25/01/2017

Groupesdescuritrseau|MicrosoftDocs

En utilisant ce site, vous autorisez les cookies des fins danalyse, de pertinence et de publicit.

En savoir plus

MicrosoftAzure / Rseau virtuel

Groupes de scurit rseau

groupes de scurit rseau ;

11/02/2016 21 minutes de lecture Contributeurs

tous

Dans cet article

Ressource du groupe de scurit rseau
Association de groupe de scurit rseau
Implmentation
Planification
Remarques relatives la conception
Exemple de dploiement
tapes suivantes

Un groupe de scurit rseau NSG contient une liste des rgles de liste de contrle daccs ACL qui autorise ou
rejette les instances de machine virtuelle dans un rseau virtuel. Des groupes de scurit rseau peuvent tre associs
des sousrseaux ou des instances de machine virtuelle au sein de ce sousrseau. Lorsquun groupe de scurit
rseau est associ un sousrseau, les rgles ACL sappliquent toutes les instances de machine virtuelle prsentes
dans ce sousrseau. En outre, le trafic vers un ordinateur virtuel individuel peut tre limit par lassociation dun groupe
de scurit rseau directement la machine virtuelle.
Remarque
Azure dispose de deux modles de dploiement diffrents pour crer et utiliser des ressources : Resource Manager et classique. Cet
article traite des deux modles, mais Microsoft recommande dutiliser le modle Resource Manager dans la plupart des nouveaux
dploiements.

Ressource du groupe de scurit rseau

Les groupes de scurit rseau peuvent prsenter les proprits suivantes.
Proprit

Description

Contraintes

Considrations

Name

Nom du
groupe de
scurit
rseau

Doit tre unique dans la rgion

Peut contenir des lettres, des chiffres, des traits de
soulignement, des points et des traits dunion
Doit commencer par une lettre ou un chiffre
Doit se terminer par une lettre, un chiffre ou un
trait de soulignement
peut contenir jusqu 80 caractres

tant donn que vous devrez peuttre crer

plusieurs groupes de scurit rseau, assurez
vous que vous disposez dune convention
daffectation de noms qui permet de
facilement identifier la fonction de vos
groupes de scurit rseau

Rgion

Rgion
Azure dans
laquelle le
groupe de
scurit
rseau est
hberg

Les groupes de scurit rseau ne peuvent tre

appliqus quaux ressources de la rgion dans
laquelle ils sont crs

Voir les limites cidessous pour savoir

combien de groupes de scurit rseau vous
pouvez avoir dans une rgion

https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

1/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

Proprit

Description

Contraintes

Considrations

Groupe
de
ressources

Groupe de
ressources
auquel le
groupe de
scurit
rseau
appartient

Bien quun groupe de scurit rseau appartienne

un groupe de ressources, il peut tre associ des
ressources dans nimporte quel groupe de
ressources, tant que le groupe de ressources fait
partie de la mme rgion Azure que le groupe de
scurit rseau

Les groupes de ressources servent grer

plusieurs ressources ensemble, comme une
unit de dploiement
Vous pouvez envisager de regrouper le
groupe de scurit rseau avec les ressources
auxquelles il est associ

Rgles

Rgles
dfinissant
quel trafic
est autoris
ou refus

Voir les rgles de groupe de scurit rseau

cidessous

Remarque
Les contrles daccs rseau bass sur le point de terminaison et les groupes de scurit rseau ne sont pas pris en charge sur la
mme instance de machine virtuelle. Si vous souhaitez utiliser un groupe de scurit rseau et une ACL de point de terminaison
dj en place, supprimez d'abord lACL de point de terminaison. Pour en savoir plus sur cette procdure, consultez Gestion des
listes de contrle daccs ACL pour les points de terminaison laide de PowerShell.

rgles de groupe de scurit rseau

Les rgles de groupe de scurit rseau contiennent les proprits suivantes :
Proprit

Description

Contraintes

Considrations

Name

Nom de la rgle

Doit tre unique dans la rgion

Peut contenir des lettres, des
chiffres, des traits de
soulignement, des points et des
traits dunion
Doit commencer par une lettre
ou un chiffre
Doit se terminer par une lettre,
un chiffre ou un trait de
soulignement
peut contenir jusqu 80
caractres

Un groupe de scurit rseau peut contenir

plusieurs rgles, alors assurezvous que vous
respectez une convention daffectation de
noms qui vous permet didentifier la fonction
de votre rgle

Protocole

Protocole faire correspondre

pour la rgle

TCP, UDP ou *

Utilisation de * car un protocole inclut ICMP

trafic estouest uniquement, ainsi que UDP
et TCP, et peut rduire le nombre de rgles
dont vous avez besoin
Dans le mme temps, lutilisation de * peut
tre une approche trop large. Veillez ne
lutiliser que lorsque cela est vraiment
ncessaire

Plage de
ports
source

Plage de ports source faire

correspondre pour la rgle

Numro de port unique compris

entre 1 et 65535, plage de ports
par exemple, 165635 ou *
pour tous les ports

Les ports source peuvent tre phmres.

Privilgiez lutilisation de * dans la plupart
des cas, sauf si votre programme client utilise
un port spcifique.
Essayez dutiliser autant de plages de ports
que possible afin dviter davoir plusieurs
rgles.
Il est impossible de regrouper plusieurs ports
ou plages de ports avec une virgule.

Plage de
ports de
destination

Plage de ports de destination

faire correspondre pour la
rgle

Numro de port unique compris

entre 1 et 65535, plage de ports
par exemple, 165535 ou *
pour tous les ports

Essayez dutiliser autant de plages de ports

que possible afin dviter davoir plusieurs
rgles.
Il est impossible de regrouper plusieurs ports
ou plages de ports avec une virgule.

Prfixe
dadresse
source

Prfixe dadresse source

faire correspondre la rgle

Une seule adresse IP par

exemple 10.10.10.10, sous
rseau IP par exemple,
192.168.1.0/24 balise par
dfaut, ou * pour toutes les
adresses

Envisagez dutiliser des plages, balises par

dfaut et * pour rduire le nombre de rgles

https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

2/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

Proprit

Description

Contraintes

Considrations

Prfixe
dadresse
de
destination

Prfixe dadresse de
destination ou balise pour
faire correspondre la rgle

une seule adresse IP par

exemple 10.10.10.10, sous
rseau IP par exemple,
192.168.1.0/24 balise par
dfaut, ou * pour toutes les
adresses

Envisagez dutiliser des plages, balises par

dfaut et * pour rduire le nombre de rgles

Direction

Direction du trafic faire

correspondre pour la rgle

entrant ou sortant

Les rgles entrantes et sortantes sont traites

sparment, en fonction de la direction

Priorit

Les rgles sont vrifies dans

lordre de priorit ; une fois
quune rgle sapplique, plus
aucune correspondance de
rgle nest teste.

Nombre compris entre 100 et

4096.

Envisagez de crer des rgles de passage des

priorits par 100 pour chaque rgle, de laisser
de la place pour les nouvelles rgles venir
entre les rgles existantes

Access

Type d'accs appliquer si la

rgle correspond

autoriser ou refuser

Noubliez pas que si la rgle dautorisation

dun paquet est introuvable, le paquet est
abandonn

Les groupes de scurit rseau contiennent deux ensembles de rgles : les rgles de trafic entrant et les rgles de trafic
sortant. La priorit dune rgle doit tre unique dans chaque ensemble.

La figure cidessus illustre le mode de traitement des rgles de groupe de scurit rseau.

Balises par dfaut

Les balises par dfaut sont des identificateurs fournis par le systme pour adresser une catgorie d'adresses IP. Vous
pouvez utiliser les balises par dfaut dans les proprits du prfixe dadresse source et du prfixe dadresse de
destination de toute rgle. Il existe trois balises par dfaut que vous pouvez utiliser.
VIRTUAL_NETWORK : cette balise par dfaut indique tous les espaces dadressage de votre rseau. Elle inclut lespace
dadressage du rseau virtuel plages CIDR dfinies dans Azure, ainsi que tous les espaces dadressage local connect
et les rseaux virtuels Azure connects rseaux locaux.
AZURE_LOADBALANCER : cette balise par dfaut indique lquilibreur de charge de linfrastructure dAzure. Il
convertit en une adresse IP de centre de donnes Azure lemplacement do proviennent les sondes dintgrit
dAzure.
INTERNET : cette balise par dfaut indique lespace dadresse IP qui se trouve en dehors du rseau virtuel et est
accessible par lInternet public. Cette plage inclut espace IP public dAzure .

Rgles par dfaut

https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

3/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

Tous les groupes de ressources rseau contiennent un ensemble de rgles par dfaut. Les rgles par dfaut ne peuvent
pas tre supprimes, mais comme la priorit la plus basse leur est attribue, elles peuvent tre remplaces par les rgles
que vous crez.
Comme illustr par les rgles par dfaut cidessous, le trafic dorigine et de fin dun rseau virtuel est autoris la fois
dans les directions entrante et sortante. Tandis que la connectivit Internet est autorise pour la direction sortante, elle
est bloque par dfaut pour la direction entrante. Il existe une rgle par dfaut pour autoriser lquilibreur de charge
dAzure tester lintgrit des machines virtuelles et les instances de rle. Vous pouvez remplacer cette rgle si vous
nutilisez pas un ensemble de charges quilibr.
Les rgles par dfaut sont :

Name

Priorit

IP Source

Port
source

IP de destination

Port de
destination

Protocole

Access

AUTORISER LE
TRAFIC
ENTRANT DU
RSEAU
VIRTUEL

65 000

VIRTUAL_NETWORK

VIRTUAL_NETWORK

AUTORISER

AUTORISER LE
TRAFIC
ENTRANT DE
L'QUILIBREUR
DE CHARGE
AZURE

65 001

AZURE_LOADBALANCER

AUTORISER

REFUSER
TOUT TRAFIC
ENTRANT

65 500

REFUSER

Les rgles sortantes par dfaut sont :

Name

Priorit

IP Source

Port
source

IP de destination

Port de
destination

Protocole

Access

AUTORISER
LE TRAFIC
SORTANT
DU RSEAU
VIRTUEL

65 000

VIRTUAL_NETWORK

VIRTUAL_NETWORK

AUTORISER

AUTORISER
LE TRAFIC
SORTANT
DINTERNET

65 001

INTERNET

AUTORISER

REFUSER
TOUT
TRAFIC
SORTANT

65 500

REFUSER

Association de groupe de scurit rseau

Vous pouvez associer un groupe de scurit rseau aux machines virtuelles, aux cartes rseau et sousrseau, selon le
modle de dploiement que vous utilisez.
Association dun groupe de scurit rseau une machine virtuelle uniquement pour les dploiements classiques.
Lorsque vous associez un groupe de scurit rseau une machine virtuelle, les rgles daccs rseau du groupe de
scurit rseau sont appliques tout le trafic destination et en provenance de la machine virtuelle.
Association dun groupe de scurit rseau une carte rseau uniquement pour les dploiements de gestionnaire de
ressources. Lorsque vous associez un groupe de scurit rseau une carte rseau, les rgles daccs rseau du
groupe de scurit rseau sont appliques uniquement cette carte dinterface rseau. Cela signifie que dans une
machine virtuelle dote de plusieurs cartes dinterface rseau, si un groupe de scurit rseau est appliqu une
seule carte dinterface rseau, il naffecte pas le trafic li dautres cartes dinterface rseau.
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

4/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

Association dun groupe de scurit rseau un sousrseau et une machine virtuelle. Lorsquun groupe de scurit
rseau est affect un sousrseau, les rgles daccs rseau au sein du groupe de scurit rseau sont appliques
toutes les ressources IaaS et PaaS dans le sousrseau.
Vous pouvez associer diffrents groupes de scurit rseau une machine virtuelle ou une carte rseau, selon le
modle de dploiement et le sousrseau auquel une carte rseau ou la machine virtuelle est lie. Lorsque cela se
produit, toutes les rgles daccs rseau sont appliques au trafic, par ordre de priorit dans chaque groupe de scurit
rseau, dans lordre suivant :
Trafic entrant
1. Groupe de scurit rseau appliqu au sousrseau : si le groupe de scurit rseau du sousrseau dispose
dune rgle de correspondance pour refuser le trafic, le paquet est abandonn.
2. Groupe de scurit rseau appliqu la carte dinterface rseau Resource Manager ou la machine
virtuelle classique : si le groupe de scurit rseau appliqu la carte dinterface rseau\machine virtuelle
dispose dune rgle de correspondance pour refuser le trafic, le paquet est abandonn au niveau de la
machine virtuelle\carte dinterface rseau, bien que le groupe de scurit rseau du sousrseau dispose
dune rgle de correspondance pour autoriser le trafic.
Trafic sortant
1. Groupe de scurit rseau appliqu la carte dinterface rseau Resource Manager ou la machine
virtuelle classique : si le groupe de scurit rseau appliqu la carte dinterface rseau\machine virtuelle
dispose dune rgle de correspondance pour refuser le trafic, le paquet est abandonn.
2. Groupe de scurit rseau appliqu au sousrseau : si le groupe de scurit rseau du sousrseau dispose
dune rgle de correspondance pour refuser le trafic, le paquet est abandonn ici, bien que le groupe de
scurit rseau appliqu la carte dinterface rseau\machine virtuelle dispose dune rgle de
correspondance pour autoriser le trafic.
Remarque
Bien que vous ne puissiez associer quun seul groupe de scurit rseau un sousrseau, une machine virtuelle ou une carte
dinterface rseau, vous pouvez associer le mme groupe de scurit rseau au nombre de ressources que vous souhaitez.

Implmentation
Vous pouvez implmenter des groupes de scurit rseau dans les modles de dploiement standard ou du
Gestionnaire de ressources laide des diffrents outils rpertoris cidessous.
Outil de dploiement

Classique

Gestionnaire de ressources

Portail classique

Non

Non

Portail Azure

Oui

Oui

PowerShell

Oui

Oui

Interface de ligne de commande Azure

Oui

Oui

Modle ARM

Non

Oui

Planification
Avant dimplmenter des groupes de scurit rseau, vous devez rpondre aux questions suivantes :
1. Quels sont les types de ressources depuis ou vers lesquels vous voulez filtrer le trafic cartes rseau dans la mme
machine virtuelle, machines virtuelles ou autres ressources telles que les services de cloud ou des environnements de
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

5/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

service dapplication connectes au mme sousrseau, ou entre les ressources connectes diffrents sousrseaux
?
2. Les ressources vers ou depuis lesquelles vous voulez filtre le trafic partir de sousrseau dans les rseaux virtuels
existants sontelles connectes des rseaux dans des rseaux virtuels existants ou serontelles connectes de
nouveaux rseaux virtuels ou sousrseaux ?
Pour plus dinformations sur la planification de la scurit rseau dans Azure, consultez les pratiques recommandes
pour les services cloud et la scurit rseau.

Remarques relatives la conception

Une fois que vous connaissez les rponses aux questions dans la section Planification , consultez les rubriques suivantes
avant de dfinir vos groupes de scurit rseau.

limites
Vous devez tenir compte des limites suivantes en concevant vos groupes de scurit rseau.

Description

Limite
par
dfaut

Implications

Nombre de groupes de
scurit rseau que vous
pouvez associer un sous
rseau, une machine virtuelle
ou une carte rseau

Cela signifie que vous ne pouvez pas combiner des groupes de scurit rseau. Vrifiez
que toutes les rgles ncessaires un ensemble donn de ressources sont incluses dans
un seul groupe de scurit rseau.

Groupes de scurit rseau

par rgion et par
abonnement

100

Par dfaut, un nouveau groupe de scurit rseau est cr pour chaque machine virtuelle
que vous crez dans le portail Azure. Si vous autorisez ce comportement par dfaut,
puiserez rapidement vos groupes de scurit rseau. Veillez garder cette limite
lesprit pendant votre conception et sparer vos ressources en plusieurs rgions ou
abonnements si ncessaire.

Rgles de groupe de scurit

rseau par groupe de
scurit rseau

200

Utiliser une large plage dadresses IP et ports pour vous garantir de ne pas aller audel
de cette limite.

Important
Assurezvous que vous pouvez afficher toutes les limites lies aux services de mise en rseau dans Azure avant de concevoir votre
solution. Il est possible daugmenter certaines limites par le biais dun ticket dassistance.

Conception de rseau virtuel et de sous-rseau

Comme les groupes de scurit rseau peuvent tre appliqus des sousrseaux, vous pouvez rduire le nombre de
groupes de scurit rseau en regroupant vos ressources par sousrseau et en appliquant des groupes de scurit
rseau aux sousrseaux. Si vous dcidez dappliquer des groupes de scurit rseau des sousrseaux, il se peut que
vous trouviez des rseaux virtuels et les sousrseaux existants qui nont pas t dfinis avec des groupes de scurit
rseau lesprit. Vous pouvez peuttre dfinir de nouveaux rseaux virtuels et sousrseaux pour prendre en charge
votre conception groupe de scurit rseau. Et dployer vos nouvelles ressources sur vos nouveaux sousrseaux. Vous
pouvez ensuite dfinir une stratgie de migration pour dplacer des ressources existantes vers les nouveaux sous
rseaux.

Rgles spciales
Vous devez prendre en compte le compte des rgles spciales rpertories cidessous. Assurezvous que vous ne
bloquez pas le trafic autoris par ces rgles, sinon votre infrastructure ne sera pas en mesure de communiquer avec des
services Azure essentiels.

https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

6/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

Adresse IP virtuelle du nud hte : des services dinfrastructure de base tels que DHCP, DNS et lanalyse du
fonctionnement sont fournis via l'adresse IP dhte virtualis 168.63.129.16. Cette adresse IP publique appartient
Microsoft et la seule adresse IP virtualise utilise dans toutes les rgions cet effet. Cette adresse IP mappe vers
l'adresse IP physique de lordinateur nud hte du serveur qui hberge la machine virtuelle. Le nud hte agit en
tant que relais DHCP, le programme de rsolution rcursif DNS et la sonde source de la sonde dintgrit de
lquilibreur de charge et de la sonde dintgrit de la machine. La communication cette adresse IP ne doit pas tre
considre comme une attaque.
Gestion des licences service de gestion de cls : les images Windows en cours d'excution sur les machines virtuelles
doivent tre acquises sous licence. Pour cela, une demande de licence est envoye aux serveurs htes du service de
gestion de cls qui grent ces requtes. Ce sera toujours sur le port 1688 sortant.

Trafic ICMP
Les rgles de groupe de scurit rseau actuelles autorisent uniquement les protocoles TCP ou UDP. Il nexiste aucune
balise spcifique pour ICMP. Toutefois, le trafic ICMP est autoris dans un rseau virtuel par dfaut via les rgles de
trafic entrant du rseau virtuel rgle de trafic entrant par dfaut 65000 qui autorisent le trafic de/vers nimporte quel
port et protocole dans le rseau virtuel.

Sous-rseaux
Tenez compte du nombre de niveaux que requiert votre charge de travail. Chaque niveau peut tre isol laide dun
sousrseau, avec un groupe de scurit rseau appliqu au sousrseau.
Si vous avez besoin dimplmenter un sousrseau de passerelle VPN ou de circuit ExpressRoute, vous devez vous
assurer de ne PAS appliquer un groupe de scurit rseau ce sousrseau. Si vous procdez ainsi, votre connectivit
inter rseau ou entre sites ne fonctionnera pas.
Si vous avez besoin dimplmenter un quipement virtuel, assurezvous de dployer lapplication virtuelle sur son
propre sousrseau, de sorte que votre propre UDR puisse fonctionner correctement. Vous pouvez implmenter un
niveau de sousrseau groupe de scurit rseau pour filtrer le trafic vers et depuis ce sousrseau. En savoir plus sur
comment contrler le flux de trafic et utiliser des quipements virtuels.

quilibreurs de charge
Envisagez lquilibrage de charge et les rgles NAT pour chaque quilibreur de charge utilis par chacune de vos
charges de travail. Ces rgles sont lies un pool principal qui contient des cartes rseau dploiements de
Gestionnaire de ressources ou machines virtuelles/instances de rle dploiements classiques. Envisagez de crer un
groupe de scurit rseau pour chaque pool principal, ce qui permet uniquement le trafic mapp via les rgles
implmentes dans les quilibreurs de charge. Cela garantit que le trafic entrant directement vers le pool principal
sans passer par lquilibreur de charge est galement filtr.
Dans les dploiements classiques, vous pouvez crer des points de terminaison qui mappent des ports dun
quilibreur de charge sur des ports sur vos machines virtuelles ou instances de rle. Vous pouvez galement crer
votre propre quilibreur de charge public individuel dans un dploiement du Gestionnaire de ressources. Si vous
limitez le trafic aux machines virtuelles et instances de rle qui font partie dun pool de serveur principal dans un
quilibreur de charge laide de groupes de scurit rseau, noubliez pas que le port de destination pour le trafic
entrant est le port rel de la machine virtuelle ou de linstance de rle, et non le port expos par lquilibreur de
charge. Gardez lesprit que le port source et ladresse de connexion la machine virtuelle sont un port et une
adresse sur lordinateur distant sur Internet, pas le port et ladresse exposs par lquilibreur de charge.
Comme en cas de port public prsent aux quilibreurs de charge, lorsque vous crez des groupes de scurit rseau
pour filtrer le trafic provenant dun quilibreur de charge interne, vous devez comprendre que le port source et la
plage dadresses appliqus sont ceux de lordinateur lorigine de lappel, et pas lquilibreur de charge. Et le port de
destination et la plage dadresses sont associs lordinateur recevant le trafic, et non lquilibreur de charge.

Autres
Les contrles daccs rseau bass sur le point de terminaison et les groupes de scurit rseau ne sont pas pris en
charge sur la mme instance de machine virtuelle. Si vous souhaitez utiliser un groupe de scurit rseau et une ACL
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

7/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

de point de terminaison dj en place, supprimez d'abord lACL de point de terminaison. Pour plus dinformations,
consultez Grer les ACL de point de terminaison.
Dans le modle de dploiement de gestionnaire de ressources, vous pouvez utiliser un groupe de scurit rseau
associ une carte rseau pour les machines virtuelles contenant plusieurs cartes rseau pour activer la gestion
accs distance par carte rseau, ce qui revient sparer le trafic.
Comme en cas dutilisation des quilibreurs de charge, lorsque vous filtrez le trafic vers dautres rseaux virtuels, vous
devez utiliser la plage dadresses source de lordinateur distant, et non la passerelle qui connecte les rseaux virtuels.
De nombreux services Azure ne peuvent pas tre connects aux rseaux virtuels Azure et donc, le trafic depuis et vers
ces derniers ne peuvent tre filtrs laide des groupes de scurit rseau. Lisez la documentation des services vous
permettant de dterminer si oui ou non ils peuvent tre connects des rseaux virtuels.

Exemple
de dploiement
+ Options
Pour montrer lapplication des informations dans cet article, nous allons dfinir des groupes de scurit rseau pour
filtrer le trafic rseau dune solution de charge de travail deux niveaux avec les spcifications suivantes :
1. Sparation du trafic entre le serveur frontal serveurs web Windows et le serveur principal serveurs de base de
donnes SQL.
2. Rgles dquilibrage de charge du transfert de trafic pour lquilibreur de charge sur tous les serveurs web sur le port
80.
3. Les rgles NAT de transfert de trafic arrivant au port 50001 de lquilibreur de charge vers le port 3389 une seule
machine virtuelle dans la partie frontale.
4. Aucun accs aux machines virtuelles frontales ou principales depuis Internet, lexception du numro de la
spcification 1.
5. Aucun accs partir des serveurs frontaux ou principaux vers Internet.
6. Accs au port 3389 vers nimporte quel serveur frontal, le trafic entrant du sousrseau frontal luimme.
7. Accs au port 3389 pour toutes les machines virtuelles SQL Server dans le sousrseau entre le rseau principal et le
rseau frontal uniquement.
8. Accs au port 1433 pour toutes les machines virtuelles SQL Server dans le sousrseau entre le rseau principal et le
rseau frontal uniquement.
9. Sparation du trafic de gestion port 3389 et du trafic de base de donnes 1433 sur les diffrentes cartes rseau
dans les machines virtuelles principales.

https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

8/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

+ Options

Comme indiqu dans le diagramme cidessus, les machines virtuelles Web1 et Web2 sont connectes au sousrseau

frontal et les machines virtuelles DB1 et DB2 sont connectes au sousrseau principal. Les deux sousrseaux font
partie du rseau virtuel TestVNet . Toutes les ressources sont affectes la rgion Azure Ouest des tatsUnis .
Les configurations requises 1 6 lexception de 3 cidessus sont limites aux espaces de sousrseau confins. Pour
rduire le nombre de rgles requises pour chaque groupe de scurit rseau, et pour faciliter lajout de machines
virtuelles supplmentaires aux sousrseaux excutant les mmes types de charge de travail que les machines virtuelles,
nous pouvons mettre en uvre le niveau de sousrseau suivant.

Groupe de scurit rseau pour le sous-rseau frontal

Rgles de trafic entrant

Rgle

Access

Priorit

Plage
dadresses
source

Autoriser HTTP

AUTORISER

100

INTERNET

80

TCP

Autoriser RDP partir

du serveur frontal

AUTORISER

200

192.168.1.0/24

3389

TCP

refuser tout lment

en provenance
dInternet

REFUSER

300

INTERNET

TCP

https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

Port
source

Plage
dadresses de
destination

Port de
destination

Protocole

9/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

Rgles de trafic sortant

Rgle

Access

Priorit

Plage dadresses
source

Port
source

Plage dadresses de
destination

Port de
destination

Protocole

refuser
Internet

REFUSER

100

INTERNET

Groupe de scurit rseau pour le sous-rseau principal

Rgles de trafic entrant

Rgle

Access

Priorit

Plage dadresses
source

Port
source

Plage dadresses de
destination

Port de
destination

Protocole

REFUSER

100

INTERNET

+ Options

refuser
Internet

Rgles de trafic sortant

Rgle

Access

Priorit

Plage dadresses
source

Port
source

Plage dadresses de
destination

Port de
destination

Protocole

refuser
Internet

REFUSER

100

INTERNET

Groupe de scurit rseau pour machine virtuelle (carte rseau) dans un serveur frontal pour RDP
depuis Internet
Rgles de trafic entrant

Rgle

Access

Priorit

Plage
dadresses
source

Autoriser RDP
partir dInternet

AUTORISER

100

INTERNET

Port
source

Plage dadresses
de destination

Port de
destination

Protocole

3389

TCP

Remarque
Notez que la plage dadresses source pour cette rgle est Internet, et non ladresse IP virtuelle de lquilibreur de charge et le port
source\, pas 500001. Ne confondez pas les rgles NAT/rgles dquilibre de charge et rgles de groupe de scurit rseau. Les
rgles du groupe de scurit rseau sont toujours associes la source dorigine et la destination finale du trafic, et **PAS*
lquilibreur de charge entre les deux.

Le groupe de scurit rseau pour la gestion des cartes rseau dans le serveur principal
Rgles de trafic entrant

Rgle

Access

Priorit

Plage
dadresses
source

Autoriser RDP
partir du serveur
frontal

AUTORISER

100

192.168.1.0/24

Port
source

Plage
dadresses de
destination

Port de
destination

Protocole

3389

TCP

Groupe de scurit rseau pour la gestion des cartes rseau dans le serveur principal
Rgles de trafic entrant

https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

10/11

25/01/2017

Groupesdescuritrseau|MicrosoftDocs

Rgle

Access

Priorit

Plage
dadresses
source

Autoriser SQL
partir du serveur
frontal

AUTORISER

100

192.168.1.0/24

Port
source

Plage
dadresses de
destination

Port de
destination

Protocole

1433

TCP

tant donn que certains des groupes de scurit rseau cidessus doivent tre associs des cartes rseau
individuelles, vous devez dployer ce scnario en tant que dploiement de gestionnaire de ressources. Notez comment
les rgles sont combines au niveau du sousrseau et de la carte rseau, selon la faon dont ils doivent tre appliqus.

tapes suivantes
+ Options
Dploiement des groupes de scurit rseau dans le modle de dploiement classique.
Dploiement des groupes de scurit rseau dans Resource Manager.
Gestion des journaux de groupe de scurit rseau.

Franais

Blog Confidentialit & cookies Conditions d"utilisation Commentaires Marques

https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg

11/11