建立、變更或刪除網路安全性群組

  • 發行項

在網路安全性群組 (NSG) 中使用安全性規則時,您可以篩選流入和流出虛擬網路子網路和網路介面的流量類型。 若要深入了解 NSG,請參閱 [網路安全性群組概觀]。 接下來,請完成 [篩選流量] 教學課程,以獲得一些使用 NSG 的經驗。

必要條件

如果您沒有包含作用中訂用帳戶的 Azure 帳戶,請建立免費帳戶。 在開始本文的其餘部分之前,請完成以下工作之一:

  • 入口網站使用者:使用您的 Azure 帳戶登入 Azure 入口網站

  • [PowerShell 使用者]:在 [Azure Cloud Shell] 中,或是從您的電腦以本機方式執行 PowerShell 來執行命令。 Cloud Shell 是免費的互動式殼層,可讓您用來執行本文中的步驟。 它具有預先安裝並設定為與您的帳戶一起使用的常見 Azure 工具。 在 Cloud Shell 瀏覽器索引標籤上,尋找 [選取環境] 下拉式清單。 然後選取 [PowerShell] (若尚未選取)。

    如果您在本機執行 PowerShell,請使用 Azure PowerShell 模組 1.0.0 版或更新版本。 執行 Get-Module -ListAvailable Az.Network 以尋找安裝的版本。 如果您需要安裝或升級,請參閱安裝 Azure PowerShell 模組。 執行 Connect-AzAccount 以登入 Azure。

  • [Azure CLI 使用者]:在 [Cloud Shell] 中執行命令,或從電腦本機執行 Azure CLI。 Cloud Shell 是免費的互動式殼層,可讓您用來執行本文中的步驟。 它具有預先安裝並設定為與您的帳戶一起使用的常見 Azure 工具。 在 Cloud Shell 瀏覽器索引標籤上,尋找 [選取環境] 下拉式清單。 然後選取 [Bash] (若尚未選取)。

    如果您在本機執行 Azure CLI,請使用 Azure CLI 2.0.28 或更新版本。 執行 az --version 以尋找安裝的版本。 如果您需要安裝或升級,請參閱安裝 Azure CLI 模組。 執行 az login 以登入 Azure。

為 [網路參與者角色] 或 [自訂角色] 指派適當的 [權限]

使用網路安全性群組

您可以建立 NSG、[檢視所有 NSG]、[檢視 NSG 的詳細資料],以及 [變更] 和 [刪除] NSG。 您還可以將 NSG 與 [網路介面] 或 [子網路] 關聯或中斷關聯。

建立網路安全性群組

您可以為每個 Azure 區域和訂用帳戶建立的 NSG 數量是有限的。 若要深入了解,請參閱 Azure 訂用帳戶和服務限制、配額及條件約束

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 在搜尋結果中選取 [網路安全性群組]

  2. 選取 + 建立

  3. 在 [建立網路安全性群組] 頁面上的 [基本] 索引標籤底下,輸入或選取下列值:

    設定 動作
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取現有的資源群組,或選取 [新建] 以建立新的資源群組。 本範例使用 myResourceGroup 資源群組。
    [執行個體詳細資料]
    網路安全性群組名稱 為您正在建立的 NSG 輸入名稱。
    區域 選取您想要的區域。

    顯示在 Azure 入口網站中建立 NSG 的螢幕擷取畫面。

  4. 選取 [檢閱 + 建立]。

  5. 看到 [驗證成功] 訊息之後,請選取 [建立]

檢視所有網路安全性群組

在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 選取搜尋結果中的 [網路安全性群組],以查看訂用帳戶中的 NSG 清單。

顯示 Azure 入口網站中網路安全性群組清單的螢幕擷取畫面。

檢視網路安全性群組的詳細資料

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組,然後選取搜尋結果中的 [網路安全性群組]

  2. 選取您的 NSG 名稱。

    • 在 [設定] 下,檢視與 NSG 關聯的 [輸入安全性規則]、[輸出安全性規則],[網路介面] 和 [子網路]
    • 在 [監視] 底下,啟用或停用 [診斷設定]。 如需詳細資訊,請參閱網路安全性群組的資源記錄
    • 在 [說明] 下,檢視 [有效安全性規則]。 如需詳細資訊,請參閱 [診斷虛擬機器 (VM) 流量篩選問題]

    顯示 Azure 入口網站中網路安全性群組頁面的螢幕擷取畫面。

若要深入了解列出的常見 Azure 設定,請參閱下文:

變更網路安全性群組

NSG 最常見的變更是:

讓網路安全性群組與網路介面建立關聯或解除關聯

如需 NSG 關聯與中斷關聯的詳細資訊,請參閱 [關聯或中斷關聯網路安全性群組]

讓網路安全性群組與子網路建立關聯或解除關聯

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 然後,在搜尋結果中選取 [網路安全性群組]

  2. 選取 NSG 的名稱,然後選取 [子網路]

    • 若要將 NSG 關聯至子網路,請選取 [+ 關聯]。 然後選取您的虛擬網路和要將 NSG 關聯至的子網路。 選取 [確定]。

      顯示將網路安全性群組關聯至 Azure 入口網站中的子網路之螢幕擷取畫面。

    • 若要將 NSG 與子網路中斷關聯,請選取要從中中斷關聯 NSG 的子網路旁邊的三個點,然後選取 [中斷關聯]。 選取 [是]

      顯示將 NSG 與 Azure 入口網站中的子網路中斷關聯的螢幕擷取畫面。

刪除網路安全性群組

如果 NSG 與任何子網路或網路介面相關聯,則無法删除。 在嘗試删除 NSG 之前,請將其與所有子網路和網路介面中斷關聯。

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 然後,在搜尋結果中選取 [網路安全性群組]

  2. 選取您要刪除的 NSG。

  3. 選取刪除,然後在確認對話方塊中選取

    顯示删除 Azure 入口網站中的網路安全性群組之螢幕擷取畫面。

使用安全性規則

NSG 包含零個或多個安全性規則。 您可以建立檢視全部檢視詳細資料變更刪除安全性規則。

建立安全性規則

您可以為每個 Azure 位置和訂用帳戶建立的每個 NSG 的規則數量是有限的。 若要深入了解,請參閱 Azure 訂用帳戶和服務限制、配額及條件約束

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 然後,在搜尋結果中選取 [網路安全性群組]

  2. 選取要向其新增安全性規則之 NSG 的名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

    列出了幾個現有規則,包括一些您可能沒有新增的規則。 建立 NSG 時,會在其中建立幾個預設安全性規則。 若要深入了解,請參閱 [預設安全性規則]。 您無法刪除預設安全性規則,但您可以使用優先順序較高的規則來覆寫這些規則。

  4. 選取 [+ 新增]。 選取或新增下列設定,然後選取 [新增]

    設定 詳細資料
    來源 值為下列其中之一:
    • 任何
    • IP 位址
    • 我的 IP 位址
    • 服務標籤
    • 應用程式安全性群組

    如果您選取 [IP 位址],您還必須指定 [來源 IP 位址/CIDR 範圍]

    如果選取 [服務標籤],您還必須選取 [來源服務標籤]

    如果您選取 [應用程式安全性群組],您還必須選取現有應用程式安全性群組。 如果您針對 [來源] 和 [目的地] 選取 [應用程式安全性群組],則兩個應用程式安全性群組內的網路介面都必須在相同的虛擬網路中。 了解如何建立應用程式安全性群組
    來源 IP 位址/CIDR 範圍 以逗號分隔的 IP 位址清單,以及無類別網域間路由選擇 (CIDR) 範圍

    如果您將 [來源] 設定為 [IP 位址],就會顯示此設定。 您必須指定單一值或以逗號分隔的多值清單。 多值範例是 10.0.0.0/16, 192.188.1.1。 您可以指定的值的數量是有限的。 如需詳細資訊,請參閱 Azure 限制

    如果您指定的 IP 位址已指派至 Azure VM,請指定其私人 IP 位址,而不是公用 IP 位址。 在 Azure 針對輸入安全性規則將公用 IP 位址轉譯為私人 IP 位址之後,但是在 Azure 針對輸出規則將私人 IP 位址轉譯為公用 IP 位址之前,Azure 會處理安全性規則。 若要深入了解 Azure 中的 IP 位址,請參閱公用 IP 位址私人 IP 位址
    來源服務標籤 下拉式清單中的服務標籤 如果您針對安全性規則將 [來源] 設定為 [服務標籤],就會顯示此設定。 服務標籤是為 IP 位址類別預先定義的識別碼。 若要深入了解可用的服務標籤,以及每個標籤所代表的意義,請參閱服務標籤
    來源應用程式安全性群組 現有的應用程式安全性群組 如果您將 [來源] 設定為 [應用程式安全性群組],則會出現此設定。 選取存在於與網路介面相同區域的應用程式安全性群組。 了解如何建立應用程式安全性群組
    來源連接埠範圍 值為下列其中之一:
    • 單一連接埠,例如 80
    • 連接埠範圍,例如 1024-65535
    • 單一連接埠和/或連接埠範圍的逗號分隔清單,例如 80, 1024-65535
    • 星號 (*) 可以允許任何連接埠上的流量
    		 此設定會指定規則允許或拒絕流量的連接埠。 您可以指定的連接埠數量是有限的。 如需詳細資訊,請參閱 Azure 限制
    目的地 值為下列其中之一:
    • 任何
    • IP 位址
    • 服務標籤
    • 應用程式安全性群組

    如果選取 [IP 位址],您還必須指定 [目的地 IP 位址/CIDR 範圍]

    如果選取 [服務標籤],您還必須選取 [目的地服務標籤]

    如果您選取 [應用程式安全性群組],您還必須選取現有應用程式安全性群組。 如果您針對 [來源] 和 [目的地] 選取 [應用程式安全性群組],則兩個應用程式安全性群組內的網路介面都必須在相同的虛擬網路中。 了解如何建立應用程式安全性群組
    目的地 IP 位址/CIDR 範圍 IP 位址和 CIDR 範圍的逗號分隔清單

    如果您將 [目的地] 變更為 [IP 位址],就會顯示此設定。 您可以指定單一或多個位址或範圍,就像您可以使用 [來源] 和 [來源 IP 位址/CIDR 範圍] 一樣。 您可以指定的數量是有限的。 如需詳細資訊,請參閱 Azure 限制

    如果您指定的 IP 位址已指派至 Azure VM,請確保指定其私人 IP,而不是公用 IP 位址。 在 Azure 針對輸入安全性規則將公用 IP 位址轉譯為私人 IP 位址之後,但是在 Azure 針對輸出規則將私人 IP 位址轉譯為公用 IP 位址之前,Azure 會處理安全性規則。 若要深入了解 Azure 中的 IP 位址,請參閱公用 IP 位址私人 IP 位址
    目的地服務標籤 下拉式清單中的服務標籤 如果您針對安全性規則將 [目的地] 設定為 [服務標籤],就會顯示此設定。 服務標籤是為 IP 位址類別預先定義的識別碼。 若要深入了解可用的服務標籤,以及每個標籤所代表的意義,請參閱服務標籤
    目的地應用程式安全性群組 現有的應用程式安全性群組 如果您將 [目的地] 設定為 [應用程式安全性群組],則會出現此設定。 選取存在於與網路介面相同區域的應用程式安全性群組。 了解如何建立應用程式安全性群組
    服務 來自下拉式清單的目的地通訊協定 此設定會指定安全性規則的目的地通訊協定和連接埠範圍。 您可以選取預先定義的服務,例如 [RDP],或選取 [自訂],並在 [目的地連接埠範圍] 中提供連接埠範圍。
    目的地連接埠範圍 值為下列其中之一:
    • 單一連接埠,例如 80
    • 連接埠範圍,例如 1024-65535
    • 單一連接埠和/或連接埠範圍的逗號分隔清單,例如 80, 1024-65535
    • 星號 (*) 可以允許任何連接埠上的流量
    		 如同 [來源連接埠範圍],您可以指定單一或多個連接埠和範圍。 您可以指定的數量是有限的。 如需詳細資訊,請參閱 Azure 限制
    通訊協定 AnyTCPUDPICMP 您可以將規則限制為傳輸控制通訊協定 (TCP)、使用者資料包通訊協定 (UDP) 或網際網路控制訊息通訊協定 (ICMP)。 預設為將規則套用至所有通訊協定 [任何]
    動作 允許拒絕 此設定會指定此規則允許或拒絕所提供來源和目的地設定的存取權。
    優先順序 介於 100-4,096 之間,且對 NSG 內的所有安全性規則而言具唯一性的值 Azure 會依優先順序處理安全性規則。 編號愈低,優先順序愈高。 建議您在建立規則時,於優先順序編號之間保留間距,例如 100、200 和 300。 保留間距可讓您更輕鬆地在未來新增規則,讓您可以提供比現有規則更高或更低的優先順序。
    名稱 NSG 內規則的唯一名稱 此名稱最多可有 80 個字元。 必須以字母或數字開頭,且必須以字母、數字或底線結尾。 名稱只可以包含字母、數字、底線、句點或連字號。
    說明 文字描述 您可以選擇性地指定安全性規則的文字描述。 描述長度不可超過 140 個字元。

    顯示向 Azure 入口網站中的網路安全性群組新增安全性規則的螢幕擷取畫面。

檢視所有安全性規則

NSG 包含零個或多個規則。 若要在檢視規則時深入了解資訊清單,請參閱 [安全性規則]

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 然後,在搜尋結果中選取 [網路安全性群組]

  2. 選取要檢視其規則的 NSG 的名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

    清單包含您建立的任何規則以及 NSG 的 [預設安全性規則]

    顯示 Azure 入口網站中網路安全性群組的輸入安全性規則之螢幕擷取畫面。

檢視安全性規則的詳細資料

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 然後,在搜尋結果中選取 [網路安全性群組]

  2. 選取要檢視其規則的 NSG 的名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

  4. 選取要檢視詳細資料的規則。 如需所有設定的說明,請參閱安全性規則設定

    注意

    此程序僅適用於自訂安全性規則。 如果您選擇預設安全性規則,則無法使用。

    顯示 Azure 入口網站中網路安全性群組的輸入安全性規則詳細資料之螢幕擷取畫面。

變更安全性規則

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 然後,在搜尋結果中選取 [網路安全性群組]

  2. 選取要檢視其規則的 NSG 的名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

  4. 選取要變更的規則。

  5. 視需要變更設定,然後選取 [儲存]。 如需所有設定的說明,請參閱安全性規則設定

    顯示變更 Azure 入口網站中網路安全性群組的輸入安全性規則詳細資料之螢幕擷取畫面。

    注意

    此程序僅適用於自訂安全性規則。 系統不允許您變更預設安全性規則。

刪除安全性規則

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 然後,在搜尋結果中選取 [網路安全性群組]

  2. 選取要檢視其規則的 NSG 的名稱。

  3. 選取 [輸入安全性規則] 或 [輸出安全性規則]

  4. 選取要删除的規則。

  5. 選取 [刪除],然後選取 [是]

    顯示删除 Azure 入口網站中網路安全性群組的輸入安全性規則之螢幕擷取畫面。

    注意

    此程序僅適用於自訂安全性規則。 系統不允許您刪除預設安全性規則。

使用應用程式安全性群組

應用程式安全性群組包含零個或多個網路介面。 若要深入了解,請參閱應用程式安全性群組。 應用程式安全性群組內的所有網路介面都必須存在於相同的虛擬網路中。 若要了解如何將網路介面新增至應用程式安全性群組,請參閱將網路介面新增至應用程式安全性群組

建立應用程式安全性群組

  1. 在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 然後,在搜尋結果中選取 [應用程式安全性群組]

  2. 選取 + 建立

  3. 在 [建立應用程式安全性群組] 頁面上的 [基本] 索引標籤底下,輸入或選取下列值:

    設定 動作
    專案詳細資料
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取現有的資源群組,或選取 [新建] 以建立新的資源群組。 本範例使用 myResourceGroup 資源群組。
    [執行個體詳細資料]
    名稱 輸入要建立的應用程式安全性群組之名稱。
    區域 選取要在其中建立應用程式安全性群組的區域。

    顯示在 Azure 入口網站中建立應用程式安全性群組的螢幕擷取畫面。

  4. 選取 [檢閱 + 建立]。

  5. 看到 [驗證成功] 訊息之後,請選取 [建立]

檢視所有應用程式安全性群組

在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 然後,在搜尋結果中選取 [應用程式安全性群組]。 Azure 入口網站中將顯示應用程式安全性群組的清單。

顯示 Azure 入口網站中現有應用程式安全性群組的螢幕擷取畫面。

檢視特定應用程式安全性群組的詳細資料

  1. 在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 然後,在搜尋結果中選取 [應用程式安全性群組]

  2. 選取要檢視其詳細資料的應用程式安全性群組。

變更應用程式安全性群組

  1. 在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 然後,在搜尋結果中選取 [應用程式安全性群組]

  2. 選取您想要變更的應用程式安全性群組:

    • 選取 [資源群組] 或 [訂用帳戶] 旁的 [移動],以分別變更資源群組或訂用帳戶。

    • 選取 [標籤] 旁的 [編輯] 來新增或移除標籤。 若要深入了解,請參閱 [使用標籤來組織您的 Azure 資源和管理階層]

      顯示變更 Azure 入口網站中的應用程式安全性群組之螢幕擷取畫面。

      注意

      您無法變更應用程式安全性群組的位置。

    • 選取 [存取控制 (IAM)],以指派或移除應用程式安全性群組的權限。

刪除應用程式安全性群組

如果應用程式安全性群組包含任何網路介面,您便無法刪除該群組。 若要從應用程式安全性群組移除所有網路介面,請變更網路介面設定或刪除網路介面。 若要深入了解,請參閱在應用程式安全性群組新增或移除刪除網路介面

  1. 在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 然後,在搜尋結果中選取 [應用程式安全性群組]

  2. 選取您想要刪除的應用程式安全性群組。

  3. 選取 [刪除],然後選取 [是] 刪除應用程式安全性群組。

    顯示在 Azure 入口網站中刪除應用程式安全性群組的螢幕擷取畫面。

權限

若要管理 NSG、安全性規則和應用程式安全性群組,您的帳戶必須已指派至 [網路參與者] 角色。 您還可以使用指派了適當權限的 [自訂角色],如下表所示。

注意

如果網路參與者角色是在資源群組層級指派的,則可能看 [不] 到服務標籤的完整清單。 若要檢視完整清單,您可以改為在訂用帳戶範圍指派此角色。 如果只能允許資源群組的網路參與者角色,則還可以為權限 Microsoft.Network/locations/serviceTags/readMicrosoft.Network/locations/serviceTagDetails/read 建立自訂角色。 在訂用帳戶範圍內指派它們,同時在資源群組範圍內指派網路參與者角色。

網路安全性群組

動作 名稱
Microsoft.Network/networkSecurityGroups/read 取得 NSG。
Microsoft.Network/networkSecurityGroups/write 建立或更新 NSG。
Microsoft.Network/networkSecurityGroups/delete 刪除 NSG。
Microsoft.Network/networkSecurityGroups/join/action 將 NSG 關聯至子網路或網路介面。

注意

若要在 NSG 上執行 write 作業,訂用帳戶帳戶至少必須具有資源群組的 read 權限,以及 Microsoft.Network/networkSecurityGroups/write 權限。

網路安全性群組規則

動作 名稱
Microsoft.Network/networkSecurityGroups/securityRules/read 取得規則。
Microsoft.Network/networkSecurityGroups/securityRules/write 建立或更新規則。
Microsoft.Network/networkSecurityGroups/securityRules/delete 刪除規則。

應用程式安全性群組

動作 名稱
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action 將 IP 設定加入至應用程式安全性群組。
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action 將安全性規則加入至應用程式安全性群組。
Microsoft.Network/applicationSecurityGroups/read 取得應用程式安全性群組。
Microsoft.Network/applicationSecurityGroups/write 建立或更新應用程式安全性群組。
Microsoft.Network/applicationSecurityGroups/delete 刪除應用程式安全性群組。

相關內容