ネットワーク セキュリティ グループ規則を決定する
ネットワーク セキュリティ グループのセキュリティ規則を使用すると、ネットワーク トラフィックをフィルター処理できます。 規則を定義すると、仮想ネットワーク サブネットとネットワーク インターフェイス間のトラフィック フローを制御できます。
セキュリティ規則について知っておくべきこと
ネットワーク セキュリティ グループのセキュリティ規則の特性を確認してみましょう。
Azure では、受信トラフィックや送信トラフィックなど、各ネットワーク セキュリティ グループ内にいくつかの既定のセキュリティ規則が作成されます。 既定の規則の例としては、
DenyAllInboundトラフィックとAllowInternetOutboundトラフィックがあります。作成する各ネットワーク セキュリティ グループに、Azure によって既定のセキュリティ規則が作成されます。
次のいずれかの設定の条件を指定することで、ネットワーク セキュリティ グループにさらにセキュリティ規則を追加できます。
- 名前
- 優先順位
- [ポート]
- プロトコル (任意、TCP、UDP)
- 接続元 (任意、IP アドレス、サービス タグ)
- 接続先 (任意、IP アドレス、仮想ネットワーク)
- アクション (許可または拒否)
各セキュリティ規則には優先度値が割り当てられます。 ネットワーク セキュリティ グループのすべてのセキュリティ規則は、優先順位に従って処理されます。 規則の優先度の値が小さい場合、規則の優先度または優先順位は順序処理の観点から高くなります。
既定のセキュリティ規則を削除することはできません。
既定のセキュリティ規則をオーバーライドするには、ネットワーク セキュリティ グループの優先度設定がより高い別のセキュリティ規則を作成します。
受信トラフィック規則
Azure では、ネットワーク セキュリティ グループの既定の受信セキュリティ規則が 3 つ定義されています。 この規則では、仮想ネットワークと Azure ロード バランサーからのトラフィックを除く、すべての受信トラフィックが拒否されます。 次の図は、Azure portal のネットワーク セキュリティ グループの既定の受信セキュリティ規則を示しています。
送信トラフィック規則
Azure では、ネットワーク セキュリティ グループの既定の送信セキュリティ規則が 3 つ定義されています。 これらの規則では、インターネットと仮想ネットワークへの送信トラフィックのみが許可されます。 次の図は、Azure portal のネットワーク セキュリティ グループの既定の送信セキュリティ規則を示しています。
