Académique Documents
Professionnel Documents
Culture Documents
Groupesdescuritrseau|MicrosoftDocs
En utilisant ce site, vous autorisez les cookies des fins danalyse, de pertinence et de publicit.
En savoir plus
tous
Un groupe de scurit rseau NSG contient une liste des rgles de liste de contrle daccs ACL qui autorise ou
rejette les instances de machine virtuelle dans un rseau virtuel. Des groupes de scurit rseau peuvent tre associs
des sousrseaux ou des instances de machine virtuelle au sein de ce sousrseau. Lorsquun groupe de scurit
rseau est associ un sousrseau, les rgles ACL sappliquent toutes les instances de machine virtuelle prsentes
dans ce sousrseau. En outre, le trafic vers un ordinateur virtuel individuel peut tre limit par lassociation dun groupe
de scurit rseau directement la machine virtuelle.
Remarque
Azure dispose de deux modles de dploiement diffrents pour crer et utiliser des ressources : Resource Manager et classique. Cet
article traite des deux modles, mais Microsoft recommande dutiliser le modle Resource Manager dans la plupart des nouveaux
dploiements.
Description
Contraintes
Considrations
Name
Nom du
groupe de
scurit
rseau
Rgion
Rgion
Azure dans
laquelle le
groupe de
scurit
rseau est
hberg
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg
1/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
Proprit
Description
Contraintes
Considrations
Groupe
de
ressources
Groupe de
ressources
auquel le
groupe de
scurit
rseau
appartient
Rgles
Rgles
dfinissant
quel trafic
est autoris
ou refus
Remarque
Les contrles daccs rseau bass sur le point de terminaison et les groupes de scurit rseau ne sont pas pris en charge sur la
mme instance de machine virtuelle. Si vous souhaitez utiliser un groupe de scurit rseau et une ACL de point de terminaison
dj en place, supprimez d'abord lACL de point de terminaison. Pour en savoir plus sur cette procdure, consultez Gestion des
listes de contrle daccs ACL pour les points de terminaison laide de PowerShell.
Description
Contraintes
Considrations
Name
Nom de la rgle
Protocole
TCP, UDP ou *
Plage de
ports
source
Plage de
ports de
destination
Prfixe
dadresse
source
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg
2/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
Proprit
Description
Contraintes
Considrations
Prfixe
dadresse
de
destination
Prfixe dadresse de
destination ou balise pour
faire correspondre la rgle
Direction
entrant ou sortant
Priorit
Access
autoriser ou refuser
Les groupes de scurit rseau contiennent deux ensembles de rgles : les rgles de trafic entrant et les rgles de trafic
sortant. La priorit dune rgle doit tre unique dans chaque ensemble.
La figure cidessus illustre le mode de traitement des rgles de groupe de scurit rseau.
3/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
Tous les groupes de ressources rseau contiennent un ensemble de rgles par dfaut. Les rgles par dfaut ne peuvent
pas tre supprimes, mais comme la priorit la plus basse leur est attribue, elles peuvent tre remplaces par les rgles
que vous crez.
Comme illustr par les rgles par dfaut cidessous, le trafic dorigine et de fin dun rseau virtuel est autoris la fois
dans les directions entrante et sortante. Tandis que la connectivit Internet est autorise pour la direction sortante, elle
est bloque par dfaut pour la direction entrante. Il existe une rgle par dfaut pour autoriser lquilibreur de charge
dAzure tester lintgrit des machines virtuelles et les instances de rle. Vous pouvez remplacer cette rgle si vous
nutilisez pas un ensemble de charges quilibr.
Les rgles par dfaut sont :
Name
Priorit
IP Source
Port
source
IP de destination
Port de
destination
Protocole
Access
AUTORISER LE
TRAFIC
ENTRANT DU
RSEAU
VIRTUEL
65 000
VIRTUAL_NETWORK
VIRTUAL_NETWORK
AUTORISER
AUTORISER LE
TRAFIC
ENTRANT DE
L'QUILIBREUR
DE CHARGE
AZURE
65 001
AZURE_LOADBALANCER
AUTORISER
REFUSER
TOUT TRAFIC
ENTRANT
65 500
REFUSER
Name
Priorit
IP Source
Port
source
IP de destination
Port de
destination
Protocole
Access
AUTORISER
LE TRAFIC
SORTANT
DU RSEAU
VIRTUEL
65 000
VIRTUAL_NETWORK
VIRTUAL_NETWORK
AUTORISER
AUTORISER
LE TRAFIC
SORTANT
DINTERNET
65 001
INTERNET
AUTORISER
REFUSER
TOUT
TRAFIC
SORTANT
65 500
REFUSER
4/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
Association dun groupe de scurit rseau un sousrseau et une machine virtuelle. Lorsquun groupe de scurit
rseau est affect un sousrseau, les rgles daccs rseau au sein du groupe de scurit rseau sont appliques
toutes les ressources IaaS et PaaS dans le sousrseau.
Vous pouvez associer diffrents groupes de scurit rseau une machine virtuelle ou une carte rseau, selon le
modle de dploiement et le sousrseau auquel une carte rseau ou la machine virtuelle est lie. Lorsque cela se
produit, toutes les rgles daccs rseau sont appliques au trafic, par ordre de priorit dans chaque groupe de scurit
rseau, dans lordre suivant :
Trafic entrant
1. Groupe de scurit rseau appliqu au sousrseau : si le groupe de scurit rseau du sousrseau dispose
dune rgle de correspondance pour refuser le trafic, le paquet est abandonn.
2. Groupe de scurit rseau appliqu la carte dinterface rseau Resource Manager ou la machine
virtuelle classique : si le groupe de scurit rseau appliqu la carte dinterface rseau\machine virtuelle
dispose dune rgle de correspondance pour refuser le trafic, le paquet est abandonn au niveau de la
machine virtuelle\carte dinterface rseau, bien que le groupe de scurit rseau du sousrseau dispose
dune rgle de correspondance pour autoriser le trafic.
Trafic sortant
1. Groupe de scurit rseau appliqu la carte dinterface rseau Resource Manager ou la machine
virtuelle classique : si le groupe de scurit rseau appliqu la carte dinterface rseau\machine virtuelle
dispose dune rgle de correspondance pour refuser le trafic, le paquet est abandonn.
2. Groupe de scurit rseau appliqu au sousrseau : si le groupe de scurit rseau du sousrseau dispose
dune rgle de correspondance pour refuser le trafic, le paquet est abandonn ici, bien que le groupe de
scurit rseau appliqu la carte dinterface rseau\machine virtuelle dispose dune rgle de
correspondance pour autoriser le trafic.
Remarque
Bien que vous ne puissiez associer quun seul groupe de scurit rseau un sousrseau, une machine virtuelle ou une carte
dinterface rseau, vous pouvez associer le mme groupe de scurit rseau au nombre de ressources que vous souhaitez.
Implmentation
Vous pouvez implmenter des groupes de scurit rseau dans les modles de dploiement standard ou du
Gestionnaire de ressources laide des diffrents outils rpertoris cidessous.
Outil de dploiement
Classique
Gestionnaire de ressources
Portail classique
Non
Non
Portail Azure
Oui
Oui
PowerShell
Oui
Oui
Oui
Oui
Modle ARM
Non
Oui
Planification
Avant dimplmenter des groupes de scurit rseau, vous devez rpondre aux questions suivantes :
1. Quels sont les types de ressources depuis ou vers lesquels vous voulez filtrer le trafic cartes rseau dans la mme
machine virtuelle, machines virtuelles ou autres ressources telles que les services de cloud ou des environnements de
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg
5/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
service dapplication connectes au mme sousrseau, ou entre les ressources connectes diffrents sousrseaux
?
2. Les ressources vers ou depuis lesquelles vous voulez filtre le trafic partir de sousrseau dans les rseaux virtuels
existants sontelles connectes des rseaux dans des rseaux virtuels existants ou serontelles connectes de
nouveaux rseaux virtuels ou sousrseaux ?
Pour plus dinformations sur la planification de la scurit rseau dans Azure, consultez les pratiques recommandes
pour les services cloud et la scurit rseau.
limites
Vous devez tenir compte des limites suivantes en concevant vos groupes de scurit rseau.
Description
Limite
par
dfaut
Implications
Nombre de groupes de
scurit rseau que vous
pouvez associer un sous
rseau, une machine virtuelle
ou une carte rseau
Cela signifie que vous ne pouvez pas combiner des groupes de scurit rseau. Vrifiez
que toutes les rgles ncessaires un ensemble donn de ressources sont incluses dans
un seul groupe de scurit rseau.
100
Par dfaut, un nouveau groupe de scurit rseau est cr pour chaque machine virtuelle
que vous crez dans le portail Azure. Si vous autorisez ce comportement par dfaut,
puiserez rapidement vos groupes de scurit rseau. Veillez garder cette limite
lesprit pendant votre conception et sparer vos ressources en plusieurs rgions ou
abonnements si ncessaire.
200
Utiliser une large plage dadresses IP et ports pour vous garantir de ne pas aller audel
de cette limite.
Important
Assurezvous que vous pouvez afficher toutes les limites lies aux services de mise en rseau dans Azure avant de concevoir votre
solution. Il est possible daugmenter certaines limites par le biais dun ticket dassistance.
Rgles spciales
Vous devez prendre en compte le compte des rgles spciales rpertories cidessous. Assurezvous que vous ne
bloquez pas le trafic autoris par ces rgles, sinon votre infrastructure ne sera pas en mesure de communiquer avec des
services Azure essentiels.
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg
6/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
Adresse IP virtuelle du nud hte : des services dinfrastructure de base tels que DHCP, DNS et lanalyse du
fonctionnement sont fournis via l'adresse IP dhte virtualis 168.63.129.16. Cette adresse IP publique appartient
Microsoft et la seule adresse IP virtualise utilise dans toutes les rgions cet effet. Cette adresse IP mappe vers
l'adresse IP physique de lordinateur nud hte du serveur qui hberge la machine virtuelle. Le nud hte agit en
tant que relais DHCP, le programme de rsolution rcursif DNS et la sonde source de la sonde dintgrit de
lquilibreur de charge et de la sonde dintgrit de la machine. La communication cette adresse IP ne doit pas tre
considre comme une attaque.
Gestion des licences service de gestion de cls : les images Windows en cours d'excution sur les machines virtuelles
doivent tre acquises sous licence. Pour cela, une demande de licence est envoye aux serveurs htes du service de
gestion de cls qui grent ces requtes. Ce sera toujours sur le port 1688 sortant.
Trafic ICMP
Les rgles de groupe de scurit rseau actuelles autorisent uniquement les protocoles TCP ou UDP. Il nexiste aucune
balise spcifique pour ICMP. Toutefois, le trafic ICMP est autoris dans un rseau virtuel par dfaut via les rgles de
trafic entrant du rseau virtuel rgle de trafic entrant par dfaut 65000 qui autorisent le trafic de/vers nimporte quel
port et protocole dans le rseau virtuel.
Sous-rseaux
Tenez compte du nombre de niveaux que requiert votre charge de travail. Chaque niveau peut tre isol laide dun
sousrseau, avec un groupe de scurit rseau appliqu au sousrseau.
Si vous avez besoin dimplmenter un sousrseau de passerelle VPN ou de circuit ExpressRoute, vous devez vous
assurer de ne PAS appliquer un groupe de scurit rseau ce sousrseau. Si vous procdez ainsi, votre connectivit
inter rseau ou entre sites ne fonctionnera pas.
Si vous avez besoin dimplmenter un quipement virtuel, assurezvous de dployer lapplication virtuelle sur son
propre sousrseau, de sorte que votre propre UDR puisse fonctionner correctement. Vous pouvez implmenter un
niveau de sousrseau groupe de scurit rseau pour filtrer le trafic vers et depuis ce sousrseau. En savoir plus sur
comment contrler le flux de trafic et utiliser des quipements virtuels.
quilibreurs de charge
Envisagez lquilibrage de charge et les rgles NAT pour chaque quilibreur de charge utilis par chacune de vos
charges de travail. Ces rgles sont lies un pool principal qui contient des cartes rseau dploiements de
Gestionnaire de ressources ou machines virtuelles/instances de rle dploiements classiques. Envisagez de crer un
groupe de scurit rseau pour chaque pool principal, ce qui permet uniquement le trafic mapp via les rgles
implmentes dans les quilibreurs de charge. Cela garantit que le trafic entrant directement vers le pool principal
sans passer par lquilibreur de charge est galement filtr.
Dans les dploiements classiques, vous pouvez crer des points de terminaison qui mappent des ports dun
quilibreur de charge sur des ports sur vos machines virtuelles ou instances de rle. Vous pouvez galement crer
votre propre quilibreur de charge public individuel dans un dploiement du Gestionnaire de ressources. Si vous
limitez le trafic aux machines virtuelles et instances de rle qui font partie dun pool de serveur principal dans un
quilibreur de charge laide de groupes de scurit rseau, noubliez pas que le port de destination pour le trafic
entrant est le port rel de la machine virtuelle ou de linstance de rle, et non le port expos par lquilibreur de
charge. Gardez lesprit que le port source et ladresse de connexion la machine virtuelle sont un port et une
adresse sur lordinateur distant sur Internet, pas le port et ladresse exposs par lquilibreur de charge.
Comme en cas de port public prsent aux quilibreurs de charge, lorsque vous crez des groupes de scurit rseau
pour filtrer le trafic provenant dun quilibreur de charge interne, vous devez comprendre que le port source et la
plage dadresses appliqus sont ceux de lordinateur lorigine de lappel, et pas lquilibreur de charge. Et le port de
destination et la plage dadresses sont associs lordinateur recevant le trafic, et non lquilibreur de charge.
Autres
Les contrles daccs rseau bass sur le point de terminaison et les groupes de scurit rseau ne sont pas pris en
charge sur la mme instance de machine virtuelle. Si vous souhaitez utiliser un groupe de scurit rseau et une ACL
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg
7/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
de point de terminaison dj en place, supprimez d'abord lACL de point de terminaison. Pour plus dinformations,
consultez Grer les ACL de point de terminaison.
Dans le modle de dploiement de gestionnaire de ressources, vous pouvez utiliser un groupe de scurit rseau
associ une carte rseau pour les machines virtuelles contenant plusieurs cartes rseau pour activer la gestion
accs distance par carte rseau, ce qui revient sparer le trafic.
Comme en cas dutilisation des quilibreurs de charge, lorsque vous filtrez le trafic vers dautres rseaux virtuels, vous
devez utiliser la plage dadresses source de lordinateur distant, et non la passerelle qui connecte les rseaux virtuels.
De nombreux services Azure ne peuvent pas tre connects aux rseaux virtuels Azure et donc, le trafic depuis et vers
ces derniers ne peuvent tre filtrs laide des groupes de scurit rseau. Lisez la documentation des services vous
permettant de dterminer si oui ou non ils peuvent tre connects des rseaux virtuels.
Exemple
de dploiement
+ Options
Pour montrer lapplication des informations dans cet article, nous allons dfinir des groupes de scurit rseau pour
filtrer le trafic rseau dune solution de charge de travail deux niveaux avec les spcifications suivantes :
1. Sparation du trafic entre le serveur frontal serveurs web Windows et le serveur principal serveurs de base de
donnes SQL.
2. Rgles dquilibrage de charge du transfert de trafic pour lquilibreur de charge sur tous les serveurs web sur le port
80.
3. Les rgles NAT de transfert de trafic arrivant au port 50001 de lquilibreur de charge vers le port 3389 une seule
machine virtuelle dans la partie frontale.
4. Aucun accs aux machines virtuelles frontales ou principales depuis Internet, lexception du numro de la
spcification 1.
5. Aucun accs partir des serveurs frontaux ou principaux vers Internet.
6. Accs au port 3389 vers nimporte quel serveur frontal, le trafic entrant du sousrseau frontal luimme.
7. Accs au port 3389 pour toutes les machines virtuelles SQL Server dans le sousrseau entre le rseau principal et le
rseau frontal uniquement.
8. Accs au port 1433 pour toutes les machines virtuelles SQL Server dans le sousrseau entre le rseau principal et le
rseau frontal uniquement.
9. Sparation du trafic de gestion port 3389 et du trafic de base de donnes 1433 sur les diffrentes cartes rseau
dans les machines virtuelles principales.
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg
8/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
+ Options
Comme indiqu dans le diagramme cidessus, les machines virtuelles Web1 et Web2 sont connectes au sousrseau
frontal et les machines virtuelles DB1 et DB2 sont connectes au sousrseau principal. Les deux sousrseaux font
partie du rseau virtuel TestVNet . Toutes les ressources sont affectes la rgion Azure Ouest des tatsUnis .
Les configurations requises 1 6 lexception de 3 cidessus sont limites aux espaces de sousrseau confins. Pour
rduire le nombre de rgles requises pour chaque groupe de scurit rseau, et pour faciliter lajout de machines
virtuelles supplmentaires aux sousrseaux excutant les mmes types de charge de travail que les machines virtuelles,
nous pouvons mettre en uvre le niveau de sousrseau suivant.
Rgle
Access
Priorit
Plage
dadresses
source
Autoriser HTTP
AUTORISER
100
INTERNET
80
TCP
AUTORISER
200
192.168.1.0/24
3389
TCP
REFUSER
300
INTERNET
TCP
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg
Port
source
Plage
dadresses de
destination
Port de
destination
Protocole
9/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
Rgle
Access
Priorit
Plage dadresses
source
Port
source
Plage dadresses de
destination
Port de
destination
Protocole
refuser
Internet
REFUSER
100
INTERNET
Rgle
Access
Priorit
Plage dadresses
source
Port
source
Plage dadresses de
destination
Port de
destination
Protocole
REFUSER
100
INTERNET
+ Options
refuser
Internet
Rgle
Access
Priorit
Plage dadresses
source
Port
source
Plage dadresses de
destination
Port de
destination
Protocole
refuser
Internet
REFUSER
100
INTERNET
Groupe de scurit rseau pour machine virtuelle (carte rseau) dans un serveur frontal pour RDP
depuis Internet
Rgles de trafic entrant
Rgle
Access
Priorit
Plage
dadresses
source
Autoriser RDP
partir dInternet
AUTORISER
100
INTERNET
Port
source
Plage dadresses
de destination
Port de
destination
Protocole
3389
TCP
Remarque
Notez que la plage dadresses source pour cette rgle est Internet, et non ladresse IP virtuelle de lquilibreur de charge et le port
source\, pas 500001. Ne confondez pas les rgles NAT/rgles dquilibre de charge et rgles de groupe de scurit rseau. Les
rgles du groupe de scurit rseau sont toujours associes la source dorigine et la destination finale du trafic, et **PAS*
lquilibreur de charge entre les deux.
Le groupe de scurit rseau pour la gestion des cartes rseau dans le serveur principal
Rgles de trafic entrant
Rgle
Access
Priorit
Plage
dadresses
source
Autoriser RDP
partir du serveur
frontal
AUTORISER
100
192.168.1.0/24
Port
source
Plage
dadresses de
destination
Port de
destination
Protocole
3389
TCP
Groupe de scurit rseau pour la gestion des cartes rseau dans le serveur principal
Rgles de trafic entrant
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg
10/11
25/01/2017
Groupesdescuritrseau|MicrosoftDocs
Rgle
Access
Priorit
Plage
dadresses
source
Autoriser SQL
partir du serveur
frontal
AUTORISER
100
192.168.1.0/24
Port
source
Plage
dadresses de
destination
Port de
destination
Protocole
1433
TCP
tant donn que certains des groupes de scurit rseau cidessus doivent tre associs des cartes rseau
individuelles, vous devez dployer ce scnario en tant que dploiement de gestionnaire de ressources. Notez comment
les rgles sont combines au niveau du sousrseau et de la carte rseau, selon la faon dont ils doivent tre appliqus.
tapes suivantes
+ Options
Dploiement des groupes de scurit rseau dans le modle de dploiement classique.
Dploiement des groupes de scurit rseau dans Resource Manager.
Gestion des journaux de groupe de scurit rseau.
Franais
https://docs.microsoft.com/frfr/azure/virtualnetwork/virtualnetworksnsg
11/11