameters for the new NSG
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
    Location          = "eastus"
}

# Create the network security group
New-AzNetworkSecurityGroup @NSGParams

Используйте az network nsg create для создания группы безопасности сети с именем myNSG в существующей myResourceGroup группе ресурсов.

az network nsg create \
    --resource-group myResourceGroup \
    --name myNSG

В поле поиска в верхней части портала введите группу безопасности сети. Выберите группы безопасности сети в результатах поиска, чтобы просмотреть список групп безопасности сети в подписке.

Используйте Get-AzNetworkSecurityGroup для перечисления всех групп безопасности сети в подписке.

Get-AzNetworkSecurityGroup | format-table Name, Location, ResourceGroupName, ProvisioningState, ResourceGuid

Используйте az network nsg list для перечисления всех групп безопасности сети в подписке.

az network nsg list --out table

1. В поле поиска в верхней части портала введите группу безопасности сети и выберите группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети.

   • В параметрах просмотрите входящие правила безопасности, исходящие правила безопасности, сетевые интерфейсы и подсети, с которыми ассоциирована группа сетевой безопасности.

   • В разделе "Мониторинг" включите или отключите параметры диагностики. Дополнительные сведения см. в разделе "Ведение журнала ресурсов" для группы безопасности сети.

   • В справкепросмотрите действующие правила безопасности. Дополнительные сведения см. в разделе "Диагностика проблемы фильтра сетевого трафика виртуальной машины".

   

Дополнительные сведения о распространенных параметрах Azure, перечисленных ниже, см. в следующих статьях:

• журналы действий

• Управление удостоверениями и доступом (IAM)

• Теги

• Блокировки

• Сценарий автоматизации

Используйте Get-AzNetworkSecurityGroup для просмотра сведений о NSG.

# Define parameters for the NSG
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}

# Retrieve the NSG
Get-AzNetworkSecurityGroup @NSGParams

Дополнительные сведения о распространенных параметрах Azure, перечисленных ниже, см. в следующих статьях:

• журналы действий

• Управление доступом (IAM)

• Теги

• Блокировки

Используйте az network nsg show для просмотра сведений о NSG.

az network nsg show \
    --resource-group myResourceGroup \
    --name myNSG

Дополнительные сведения о распространенных параметрах Azure, перечисленных ниже, см. в следующих статьях:

• журналы действий

• Управление доступом (IAM)

• Теги

• Блокировки

1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети и выберите подсети.

   • Чтобы связать группу безопасности сети с подсетью, нажмите кнопку +Связать. Затем выберите виртуальную сеть и подсеть, с которой нужно связать группу безопасности сети. Нажмите ОК.

     

   • Чтобы разъединить группу безопасности сети из подсети, выберите три точки рядом с подсетью, из которой требуется отсоотвести группу безопасности сети, а затем выберите "Отсоотказать". Выберите Да.

     

Используйте Set-AzVirtualNetworkSubnetConfig для связывания или отключения связи группы безопасности сети с подсетью или из нее.

# Define parameters for the virtual network and subnet configuration
$VNetParams = @{
    Name              = "myVNet"
    ResourceGroupName = "myResourceGroup"
}
$SubnetParams = @{
    Name              = "mySubnet"
    AddressPrefix     = "10.0.0.0/24"
    NetworkSecurityGroup = $networkSecurityGroup
}

# Retrieve the virtual network
$virtualNetwork = Get-AzVirtualNetwork @VNetParams

# Update the subnet configuration
Set-AzVirtualNetworkSubnetConfig -VirtualNetwork $virtualNetwork @SubnetParams

# Update the virtual network
Set-AzVirtualNetwork -VirtualNetwork $virtualNetwork

Используйте az network vnet subnet update , чтобы связать или отсовязать группу безопасности сети к подсети или из нее.

az network vnet subnet update \
    --resource-group myResourceGroup \
    --vnet-name myVNet \
    --name mySubnet \
    --network-security-group myNSG

1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

2. Выберите группу безопасности сети, которую требуется удалить.

3. Выберите Удалить, затем выберите Да в диалоговом окне подтверждения.

   

Используйте Remove-AzNetworkSecurityGroup для удаления группы безопасности сети.

# Define parameters for the NSG to be removed
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}

# Remove the NSG
Remove-AzNetworkSecurityGroup @NSGParams

Используйте az network nsg delete для удаления группы безопасности сети.

az network nsg delete \
    --resource-group myResourceGroup \
    --name myNSG

1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности, в которую требуется добавить правило безопасности.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

   При создании NSG, Azure создает в ней несколько стандартных правил безопасности. Дополнительные сведения см. в разделе "Правила безопасности по умолчанию". Правила безопасности по умолчанию невозможно удалить, но их можно переопределить с помощью правил с более высоким приоритетом.

4. Выберите + Добавить. Выберите или добавьте значения для следующих параметров и нажмите кнопку "Добавить".

   Параметр	Значение	Сведения
   Источник	Одно из двух значений: Любой IP-адреса Мой IP-адрес Тег службы Группа безопасности приложений	При выборе IP-адресов необходимо также указать диапазоны ИСХОДНЫх IP-адресов или CIDR. При выборе тега службы необходимо также выбрать тег службы источника. При выборе группы безопасности приложений необходимо также выбрать существующую группу безопасности приложений. Если выбрать группу безопасности приложений для источника и назначения, сетевые интерфейсы в обеих группах безопасности приложений должны находиться в одной виртуальной сети. Узнайте, как создать группу безопасности приложений.
   Диапазоны исходных IP-адресов или CIDR	Разделенный запятыми список IP-адресов и диапазонов CIDR.	Этот параметр отображается, если для параметра Source заданы IP-адреса. Можно указать одно значение или список разделенных запятыми значений. Пример нескольких значений: 10.0.0.0/16, 192.188.1.1. Количество указанных значений ограничено. Дополнительные сведения см. в разделе об ограничениях Azure. Если указанный IP-адрес назначен виртуальной машине Azure, убедитесь, что укажите частный IP-адрес, а не общедоступный IP-адрес. Дополнительные сведения о поведении преобразования IP-адресов правил NSG см. в обзоре.
   Тег службы источника	Тег службы из раскрывающегося списка	Этот параметр отображается, если для правила безопасности задано значение Sourceto Service Tag . Тег службы — это предопределенный идентификатор категории IP-адресов. Дополнительные сведения о доступных тегах служб и том, что они представляют, приведены в разделе Теги служб.
   Исходная группа безопасности приложений	Существующая группа безопасности приложений.	Этот параметр отображается, если для параметра Источник задано значение Группа безопасности приложений. Выберите группу безопасности приложений, которая размещена в том же регионе, что и сетевой интерфейс. Узнайте, как создать группу безопасности приложений.
   Диапазоны исходных портов	Одно из двух значений: один порт, например 80; диапазон портов, например 1024-65535; разделенный запятыми список отдельных портов и (или) диапазонов портов, например 80, 1024-65535; звездочка (*), чтобы разрешить передачу трафика через любой порт.	Этот параметр указывает порты, через которые правило разрешает или запрещает передачу трафика. Количество портов, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.
   Назначение	Одно из двух значений: Любой IP-адреса Тег службы Группа безопасности приложений	При выборе IP-адресов необходимо также указать диапазоны IP-адресов назначения или CIDR. При выборе тега службы необходимо также выбрать тег службы назначения. При выборе группы безопасности приложений необходимо также выбрать существующую группу безопасности приложений. Если выбрать группу безопасности приложений для источника и назначения, сетевые интерфейсы в обеих группах безопасности приложений должны находиться в одной виртуальной сети. Узнайте, как создать группу безопасности приложений.
   Диапазоны IP-адресов назначения или CIDR	Разделенный запятыми список IP-адресов и диапазонов CIDR.	Этот параметр отображается, если для параметра Назначение задано значение IP-адреса. Можно указать один или несколько адресов или диапазонов, таких как исходные и исходные IP-адреса или диапазоны CIDR. Число, которое можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure. Если указанный IP-адрес назначен виртуальной машине Azure, убедитесь, что укажите частный IP-адрес, а не общедоступный IP-адрес. Дополнительные сведения о поведении преобразования IP-адресов правил NSG см. в обзоре.
   Назначение: тег службы	Тег службы из раскрывающегося списка	Этот параметр отображается, если для правила безопасности задано значение "Назначение" для тега службы. Тег службы — это предопределенный идентификатор категории IP-адресов. Дополнительные сведения о доступных тегах служб и том, что они представляют, приведены в разделе Теги служб.
   Группа безопасности приложений для назначения	Существующая группа безопасности приложений.	Этот параметр отображается, если для параметра Назначение задано значение Группа безопасности приложений. Выберите группу безопасности приложений, которая размещена в том же регионе, что и сетевой интерфейс. Узнайте, как создать группу безопасности приложений.
   Служба	Протокол назначения из раскрывающегося списка	Этот параметр задает целевой протокол и диапазон портов для правила безопасности. Вы можете выбрать предопределенную службу, например RDP, или выбрать пользовательскую и указать диапазон портов в диапазонах портов назначения.
   Диапазоны портов назначения	Одно из двух значений: один порт, например 80; диапазон портов, например 1024-65535; разделенный запятыми список отдельных портов и (или) диапазонов портов, например 80, 1024-65535; звездочка (*), чтобы разрешить передачу трафика через любой порт.	Как и в случае с полем Диапазоны исходных портов, можно указать один или несколько портов и диапазонов. Число, которое можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.
   Протокол	Любой, TCP, UDP или ICMP.	Правило можно ограничить протоколом управления передачей (TCP), протоколом пользовательской диаграммы данных (UDP) или протоколом сообщений управления Интернетом (ICMPv4 или ICMPv6). По умолчанию правило применяется ко всем протоколам (Any).
   Действие	Разрешить или Запретить.	Этот параметр указывает, разрешает или запрещает правило доступ к указанной конфигурации источника и назначения.
   Приоритет	Значение от 100 до 4096, уникальное для всех правил безопасности в NSG.	Платформа Azure обрабатывает правила безопасности в порядке приоритета. Чем меньше число, тем выше приоритет. Рекомендуется оставлять промежуток между номерами приоритетов при создании правил, например 100, 200 и 300. Оставляя пробелы, проще добавлять правила в будущем, чтобы дать им более высокий или более низкий приоритет, чем существующие правила.
   Имя	Уникальное имя правила в группе безопасности сети	Оно может содержать до 80 знаков. Имя должно начинаться с буквы или цифры, и заканчиваться буквой, цифрой или символом подчеркивания. Имя может содержать только буквы, цифры, подчеркивания, периоды или дефисы.
   Описание	Текстовое описание.	При необходимости можно указать текстовое описание правила безопасности. Описание не может превышать 140 символов.

   

Используйте Add-AzNetworkSecurityRuleConfig для создания правила NSG.

# Define parameters for the NSG and security rule
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}
$RuleParams = @{
    Name                 = "RDP-rule"
    Description          = "Allow RDP"
    Access               = "Allow"
    Protocol             = "Tcp"
    Direction            = "Inbound"
    Priority             = 300
    SourceAddressPrefix  = "*"
    SourcePortRange      = "*"
    DestinationAddressPrefix = "*"
    DestinationPortRange = 3389
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# Add the security rule to the NSG
Add-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup @RuleParams

# Update the NSG
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Используйте az network nsg rule create для создания правила NSG.

az network nsg rule create \
    --resource-group myResourceGroup \
    --nsg-name myNSG \
    --name RDP-rule \
    --priority 300 \
    --destination-address-prefixes '*' \
    --destination-port-ranges 3389 \
    --protocol Tcp \
    --description "Allow RDP"

1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети, для которой требуется просмотреть правила.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

   Список содержит все созданные правила и правила безопасности по умолчанию группы безопасности группы безопасности.

   

Используйте Get-AzNetworkSecurityRuleConfig для просмотра правил безопасности группы безопасности группы безопасности.

# Define parameters for the NSG
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# List security rules of the NSG in a table
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup | Format-Table Name, Protocol, Access, Priority, Direction, SourcePortRange, DestinationPortRange, SourceAddressPrefix, DestinationAddressPrefix

Используйте az network nsg rule list для просмотра правил безопасности группы безопасности группы безопасности.

az network nsg rule list \
    --resource-group myResourceGroup \
    --nsg-name myNSG

1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети, для которой требуется просмотреть правила.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

4. Выберите правило, для которого нужно просмотреть сведения. Описание всех параметров приведено в разделе Работа с правилами безопасности.

   Примечание.

   Эта процедура применяется только к пользовательскому правилу безопасности. Он не подходит для правил безопасности по умолчанию.

   

Используйте Get-AzNetworkSecurityRuleConfig для просмотра сведений о правиле безопасности.

# Define parameters for the NSG and security rule
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}
$RuleParams = @{
    Name = "RDP-rule"
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# View details of the security rule
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup @RuleParams

Используйте az network nsg rule show для просмотра сведений о правиле безопасности.

az network nsg rule show \
    --resource-group myResourceGroup \
    --nsg-name myNSG \
    --name RDP-rule

1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети, для которой требуется просмотреть правила.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

4. Выберите правило, которое нужно изменить.

5. При необходимости измените параметры правила, а затем нажмите кнопку "Сохранить". Описание всех параметров приведено в разделе Работа с правилами безопасности.

   

   Примечание.

   Эта процедура применяется только к пользовательскому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Используйте Set-AzNetworkSecurityRuleConfig для обновления правила NSG.

# Define parameters for the NSG and security rule
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}
$RuleParams = @{
    Name                 = "RDP-rule"
    Description          = "Allow RDP"
    Access               = "Allow"
    Protocol             = "Tcp"
    Direction            = "Inbound"
    Priority             = 200
    SourceAddressPrefix  = "*"
    SourcePortRange      = "*"
    DestinationAddressPrefix = "*"
    DestinationPortRange = 3389
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# Update the security rule in the NSG
Set-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup @RuleParams

# Update the NSG
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Используйте az network nsg rule update для обновления правила NSG.

az network nsg rule update \
    --resource-group myResourceGroup \
    --nsg-name myNSG \
    --name RDP-rule \
    --priority 200

1. В поле поиска в верхней части портала введите группу безопасности сети. Затем выберите группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети, для которой требуется просмотреть правила.

3. Выберите правила безопасности для входящего трафика или правила безопасности для исходящего трафика.

4. Выберите правило, которое требуется удалить. Вы можете выбрать несколько правил для удаления за раз.

5. Нажмите кнопку "Удалить", а затем нажмите кнопку "Да".

   

   Примечание.

   Эта процедура применяется только к пользовательскому правилу безопасности. Удаление правила безопасности по умолчанию запрещено.

Используйте Remove-AzNetworkSecurityRuleConfig , чтобы удалить правило безопасности из группы безопасности.

# Define parameters for the NSG and security rule. You may specify more than one rule to delete at a time
$NSGParams = @{
    Name              = "myNSG"
    ResourceGroupName = "myResourceGroup"
}
$RuleParams = @{
    Name = "RDP-rule"
}

# Retrieve the NSG
$networkSecurityGroup = Get-AzNetworkSecurityGroup @NSGParams

# Remove the security rule from the NSG
Remove-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup @RuleParams

# Update the NSG
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Используйте az network nsg rule delete , чтобы удалить правило безопасности из группы безопасности.

az network nsg rule delete \
    --resource-group myResourceGroup \
    --nsg-name myNSG \
    --name RDP-rule

1. В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска.

2. Выберите + Создать.

3. На странице "Создание группы безопасности приложений" на вкладке "Основные сведения" введите или выберите следующие значения:

   Параметр	Действие
   Сведения о проекте
   Отток подписок	Выберите свою подписку Azure.
   Группа ресурсов	Выберите существующую группу ресурсов или создайте новую, нажав кнопку "Создать". В этом примере используется myResourceGroup группа ресурсов.
   Сведения об экземпляре
   Имя.	Введите имя новой группы безопасности приложений. В этом примере используется имя myASG.
   Область/регион	Выберите нужный регион, в котором нужно создать группу безопасности приложений.

4. Выберите Review + create (Просмотреть и создать).

5. При появлении сообщения Проверка пройдена выберите Создать.

Создайте группу безопасности приложений с помощью New-AzApplicationSecurityGroup .

# Define parameters for the new application security group
$ASGParams = @{
    ResourceGroupName = "myResourceGroup"
    Name              = "myASG"
    Location          = "eastus"
}

# Create the application security group
New-AzApplicationSecurityGroup @ASGParams

Используйте az network asg create для создания группы безопасности приложений.

az network asg create \
    --resource-group myResourceGroup \
    --name myASG \
    --location eastus

В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска. Список групп безопасности приложений отображается в портал Azure.

Используйте Get-AzApplicationSecurityGroup , чтобы перечислить все группы безопасности приложений в подписке Azure.

Get-AzApplicationSecurityGroup | format-table Name, ResourceGroupName, Location

Используйте az network asg list для перечисления всех групп безопасности приложений в группе ресурсов.

az network asg list \
    --resource-group myResourceGroup \
    --out table

1. В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска.

2. Выберите группу безопасности приложений, для которой требуется просмотреть сведения.

Используйте Get-AzApplicationSecurityGroup для просмотра сведений о группе безопасности приложений.

Get-AzApplicationSecurityGroup -Name myASG

Используйте az network asg show для просмотра сведений о группе безопасности приложений.

az network asg show \
    --resource-group myResourceGroup \
    --name myASG

1. В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска.

2. Выберите группу безопасности приложений, которую вы хотите изменить:

   • Выберите рядом с группой ресурсов или подпиской, чтобы изменить группу ресурсов или подписку соответственно.

   • Выберите пункт "Изменить рядом с тегами ", чтобы добавить или удалить теги. Дополнительные сведения см. в статье "Использование тегов для организации ресурсов Azure и иерархии управления".

     

     Примечание.

     Невозможно изменить расположение группы безопасности приложений.

   • Перейдите в область управления доступом (IAM), чтобы назначить или удалить разрешения для группы безопасности приложений.

# Define parameters for the application security group
$ASGParams = @{
    ResourceGroupName = "myResourceGroup"
    Name              = "myASG"
}

# Retrieve the application security group
$applicationSecurityGroup = Get-AzApplicationSecurityGroup @ASGParams

New-AzTag -ResourceId $applicationSecurityGroup.Id -Tag @{ Dept = "Finance" }

Используйте az network asg update для обновления тегов для группы безопасности приложений.

az network asg update \
    --resource-group myResourceGroup \
    --name myASG \
    --tags Dept=Finance

1. В поле поиска в верхней части портала введите группу безопасности приложений. Затем выберите группы безопасности приложений в результатах поиска.

2. Выберите группу безопасности приложений, которую вы хотите удалить.

3. Выберите Удалить и нажмите Да, чтобы удалить группу безопасности приложений.

   

Удалите группу безопасности приложений с помощью Remove-AzApplicationSecurityGroup .

# Define parameters for the application security group to be removed
$ASGParams = @{
    ResourceGroupName = "myResourceGroup"
    Name              = "myASG"
}

# Remove the application security group
Remove-AzApplicationSecurityGroup @ASGParams

Используйте az network asg delete для удаления группы безопасности приложений.

az network asg delete \
    --resource-group myResourceGroup \
    --name myASG