imtoken钱包下载电脑版|nsg

首页
nsg

imtoken钱包下载电脑版|nsg

作者： imtoken钱包下载电脑版

2024-03-07 20:14:41

一文带你了解免疫缺陷小鼠模型「真的很详细」 - 知乎

一文带你了解免疫缺陷小鼠模型「真的很详细」 - 知乎切换模式写文章登录/注册一文带你了解免疫缺陷小鼠模型「真的很详细」牛奶咖啡什么是免疫缺陷和免疫缺陷动物？免疫缺陷（Immunodeficiency ）是由先天性免疫系统发育不良或后天损伤因素而引起免疫细胞的发生、分化增殖、调节和代谢异常，并导致机体免疫功能降低或缺陷。免疫缺陷动物（immunodeficiency animals）是指由于先天性遗传突变、或用人工方法造成一种或多种免疫系统组成成分缺陷的动物。为什么需要免疫缺陷模型？小鼠无疑是生物学和医学领域最常用的实验动物模型，然而，小鼠毕竟不是人类，也无法完全替代人类。免疫缺陷小鼠出现后，使得通过移植人体免疫组织或细胞到其体内构建人鼠嵌合模型，人源化免疫系统小鼠（人源化小鼠）成为可能。由于与人类免疫系统缺陷相似，人源化小鼠模型已成为人类造血功能、先天性和适应性免疫、自身免疫、传染病、癌症生物学和再生医学等领域的重要模型工具。免疫缺陷小鼠模型经历了哪些发展？1966年英国科学家首次发现在C57BL/6品系中发现Foxn1基因突变会导致小鼠胸腺上皮细胞发育异常，表现出没有毛发，且致使血液中T细胞缺乏，免疫力低，无毛的表型使其被称为裸鼠（Nude）。1983年美国科学家发现CB-17小鼠品系中的Prkdc基因突变会导致功能性T和B细胞的严重联合免疫缺陷（severe combined immune deficiency）。1995年日本科学家使用免疫异常的非肥胖糖尿病（NOD）小鼠与SCID小鼠杂交建立了NOD-SCID小鼠。1995年，数个独立的实验室报告了IL2受体蛋白的γ链基因（IL2rg）位点的突变会导致小鼠淋巴系统发育不良，在后面数年中进一步得到了IL2rg-/-小鼠。2000年，科学家发现Rag1基因敲除后，小鼠体内的V(D)J重组丧失，T和B淋巴细胞分化、发育被完全阻断，使得小鼠血液中T细胞和B细胞丧失了正常的功能，引起一类严重的联合免疫缺陷，同样的表型在Rag2突变小鼠中也发生了。在应用广泛的今天，随着基因编辑技术的不断发展，免疫缺陷小鼠的品系类型也在不断增加。在研究过程中，通常考虑的是某个基因的突变对免疫反应产生的影响，从而有针对性地编辑该基因。免疫缺陷相关靶基因有：Nu、Prkdc、IL-2Rγ、Rag1/2、Prf1、B2m等。常见的免疫缺陷小鼠有哪些？免疫缺陷动物按免疫功能分类可分为：T淋巴细胞功能缺陷：裸小鼠、裸大鼠B淋巴细胞功能缺陷：CBA/N小鼠NK细胞缺陷：Beige小鼠联合免疫缺陷：重度联合免疫缺陷小鼠（SCID小鼠）、非肥胖糖尿病/重症联合免疫缺陷（NOD/SCID小鼠）、 NOD/SCID IL2rg大小鼠（NPG小鼠）等免疫缺陷动物按免疫功能分类可分为：T淋巴细胞功能缺陷：裸小鼠、裸大鼠B淋巴细胞功能缺陷：CBA/N小鼠NK细胞缺陷：Beige小鼠联合免疫缺陷：重度联合免疫缺陷小鼠（SCID小鼠）、非肥胖糖尿病/重症联合免疫缺陷（NOD/SCID小鼠）、 NOD/SCID IL2rg大小鼠（NPG小鼠）等免疫缺陷动物按免疫功能分类可分为：T淋巴细胞功能缺陷：裸小鼠、裸大鼠B淋巴细胞功能缺陷：CBA/N小鼠NK细胞缺陷：Beige小鼠联合免疫缺陷：重度联合免疫缺陷小鼠（SCID小鼠）、非肥胖糖尿病/重症联合免疫缺陷（NOD/SCID小鼠）、 NOD/SCID IL2rg大小鼠（NPG小鼠）等免疫缺陷动物按免疫功能分类可分为：T淋巴细胞功能缺陷：裸小鼠、裸大鼠B淋巴细胞功能缺陷：CBA/N小鼠NK细胞缺陷：Beige小鼠联合免疫缺陷：重度联合免疫缺陷小鼠（SCID小鼠）、非肥胖糖尿病/重症联合免疫缺陷（NOD/SCID小鼠）、 NOD/SCID IL2rg大小鼠（NPG小鼠）等免疫缺陷动物按免疫功能分类可分为：T淋巴细胞功能缺陷：裸小鼠、裸大鼠B淋巴细胞功能缺陷：CBA/N小鼠NK细胞缺陷：Beige小鼠联合免疫缺陷：重度联合免疫缺陷小鼠（SCID小鼠）、非肥胖糖尿病/重症联合免疫缺陷（NOD/SCID小鼠）、 NOD/SCID IL2rg大小鼠（NPG小鼠）等1、无胸腺裸鼠（Nude Mouse，简称"裸鼠"）位于11号染色体上的隐性基因Foxn1（forkhead box N1）突变造成的毛发生长发育异常（没有毛发），并伴有先天性胸腺发育不良，T细胞缺损，B细胞正常，NK细胞略有升高。它的T淋巴细胞功能缺陷，先天无胸腺，目前成为医学生物学研究领域不可或缺的实验动物模型，特别是在肿瘤、免疫、药品与生物制品的安全性评价及有效药品的临床前筛选等方面发挥着重要的作用。由于裸鼠通常不排斥异体移植物，其逐渐开始被用作肿瘤异种移植物的受体。但NK细胞活性增强，体液免疫能力正常，导致人类造血干细胞无法移植。品系裸鼠背景BALB/c等缺陷T淋巴细胞缺陷缺陷基因Nu特点胸腺上皮细胞发育不全，T细胞失去正常功能，不产生细胞毒效应细胞，无接触敏感性，无移植排斥。2、CBA/N小鼠B细胞功能缺陷，1966年起源于CBA/H品系，1972年证实为X-链隐性突变系,命名为X-链免疫缺陷型，基因符号为xid，位于X性染色体上。CBA/N小鼠对对T细胞非依赖性II型抗原（如聚蔗糖ficoll、右旋糖苷dextran、肺炎球菌多糖体）不能引起应答反应，而对T细胞非依赖性I型抗原（如：布氏菌脂多糖等）呈正常反应；分泌IgM和IgG亚类的B细胞数量减少，其T细胞功能正常。CBA/N小鼠可以进行骨髓移植修复，是研究B淋巴细胞的产生、功能和异质性理想的动物，其病理是人类Bruton氏丙种球蛋白缺乏症和Wiskott-Aidsch综合症的理想模型。品系CBA/N小鼠背景CBA/H缺陷B淋巴细胞缺陷缺陷基因Bkt特点细胞功能减退，无体液免疫反应，对胸腺依赖型抗原不产生抗体。3、Beige小鼠Beige小鼠为NK细胞活性缺陷的突变系小鼠，在第13号染色体上的隐性遗传基因bg发生突变引起，这种动物被称为Beige (bg/bg)小鼠。Beige小鼠内源性NK细胞发育和功能缺陷，血液凝固和巨噬细胞活性也有缺陷，其免疫抗肿瘤杀伤作用出现较晚，缺乏细胞毒性T细胞功能，对同种、异种肿瘤细胞的体液免疫功能减弱，欠缺巨噬细胞的抗肿瘤活性、杀伤细胞活性等。应用于免疫学领域，对各种致病因子较敏感，需良好SPF环境。品系Beige小鼠背景B6缺陷NK细胞缺陷缺陷基因Bg特点NK细胞活力缺乏，中性粒细胞作用减弱，体液反应受损，溶酶体功能缺损。4、SCID小鼠SCID是由Severe Combined Immune-deficiency缩写而来，最早此一症状是1950年在人类的婴儿中发现，其后在阿拉巴马也发现有相似的症状出现，直到1983年才首次在CB-17品系小鼠中发现SCID症状。Prkdc（ protein kinase, DNA activated, catalytic polypeptide）基因发生突变，导致体内B细胞与T细胞中不能完成V(D)J 重组，导致T细胞和B细胞均存在成熟缺陷（胸腺、脾、淋巴结的重量不及正常的30%），令部分人体细胞可以在该小鼠上存活。SCID小鼠是一种比裸鼠更为严重的免疫缺陷型小鼠，它无疑是继裸鼠之后又一种有价值的免疫缺陷动物。SCID小鼠在肿瘤学、免疫学、微生物学、生殖医学等领域研究中得到广泛应用，是PDX模型的良好宿主。SCID小鼠最初被用作人造血干细胞和外周血单核细胞移植的受体，但是移植效率并不高。少数SCID小鼠，在青年期可出现一定程度的免疫功能恢复，此即为SCID小鼠的渗漏现象。其渗漏现象不遗传，但与小鼠的年龄、品系、饲养环境有关。SCID小鼠极易感染，在高度洁净的SPF环境下可存活1年以上。品系SCID小鼠背景CB-17缺陷联合免疫缺陷缺陷基因Prkdc特点T细胞和B细胞数量减少，细胞和体液免疫功能缺损，胸腺脾脏和淋巴结的重量约为正常鼠的1/3，易死于感染。5、NOD/SCID小鼠与普通SICD相比NK细胞活性低，具有更低的免疫恢复几率。NOD-SCID小鼠是在SCID小鼠的基础上，通过与非肥胖性糖尿病小鼠NOD/Lt杂交而成的一种重度免疫缺陷动物。NOD-SCID小鼠既有先天免疫缺陷，又有T和B淋巴细胞缺乏，各种肿瘤细胞可以植入，且较少发生排斥反应及移植物抗宿主病(GVHD)。其免疫缺陷程度高但是免疫渗漏少，一度成为应用最广的免疫缺陷模型。品系NOD/SCID小鼠背景NOD缺陷联合免疫缺陷缺陷基因Prkdc特点T细胞、B细胞缺失，缺乏补体活性，不发生自发免疫性糖尿病，NK细胞和巨噬细胞活性降低，免疫渗漏低。6、NPG小鼠（NOD-scid-Il2rgnull）是在NOD/SCID背景下通过引入IL2受体蛋白的γ链基因（IL2rg）敲除小鼠，也被称为NSG或NOG小鼠。NOG（日本）和NSG（美国）的区别在于，NOG小鼠缺失IL-2Rγ胞内结构域，而NSG小鼠则完全缺失IL-2Rγ。IL2受体蛋白的γ链是具有重要免疫功能的细胞因子IL-2、IL-4、IL-7、IL-9、IL-15和IL-21高亲和力受体的关键组成部分，为受体传导这些细胞因子信号所必需，基因敲除后机体免疫功能严重降低，尤其是NK细胞的活性几乎丧失。所以NPG小鼠既缺乏T、B淋巴细胞，也缺乏功能性的NK细胞，是迄今世界上免疫缺陷程度最高的小鼠模型。同时，NPG小鼠被公认为世界上最好的进行人源异种移植的受体，在此小鼠中人类造血干细胞和外周血单个核细胞的移植变得容易了很多。目前这种小鼠已被广泛用于造血，免疫，药物，病毒和肿瘤等多方面的人源化模型的研究。品系NPG小鼠背景NOD缺陷联合免疫缺陷缺陷基因Prkdc，IL2受体蛋白的γ链基因（IL2rg）特点T细胞、B细胞、NK细胞和巨噬细胞缺失，缺乏补体活性，淋巴瘤发病率低，免疫渗漏低，对辐射敏感。7、NRG小鼠NOD/SCID小鼠敲除Rag1和IL2rg，Rag2突变使小鼠T和B细胞缺失；Il2rg敲除小鼠引起NK细胞数量减少，活性丧失。品系NRG小鼠背景NOD缺陷联合免疫缺陷缺陷基因Prkdc，IL2受体蛋白的γ链基因（IL2rg），Rag1特点T细胞、B细胞、NK细胞和巨噬细胞缺失，T细胞无法进行循环，缺乏补体活性，耐受辐射和放疗药物。8、BRG小鼠BRG小鼠是在BALB/c背景的小鼠中引入Rag1-/-或Rag2-/-突变以及IL-2Rγ缺失，表现为T、B细胞缺失和NK细胞无活性。这是一种超级免疫缺陷小鼠，对开展人源化研究、传染病研究、自身免疫性疾病研究以及异种移植试验研究非常有用。该类小鼠为了有效达到无血清免疫球蛋白和无正常功能的B细胞和T细胞，使用RAG-1与RAG-2基因缺陷的小鼠杂交，由于此两种RAG基因所表现的蛋白在V（D）J重组中占重要的角色，因此RAG基因缺陷小鼠，就能达到无血清免疫球蛋白和无正常功能的B细胞和T细胞，不存在渗漏的个体，也可能是未来取代SCID小鼠成为理想细胞移植接受者的动物模型。品系BRG小鼠背景BALB/c缺陷联合免疫缺陷缺陷基因IL2受体蛋白的γ链基因（IL2rg），Rag1或Rag2特点T细胞、B细胞、NK细胞和巨噬细胞缺失，T细胞无法进行循环，缺乏补体活性，细胞移植效率高，耐受辐射。结语免疫缺陷小鼠是一类广泛应用的模型工具，由于其免疫功能受损，体质脆弱，在饲养此类小鼠的过程中，如果实验室洁净度不够级别或饲养时不注意操作规范，很容易让小鼠感染而死亡，因此理论上免疫缺陷小鼠应饲养于隔离环境中。参考文献：1. Shultz L D , Ishikawa F , Greiner D L . Humanized mice in translational biomedical research.[J]. Nature Reviews Immunology, 2007, 7(2):118-130.2. 《实验动物学》第2版发布于 2022-04-18 10:14医学前沿免疫学再生医学赞同 736 条评论分享喜欢收藏申请

NSG小鼠-上海交通大学医学院实验动物饲养与管理

首页

实验动物饲养管理与使用委员会（IACUC）

实验动物福利

IACUC介绍

ARRIVE 2.0

开展动物实验，你准备好了吗？

实验动物研究及使用计划表格下载

“实验动物研究及使用计划”提交时间

“实验动物研究及使用计划”修改政策

动物福利相关问题上报

动物实验伦理审查表下载

实验动物科学部

组织结构

动物

紧急联系信息

兽医护理

技术服务列表

收费标准

可预约仪器列表

教学与培训

实验动物相关SOP

规章制度

资源下载

实验动物生物安全

实验动物常见疾病

参考文献

常用表格下载

通知与资讯

通知公告

信息资讯

实验动物在线

实验动物研究在线

Mouse Bank

首页

实验动物饲养管理与使用委员会（IACUC）

实验动物福利

IACUC介绍

ARRIVE 2.0

开展动物实验，你准备好了吗？

实验动物研究及使用计划表格下载

“实验动物研究及使用计划”提交时间

“实验动物研究及使用计划”修改政策

动物福利相关问题上报

动物实验伦理审查表下载

实验动物科学部

组织结构

动物

紧急联系信息

兽医护理

技术服务列表

收费标准

可预约仪器列表

教学与培训

实验动物相关SOP

规章制度

资源下载

实验动物生物安全

实验动物常见疾病

参考文献

常用表格下载

通知与资讯

通知公告

信息资讯

实验动物在线

实验动物研究在线

Mouse Bank

实验动物科学部

组织结构

动物

紧急联系信息

兽医护理

< 哨兵鼠设置说明

< 环境检测说明

< 不同区域环境等级说明

< 动物健康异常观察

< 动物引入与转出

< 动物转移预约

技术服务列表

收费标准

可预约仪器列表

教学与培训

< 动物屏障准入培训

< 医学院范围内培训

< 上海市实验动物学会培训

< 《实验动物学》教学

< 实验动物相关学术活动

实验动物相关SOP

规章制度

动物

当前位置:

首页

实验动物科学部

动物

正文

NSG小鼠

来源：

日期：2021-12-23阅读：

NSG小鼠是由Prkdc基因及Il2rg基因的敲除突变导致的免疫缺陷型小鼠，是目前免疫缺陷程度最高的工具小鼠。其小鼠缺乏成熟的T、B以及NK，且不生成免疫球蛋白，树突状细胞（Dendritic cells, DC）功能异常，非常适合人源细胞或组织移植。NOD（non-obese diabetes）遗传背景：自发I型糖尿病，其巨噬细胞对人源细胞吞噬作用弱，先天免疫系统如补体系统、树突状细胞功能降低。

Prkdc null（DNAPK，scid）：Prkdc（protein kinase DNA-activatedcatalytic）基因突变，小鼠的功能性T和B细胞缺失，淋巴细胞减少，表现为细胞免疫和体液免疫的重度联合免疫缺陷（severe combinedimmunodeficiency，scid）Il2rg null：Interleukin-2受体gamma链（Il2rgγc，又称CD132）位于小鼠X染色体上，是具有重要免疫功能的细胞因子IL-2，IL-4，IL-7，

1、NOG小鼠：C57BL/6J-IL-2Rγnull小鼠与NOD/Shi-scid小鼠

2、NSG 小鼠:其遗传背景是NOD/ShiLtJ小鼠，同时具有SCID小鼠的免疫缺陷特征和IL2rgnull基因缺陷小鼠的免疫缺陷特征，因此全称为NOD.Cg-Prkdcscid IL2rgtm1Wjl/SzJ 。

3、NPG小鼠：NOD-Prkdcscid IL2rgnull小鼠

4、NDG小鼠：NDG小鼠全称NOD-Prkdcscid IL2rgtm1/Bcgen。该小鼠为NOD-scid遗传背景的IL2rg基因敲除小鼠

来源于Taconic小鼠的生长曲线和生理指标（NOG）：

来源于Jackson Lab小鼠的生长曲线和生理指标（NSG）：

上一篇：BALB/c小鼠

下一篇：裸小鼠

地址：重庆南路280号 | 邮编：200025 | 电话：021-63846590转776559、776508

百度知道 - 信息提示

百度首页

商城

网页

资讯

视频

图片

知道

文库

贴吧采购

地图更多

搜索答案

我要提问

百度知道>提示信息

知道宝贝找不到问题了>_

该问题可能已经失效。返回首页

15秒以后自动返回

帮助

| 意见反馈

| 投诉举报

Milvus 揭秘| 向量索引算法HNSW和NSG的比较 - 知乎

Milvus 揭秘| 向量索引算法HNSW和NSG的比较 - 知乎首发于Milvus 开源向量搜索引擎切换模式写文章登录/注册Milvus 揭秘| 向量索引算法HNSW和NSG的比较顾钧上海开源信息技术协会副秘书长作者：林孝君随着机器学习、深度神经网络的不断发展，数据的向量化无处不在。而针对海量向量数据的搜索，无论是工业界还是学术界都做了大量的研究。本文主要讲解两个基于近邻图的向量搜索算法，并比较其适用场景。这里不得不先提一个学术上的对应名词 Approximate Nearest Neighbor Search (ANNS) ，近似的最近邻搜索。之所以近似是由于精确的近邻搜索太过困难，研究随之转向了在精确性和搜索时间做取舍。由于精确的向量搜索在海量数据的场景下搜索时间过长，所以目前的常见做法，是在向量上建立近似搜索索引。这里先介绍一下现在常用的索引类型以及它们的局限性。首先是基于树的算法，这里举例较为经典的 KD-tree 。这种索引类型在向量维度稍大一些的情况下 (d>10) ，索引性能会急剧下降甚至不如暴力搜索。再说说基于 LSH (locality-sensitive hashing) 的索引，如果想要取得高召回率， LSH 算法必须要建立大量的 Hash 表，这会使得索引大小膨胀数倍。不仅如此，树和 LSH 都属于空间切分类算法，此类算法有一个无法避免的缺陷，即为了提高搜索精度，只能增大搜索空间。图 1-A 描述了基于树的切分搜索，每个虚线分割出的区域是一个子树，如果搜索向量在子树的边缘时，算法需要搜索多个子树来获取结果。图 1-B 描述了基于 Hash 的切分搜索，虚线描述了每个独立的hash表，搜索面临的问题与基于树的搜索算法类似。所以空间切分类算法在最坏的情况下需要扫描几乎整个数据集，这在很多场景下显然是无法接受的。由于图数据结构有天生近邻关系的特性，在图上做最近邻搜索看来是一种不错的思路，所以近年来基于图的向量搜索算法也是一个研究热点。近邻图 (Proximity Graph) ：最朴素的图算法近邻图的特性可以粗略理解成：构建一张图，每一个顶点连接着最近的 N 个顶点。它的搜索过程可见下图， Target 是待查询的向量。在搜索时，由于无法知道该从图的哪个区域开始搜索，所以我们选择任意一个顶点 S 出发。首先遍历 S 的邻居，找到距离与 Target 最近的 A 节点，将 A 设置为起始节点，再从 A 节点出发进行遍历，反复迭代，不断逼近，最后找到与 Target 距离最近的节点 A`` 时搜索结束。尽管思路很棒，但是基础的近邻图存在着非常多的问题，最为关键的就是搜索复杂度无法确定，孤岛效应难以解决，以及构建图的开销太高，复杂度达到了指数级别。由于这些原因，学术界在基础的近邻图上，对图的构建、度数的限制、边的裁选、图的连通性、节点的导向性等方面都做了许多改进。这里我们简单介绍下近年来较为热门的算法： HNSW 和 NSG 。HNSWHNSW 的前身是 NSW (Navigable-Small-World-Graph) 。 NSW 通过设计出一个具有导航性的图来解决近邻图发散搜索的问题，但其搜索复杂度仍然过高，达到多重对数的级别，并且整体性能极易被图的大小所影响。 HNSW 则是着力于解决这个问题。作者借鉴了 SkipList 的思想，提出了 Hierarchical-NSW 的设想。简单来说，按照一定的规则把一张的图分成多张，越接近上层的图，平均度数越低，节点之间的距离越远；越接近下层的图平均度数越高，节点之间的距离也就越近（见下图）。搜索从最上层开始，找到本层距离最近的节点之后进入下一层。下一层搜索的起始节点即是上一层的最近节点，往复循环，直至找到结果（见下图）。由于越是上层的图，节点越是稀少，平均度数也低，距离也远，所以可以通过非常小的代价提供了良好的搜索方向，通过这种方式减少大量没有价值的计算，减少了搜索算法复杂度。更进一步，如果把 HNSW 中节点的最大度数设为常数，这样可以获得一张搜索复杂度仅为 log(n) 的图。HNSW 利用多层图的优势，天生保证了图的连通性。并且由于每个新节点的加入都会被随机到任意一层中，这样做一定程度上避免了由于数据输入顺序从而改变图的分布，最后影响搜索路径的情况。让我们来看看插入操作。新节点在插入到图中任意位置后，会建立 candidate pool，它用来保存所有搜索过的节点。首先将插入位置附近的节点加入到 pool 中，从 pool 中挑选出距离最近的节点，再从它出发寻找更近的节点，找到后将其加入到 pool 中（下图 2-A 到 2-B ），如果此节点都已搜索完毕，则挑选 pool 中的下一个节点进行搜索，不断循环N次，直至搜索到了 pool 的尾部，此时算法结束。在此过程中，如果pool满了但却发现了更近的节点，那么将它插入到 pool 中，剔除最远的节点，并且从新插入的位置处重新开始搜索（下图2-B到2-C）。这样减少了边的数量，改善了局部图的导航性。NSGNSG 全称为 Navigating Spreading-out Graph 。 NSG 围绕四个方向来改进：图的连通性，减少出度，缩短搜索路径，缩减图的大小。具体是通过建立导航点 (Navigation Point) ，特殊的选边策略, 深度遍历收回离散节点 (Deep Traversal) 等方法。首先是 Navigation Point，在建图时，首先需要一张预先建立的 K-nearest-neighbor-graph (KNNG) 作为构图基准。随机选择一个点作为 Navigation Point ，后续所有新插入的节点在选边时都会将 Navigation Point 加入候选。在建图过程中，逐渐会将子图都和 Navigation point 相连接，这样其他的节点只需保持很少的边即可，从而减少了图的大小。每次搜索从 Navigation Point 出发能够指向具体的子图，从而减少无效搜索，获得更好搜索性能。 NSG 使用的择边策略与 HNSW 类似，但是不同于 HNSW 只选择最短边为有效边，NSG 使用的择边策略如下图。以点 r 为例，当 r 与 p 建立连接时，以 r 和 p 为圆心， r 和 p 的距离为半径，分别做圆，如果两个圆的交集内没有其他与 p 相连接的点，则 r 与 p 相连（见图 3-B ）。在连接点 s 时，由于以 s 和 p 距离为半径的交集圆内，已有点 r 与 p 相连，所以 s 和 p 不相连（见图 3-C ）。下图中最终与点 p 相连的点只有 r ， t 和 q（见图 3-A ）。 NSG 这样做的原因是考虑到由于边数一多，整个图就会变得稠密，最后在搜索时会浪费大量算力。但是减少边的数量，带来的坏处也比较明显，最后的图会是一张稀疏图，会使得有些节点难以被搜索到。不仅如此， NSG 的边还是单向边。在如此激进的策略下，图的连通性就会产生问题，这时 NSG 选择使用深度遍历来将离群的节点收回到图中。通过以上步骤，图的建立就完成了。HNSW 和 NSG 的比较至此，我们大致了解了 HNSW 以及 NSG 两种算法的基本思路。HNSW 从结构入手，利用分层图提高图的导航性减少无效计算从而降低搜索时间，达到优化的目的。而 NSG 选择将图的整体度数控制在尽可能小的情况下，提高导航性，缩短搜索路径来提高搜索效率。下面我们从内存占用，搜索速度，精度等方面来比较 HNSW 和 NSG。HNSW 由于多层图的结构以及连边策略，导致搜索时内存占用量会大于 NSG，在内存受限场景下选择 NSG 会更好。但是 NSG 在建图过程中无论内存占用还是耗时都大于 HNSW。此外 HNSW 还拥有目前 NSG 不支持的特性，即增量索引，虽然耗时巨大。对比其他的索引类型，无论 NSG 还是 HNSW 在搜索时间和精度两个方面，都有巨大优势。目前在Milvus内部已经实现了 NSG 算法，并将 KNNG 计算放到了 GPU 上进行从而极大地加快了 NSG 图的构建。未来 Milvus 还会集成 HNSW ，以适配更广泛的场景。编辑于 2020-02-14 13:46算法机器学习深度学习（Deep Learning）赞同 743 条评论分享喜欢收藏申请转载文章被以下专栏收录Milvus 开源向量搜索引擎介绍关于 Milvus 的技术实现和应用场景Milvus 开源向量

高性能材料　日本板硝子株式会社 - NSG集团

日本板硝子株式会社

高性能材料

贡献领域・产品用途

材料

高性能树脂

橡胶

防锈（耐蚀）涂料

盖板玻璃

设计・艺术

汽车、工业用闪光颜料

化妆品

ICT

CCM

通讯

医疗保健

医疗

产品系列

MICROGLAS®

GLASFLAKE®

FLEKA®

FINEFLAKE™

METASHINE® Automotive/Industrial

METASHINE® Cosmetics

MAR'VINA®

玻璃纤维芯线 - 驱动皮带

玻璃纤维芯线/RICS - 橡胶/树脂增强材料

MAGNAVI™

低介电玻璃鳞片

光学滤镜

超低反射涂层

防雾镀膜

超薄玻璃

glanova® - 化學強化超薄玻璃

UFF® - 超薄钠钙玻璃

下载资料

新闻

咨询

日本語

English

用玻璃开创崭新未来

Glass & Beyond

NSG通过玻璃和新想法及技术，创造舒适的生活和更美好的世界。

高性能材料是指

这是从诸多技术革新中诞生的，不局限于平板玻璃的，拥有各种各样功能的独特玻璃产品。NSG以玻璃创造新价值为目标、以世界水准的核心技术为基础，致力于为客户提供细分化且具有独特功能的产品。NSG将着眼未来，与时俱进。

业务概要

NSG的优势

贡献领域、产品用途

NSG的高性能材料目前正广泛应用于四大领域。在各个领域中，能为提高客户产品的差异化和可靠性做出贡献。

ICT

通讯

CCM

材料

高性能树脂

橡胶

防锈（防腐）涂料

盖板玻璃

设计、艺术

汽车、工业用闪光颜料

化妆品

医疗保健

医疗

产品系列

MICROGLAS®

GLASFLAKE®

FLEKA®

FINEFLAKE™

METASHINE® Automotive/Industrial

METASHINE® Cosmetic

MAR'VINA®

玻璃纤维芯线 - 驱动皮带

玻璃纤维芯线/RICS - 橡胶/树脂增强材料

MAGNAVI™

低介电玻璃鳞片

光学滤镜

超低反射涂层

防雾镀膜

超薄玻璃

glanova® - 化學強化超薄玻璃

UFF® - 超薄钠钙玻璃

日本板硝子株式会社

高性能材料

HOME

高性能材料

业务概要

NSG的优势

业务部门查询

贡献领域・产品用途

材料

高性能树脂

橡胶

防锈（耐蚀）涂料

盖板玻璃

设计・艺术

汽车、工业用闪光颜料

化妆品

ICT

CCM

通讯

医疗保健

医疗

产品系列

MICROGLAS®

GLASFLAKE®

FLEKA®

FINEFLAKE™

METASHINE® Automotive/Industrial

METASHINE® Cosmetic

MAR'VINA®

玻璃纤维芯线 - 驱动皮带

玻璃纤维芯线/RICS - 橡胶/树脂增强材料

MAGNAVI™

低介电玻璃鳞片

光学滤镜

超低反射涂层

防雾镀膜

超薄玻璃

glanova® - 化學強化超薄玻璃

UFF® - 超薄钠钙玻璃

下载资料

新闻

咨询

日本語

English

NSG集团网站

法律通知

使用本网站

隐私政策

关于商标

Nippon Sheet Glass Co., Ltd. ©

网络安全组（NSG）简介_nsg rule-CSDN博客

网络安全组（NSG）简介

最新推荐文章于 2023-01-11 13:08:18 发布

zangdalei

最新推荐文章于 2023-01-11 13:08:18 发布

阅读量1.1w

点赞数

分类专栏：

Market

专栏收录该内容

290 篇文章

2 订阅

订阅专栏

韩源，资深工程师，存储和灾备专家。

Azure 网络安全解析

作为公有云最重要环节之一，网络安全一直是 Azure 的重中之重。在 Azure 中，多种安全技术共同构成了立体的网络保护：

其中，最常和用户打交道的就是 NSG（网络安全组），vm 和网络的连接、不同子网间的连接等都可以用NSG来做限制和保护。

NSG的定义

顾名思义，NSG（网络安全组）是由一些列规则（rule）形成的组合。这些规则不关心具体的传输内容（这些在 WAF、IPS 等解决），而是通过从哪里来（源）、到哪里去（目标）、经过哪个门洞（源端口、目标端口）、传输的什么东西（UDP or TCP）来决定采取什么措施（允许还是拒绝），如下图所示：

那么，在同一个 NSG 的多条规则是如何同时生效呢？可见如下流程：

简单描述，就是首先根据数据走向决定采用入站规则还是出站规则，然后根据条件（源地址、目标地址、源端口、目标端口、协议类型等）按优先级顺序匹配规则，按照第一个符合条件的规则处理数据流（允许还是拒绝），完成NSG操作；需要注意的是，如果同时符合多个规则的条件，也只执行第一个规则。如果所有规则都不满足，该数据流被丢弃（实际是由最后一条默认规则决定）。

举个例子，给一台网站服务器配置 NSG，要求只能访问 http 服务（80 端口），其他端口访问均禁止，制订了如下两条规则：

1. 允许所有地址都可以访问80端口（rule1）

2. 拒绝所有地址访问任意端口（rule2）

当 rule1 优先级高时，访问 http 服务首先满足了rule1，可以访问 80 端口，不再执行 rule2；而访问其他端口的行为不满足 rule1，则继续执行 rule2，拒绝访问。

当 rule2 优先级高时，则无论访问哪个端口（包含80）都首先满足 rule2，拒绝访问，不再继续执行 rule1，所以 http 的访问也会被禁止。

由此可见，规则的顺序非常重要。

下边就结合具体操作简单讲解NSG如

何配置及产生作用。

Azure 网络安全解析

NSG 的配置管理——环境准备

环境准备

NSG 的创建一般可以在两个地方进行：创建虚机的同时创建 NSG；或者单独创建 NSG。

本次测试中（所有配置都在资源组 HyNSGDemoRG 中进行）：

子网创建：

创建名为 NSGDemoVnet 的虚拟网络，并在其下创建名为 NSGDemoSunnet 的子网：

虚机创建

两台基于 win

dows server 的 vm：vm01 和 vm02：

vm01 创建时 NSG 选择无：

vm02 选择默认 NSG（vm02-nsg）；

两台 vm 都连接到子网 NSGDemoSunnet。

检查两台 vm 的网络配置，汇总如下：

虚机网络接口公网 ip私网 IPvm01vm01234139.217.2.16210.5.0.4vm02vm02549139.217.2.19810.5.0.5

NSG 创建：

创建名为 NSGDemo 的 NSG：

NSG 比较

检查资源组里的资源，可以看到有两个 NSG：单独创建的 NSGDemo 和随 vm02 创建的 vm-nsg：

NSGDemo:

首先查看 NSGDemo，进入 NSGDemo，从概述里可以发现，由于是新建 NSG，所以出站入站的规则都是空的：

再点击入站安全规则，进入后点击默认规则，这时候会显示如下默认规则：

这是优先级最低的三条规则，如果一个入站数据流所有自定义规则都不满足，就会最终执行这三条规则中的一条。三条规则按顺序分别定义了：

1.从 vnet 到 vnet 所有

入站网络可通（Allow）

2.从 Azure 的 LB 到所有入站网络可通（Allow）

3.从任意网络到任意网络如站不通（Deny）

在没有添加自定义规则的情况下，如果需要访问该 NSG 后端的网络与设备：

1.如果源和目标都是 vnet，满足 65000 可以访问

2.如果源是 Azure 的 LB，无论目标是什么，都满足 65001，都可以访问

3.其他情况，满足 65500，网络不通

同样查看出站安全规则的默认规则，也可看到三条默认规则：

按顺序定义了：vnet 到 vnet 所有出站可通；所有源到 internet 出站可通（所有设备可访问 internet），其它情况出站都不通。

默认规则不能删除、修改以及调整优先级。

再检查该 NSG 管理的网络接口和子网，由于是新建，所以没有任何设备：

vm02-nsg:

检查 vm02-nsg，发现与 NSGDemo 不同之处在于：

已经添加了 vm02 的网络接口 vm02549：

默认建立了一个入站规则 default-allow-rdp：

这条规则有什么作用？查看其属性：

其含义是：此规则优先级 1000，允许任意源地址访问该规则下所以设备（目前只有 vm02）的 rpd 端口 3389。即任意一台联网的电脑可通过远程桌面访问 vm02。

测试通过：

再测试vm01：

可以看到因为 vm01 没有任何 NSG 的安全限制，可以认为是直接暴露在公网，所以也可以远程桌面访问。

验证 NSG 作用

做进一步的测试确认 NSG 的作用。

分别在两台 vm 启用 IIS 服务，并确认本机浏览器访问 127.0.0.1 可打开默认界面：

本地浏览器访问 vm01：

本地浏览器访问 vm02：

说明：

vm01 没有 NSG 保护，任意端口（rdp3389、http80 等）都可以访问vm02 有 NSG 保护，除了 rdp3389 以外，从 internet 到其他端口的访问均被拒绝，提升了相应安全性

NSG 的配置管理——NSG 规则配置测试

查看 NSG 的信息可知，NSG 可关联两种类型的设备：网络接口和子网：

下边分别对这两种设备进行NSG 的配置管理和测试：

网络接口的 NSG 配置管理：

点击 NSGDemo-网络接口：

点击关联为 NSGDemo 增加关联的网络接口：

可以看到 NSG 可以关联到同一个订阅里所有的网络接口，但是已被关联到其他 NSG 的网络接口无法再被关联，除非取消与其他 NSG 的关联。

将 vm01 的网络接口 vm01234 关联到 NSGDemo：

vm01 的公共 IP 和专用 IP 都被加入了 NSG。

完成后可以继续关联其它网络端口，所以网络端口与 NSG 的关系是多对一。

再通过远程桌面和 http 去连接 vm01，发现已无法连接：

点击 NSGDemo-入站安全规则-添加-高级，可看到每条规则需要如下元素：

其中：

名称：该规则的名字，无影响，建议取一个能体现规则含义的简称，例如 vm01_http 优先级：纯数字，非常重要，决定了规则的执行顺序（以下用 rule+优先级代表规则，例如 rule300 代表优先级为 300 的规则）。 Tips： – 优先级的范围是 100——4096 – 不要将规则指定为 100 和 4096，避免需要添加更高优先级或更低优先级时需要编辑 rule100 和 rule4096 – 优先级不要连续排列，最好中间有一定间隔，例如 200、300、400、500，便于以后插入优先级 – 建议首先创建名为 DenyAll 的 rule4000，拒绝所有未经允许的连接；这条规则其实与最后一条默认入站规则 rule65500 一样，为什么还要单独创建？因为在 Azure 中对规则不能单独 enable 和 disable，所以如果要临时禁用一条规则只能删除。如果创建了 DenyAll 的 rule4000，需要临时禁用的规则可以将优先级调整到 4000 以后，这样勿需删除，重新启用时将优先级调整至合适的数字即可源：数据流的来源，可定义为 Any（所有来源，不限制）、CIDR block、Tag Tips： – CIDR block：以 CIDR 的方式描述一个 IP 段，例如 192.168.1.0/24，或者一个确定的 IP 地址如 192.168.1.5 – Tag：Azure 内部对某个类型的网络的标记，一般包含：Internet（外网）、VirtualNetwork（vnet）、AzureLoadBalancer（Azure的LB）协议：TCP还是 UDP，或者两者都包含源端口范围：1-65536，从源的哪个端口来，可以指定的一个端口（例如 80）、或一个端口范围（例如 80-1000）、或所有端口（*）目标：要访问的设备，同样可定义为 Any（所有来源，不限制）、CIDR block、Tag Tips：如果将目标设置为NSG没有的成员，没有任何意义。目标端口范围：1-65536，到目标的哪个端口，制定方法同源端口范围操作：拒绝或允许现在为 vm01 在 NSGDemo 添加规则，允许任何主机 http 访问，但是不允许 rdp 连接，可按如下制定规则：

名称优先级源协议源端口范围目标目标端口范围操作DenyAll4000AnyTCP*Any*拒绝vm01_http300AnyTCP*Any80允许

制定好的规则如下：

再次验证，发现 rdp 仍然无法连通，但 http 已可以访问：

子网的 NSG 管理配置：

为了避免干扰，先进入 vm01 和 vm02，取消所有 NSG 关联。具体做法点击相应 vm-网络接口-选择网络接口-网络安全组-编辑-选择无并保存：

进入 NSGDemo，删除 rule4000 以外所有的自建规则：

现在点击子网，关联 NSGDemoVnet 下的子网 NSGDemoSunnet：

现在分别访问vm01和vm02的http，都无法访问，因为vm01和vm都连接到NSGDemoSunnet，而NSGDemo的规则禁止了对NSGDemoSunnet的所有入站访问（此测试在浏览器隐身模式下进行，避免缓存影响）：

现在新建一个规则rule300如下：

名称优先级源协议源端口

范围目标目标端口范围操作

vm_http 300 Any TCP * Any 80 允许

现在可以看到两台 vm 的 http 均可访问：

关于 NSG 目标的进一步探讨：

在 NSGDemo 里，关联了一个子网 NSGDemoSunnet，而 NSGDemoSunnet 连接了 vm01 和 vm02 的网卡。如果希望做进一步的限制，只允许访问 vm01的 http，而不允许访问 vm02，应该如何设置？这时候就需要通过规则的目标来限制了。

查询到 vm01 和 vm02 连接到 NSGDemoSunnet 的网络 Tag 都是 VirtualNet，没办法通过 Tag 来区分，但是两台 vm 的 IP 地址不一样，所以只能用 CIDR 来限制。

修改之前的 rule300，将目标从 Any 改为 CIDR block，内容为 10.5.0.4，其他保持不变，如下图：

再分别访问两台 vm 的 http，可以看到 vm01 的 http 可以访问，而 vm02 的则被拒绝了：

再将 rule300 做一下修改，目标改为 vm01 的公网 IP：

测试 vm01 的 http 连接，发现无法打开：

因为 NSG 关联的子网 NSGDemoSunnet 连接的 vm 的专用 IP，所以 vm01 的公网 IP 并不是 NSGDemo 的成员，所以连接需求不满足 rule300 的条件，不执行该规则，直接执行rule4000，禁止所有入站连接。

如果 NSG 关联的是网络接口，其中成员既包含公网 IP 也包含专用 IP，目标分别设置为公网 IP 和专用 IP，会有什么区别？

重新对 NSGDemo 进行配置，取消对子网的关联，增加对 vm01 的网络接口 vm01234 的关联。

可以看到，NSGDemo 关联到两个 IP（139.217.2.162 和 10.5.0.4）。

分三次配置 rule300 如下，并检查 vm01 的 http 访问情况

名称优先级源协议源端口范围目标目标端口范围操作vm_http300AnyTCP*Any80允许vm_http300AnyTCP*10.5.0.480允许vm_http300AnyTCP*139.217.2.16280允许

当目标为 Any 时：

当目标为专用 IP（10.5.0.4）时：

当目标为公网 IP（139.217.2.162）时：

比较这三种情况，可以发现对公网 IP 设置的规则是不生效的。

远程桌面到一台 vm，运行 ipconfig 检查 IP 配置：

可以发现，Azure 的 vm 实际是没有公网 IP 的，在 Azure 中给 vm 分配的公网 IP 实际是通过类似 NAT 的方式付给 vm，而 NSG 是直接针对 vm 的网络接口生效，看不到前段的 NAT 设备，所以在 vm 的 NSG 里配置对公网 IP 是没意义的，无法生效。

出站规则的管理配置：

以上的配置都是针对入站规则，那么出站规则如何生效？

默认情况下，出站规则允许所有的对外访问。一般情况下，出站的端口是随机挑选，所以很难通过源端口对出站进行操作（允许或拒绝），除非程序很明确有固定的出战端口。而 NSG 不同于 OS 的防火墙，对程序无感知，也无法通过对程序进行判断来进行操作（允许或拒绝）。而目标的端口相对来说比较固定，可以通过对目标端口的判断来进行操作（允许或拒绝）。

例如如下出站规则禁止了 NSG 中所有设备对 http（80）的访问：

但是，如果外网的 http 服务使用了其它端口（例如 81），这条规则就无法生效。

Tips：

在严格安全管理的企业网络里，出站也应该严格禁止，所以一般的配置方式是制定一个优先级低的拒绝所有出站的规则，再逐步添加对某一个条件允许的规则

多 NSG 的管理配置：

之前的描述中，提到可以对子网也可以对vm的网络接口配置 NSG，如果子网和 vm 的网络接口分别有 NSG，即同时有多个 NSG 对一个设备有效时，优先级怎么判断？下边通过测试来检验。

先将所有 NSG 删除，再建立连个 NSG：NSG01关联到子网 NSGDe moSunnet，NSG02 关联到 vm01 的网络接口 vm01234。

此时两个 NSG 的默认入站规则拒绝了所有入站，所以 http 无法打开：

现在 NSG01 配置允许 http 访问：

访问 http 依然无法打开。

删除 NSG01 建立的入站规则，在 NSG02 配置允许 http 访问：

再次访问 http 也无法打开。

可以看出，多个 NSG 时，彼此间没有顺序，而是采用拒绝优先的方式。即：当每个 NSG 都匹配到首个满足的规则时，如果其中一个规则是拒绝，则采用拒绝的规则。

在如上的测试中，每次都只给一个 NSG 配置了允许 http 的规则，会满足另一个 NSG 的默认规则 rule65500，拒绝入站，由于拒绝优先，所以导致 http 无法访问。

现在两个 NSG 中都配置允许 http 访问的规则，现在访问 vm01 的 http 正常了：

总结

NSG 的配置在 Azure 的配置并不难，关键是弄清楚相关的逻辑关系，合理的规划规则以及规则顺序，结合其他技术，就可以为 Azure 提供良好的安全保护。

立即访问http://market.azure.cn

优惠劵

zangdalei

关注

踩

觉得还不错?

一键收藏

知道了

网络安全组（NSG）简介

复制链接

扫一扫

专栏目录

Azure 最佳架构安全评估 - 网络

qq_24550639的博客

08-05

745

Azure 最佳架构安全评估 - 网络安全

保护资产的最近本保障是控制好Azure上的网络流量，Azure的资源和本地资源之间的流量，进出Azure的流量。如果网络没有相应的安全防护，那么环境就很容易受到黑客攻击，比如公网IP的扫描。正确的网络安全控制可以很好地检测、控制、组织攻击者的攻击。

网络安全评估Checklist

进行网络划分，对每个划分的网络分区建立安全的通信连接。将网络划分和整个企业的划分策略相一致。

涉及安全管控来确保允许和阻止的网络流量，访问请求和应用程序通信，不同网络分区之间怎么实现这

云平台安全组及网络ACL对比

NSG的优势 | 高性能材料　日本板硝子株式会社 - NSG集团

日本板硝子株式会社

高性能材料

贡献领域・产品用途

材料

高性能树脂

橡胶

防锈（耐蚀）涂料

盖板玻璃

设计・艺术

汽车、工业用闪光颜料

化妆品

ICT

CCM

通讯

医疗保健

医疗

产品系列

MICROGLAS®

GLASFLAKE®

FLEKA®

FINEFLAKE™

METASHINE® Automotive/Industrial

METASHINE® Cosmetics

MAR'VINA®

玻璃纤维芯线 - 驱动皮带

玻璃纤维芯线/RICS - 橡胶/树脂增强材料

MAGNAVI™

低介电玻璃鳞片

光学滤镜

超低反射涂层

防雾镀膜

超薄玻璃

glanova® - 化學強化超薄玻璃

UFF® - 超薄钠钙玻璃

下载资料

新闻

咨询

日本語

English

高性能材料

NSG的优势

凭借独创的玻璃成分、成型和加工技术实现卓越功能。以新的价值回应全球客户的期望和信赖。

以先进的玻璃技术实现新高性能、高附加值

NSG开发了具有划时代意义的玻璃制造方法和带有新功能的独特玻璃产品，以汽车和光学设备为首，长期以来为广大客户提供新价值。以最高水平的玻璃技术为优势，在世界最前沿为推动产业进化做出贡献。

充分发挥玻璃“透光”、“轻而结实”、“弱导电性”等特性，用各种成分或形状的玻璃材料和加工技术，以及新材料和新工艺创新出独一无二的玻璃相关素材，实现独特的功能和价值。NSG作为高性能玻璃材料的先锋，将携手客户共创未来。

客户数量

300家以上

携手全球客户一起创造新的价值。

客户分布

50个国家以上

遍布全球客户一起创造新的价值。

开发、生产、销售据点数量

12处

业务范围遍布亚洲、欧洲和北美地区，为全球客户提供产品。

过去5年申请的专利数

700件以上

积极致力于开发新技术。

业务沿革

80年以上

多年来，积累了深厚的市场信誉。

返回高性能材料

高性能材料是指

业务概要

以自主技术支撑的光电子学产品和特殊玻璃制品为中心，致力于产品的革新及可持续发展。

NSG的优势

凭借独创的玻璃成分、成型和加工技术实现卓越功能。以新的价值回应全球客户的期望和信赖。

咨询

关于高性能材料业务若有任何疑问，欢迎随时咨询。

关于整体业务的咨询

日本板硝子株式会社

高性能材料

HOME

高性能材料是指

NSG的优势

高性能材料

业务概要

NSG的优势

业务部门查询

贡献领域・产品用途

材料

高性能树脂

橡胶

防锈（耐蚀）涂料

盖板玻璃

设计・艺术

汽车、工业用闪光颜料

化妆品

ICT

CCM

通讯

医疗保健

医疗

产品系列

MICROGLAS®

GLASFLAKE®

FLEKA®

FINEFLAKE™

METASHINE® Automotive/Industrial

METASHINE® Cosmetic

MAR'VINA®

玻璃纤维芯线 - 驱动皮带

玻璃纤维芯线/RICS - 橡胶/树脂增强材料

MAGNAVI™

低介电玻璃鳞片

光学滤镜

超低反射涂层

防雾镀膜

超薄玻璃

glanova® - 化學強化超薄玻璃

UFF® - 超薄钠钙玻璃

下载资料

新闻

咨询

日本語

English

NSG集团网站

法律通知

使用本网站

隐私政策

关于商标

Nippon Sheet Glass Co., Ltd. ©

产品系列 | 高性能材料　日本板硝子株式会社 - NSG集团

日本板硝子株式会社

高性能材料

贡献领域・产品用途

材料

高性能树脂

橡胶

防锈（耐蚀）涂料

盖板玻璃

设计・艺术

汽车、工业用闪光颜料

化妆品

ICT

CCM

通讯

医疗保健

医疗

产品系列

MICROGLAS®

GLASFLAKE®

FLEKA®

FINEFLAKE™

METASHINE® Automotive/Industrial

METASHINE® Cosmetics

MAR'VINA®

玻璃纤维芯线 - 驱动皮带

玻璃纤维芯线/RICS - 橡胶/树脂增强材料

MAGNAVI™

低介电玻璃鳞片

光学滤镜

超低反射涂层

防雾镀膜

超薄玻璃

glanova® - 化學強化超薄玻璃

UFF® - 超薄钠钙玻璃

下载资料

新闻

咨询

日本語

English

产品系列

凭借独特的成分、成型、加工技术，提供具有多种功能的玻璃制品。

MICROGLAS®

光学滤镜

超薄玻璃

MICROGLAS®

是以具有“透光”、“轻而强”、“弱导电性”等优良特性的玻璃纤维为基础，经过特殊加工而成的功能性无机材料。

其被广泛用于多个领域的商品，为实现商品的高附加值做出了贡献。

GLASFLAKE®

使用具有优异耐酸性的玻璃制成的片状（鳞片状）玻璃制品

FLEKA®

和加工成颗粒状的树脂具有相容性的鳞片状玻璃填料

FINEFLAKE™

厚度为1μm以下的超薄、高径厚比的鳞片状玻璃填料

METASHINE® Automotive/Industrial

兼具强烈闪光感和透明感的无机颜料

METASHINE® Cosmetic

兼具强烈闪光感和透明感的无机颜料

MAR'VINA®

面向底妆的粉末产品

玻璃纤维芯线 - 驱动皮带

具有优异弯曲性和尺寸稳定性的橡胶及弹性体产品补强用芯线

玻璃纤维芯线/RICS - 橡胶/树脂增强材料

用于增强橡胶、树脂的玻璃纤维、碳纤维、芳纶纤维的长纤维产品。

MAGNAVI™

用于加固复合材料的高弹性高强度纤维

低介电玻璃鳞片

实现低损耗和尺寸稳定性的片状玻璃填料

光学滤镜

这是一种应用独特的溶胶凝胶技术和无机-有机混合技术的表面处理技术。

可以实现高水准的光控制，有助于提高照相机和传感器的读取精度和可靠性。

超低反射涂层

采用溶胶-凝胶技术和无机/有机混合技术的液体型超低反射涂层

防雾镀膜

采用溶胶-凝胶技术和有机/无机混合技术的薄膜形成技术

超薄玻璃

轻质高强的超薄玻璃应用于我们生活中的各个场景。 NSG 拥有 40 多年的经验，提供日本制造的高品质、高平整度的超薄玻璃。

glanova® - 化學強化超薄玻璃

用于化学强化的高强度超薄玻璃，软化点低，易于加工，有助于减少二氧化碳排放

UFF® - 超薄钠钙玻璃

经验的日本制造高品质、高平坦超薄玻璃

日本板硝子株式会社

高性能材料

HOME

产品系列

高性能材料

业务概要

NSG的优势

业务部门查询

贡献领域・产品用途

材料

高性能树脂

橡胶

防锈（耐蚀）涂料

盖板玻璃

设计・艺术

汽车、工业用闪光颜料

化妆品

ICT

CCM

通讯

医疗保健

医疗

产品系列

MICROGLAS®

GLASFLAKE®

FLEKA®

FINEFLAKE™

METASHINE® Automotive/Industrial

METASHINE® Cosmetic

MAR'VINA®

玻璃纤维芯线 - 驱动皮带

玻璃纤维芯线/RICS - 橡胶/树脂增强材料

MAGNAVI™

低介电玻璃鳞片

光学滤镜

超低反射涂层

防雾镀膜

超薄玻璃

glanova® - 化學強化超薄玻璃

UFF® - 超薄钠钙玻璃

下载资料

新闻

咨询

日本語

English

NSG集团网站

法律通知

使用本网站

隐私政策

关于商标

Nippon Sheet Glass Co., Ltd. ©

使用 NSG 诊断检查安全规则 - Azure Network Watcher | Microsoft Learn

跳转至主内容

此浏览器不再受支持。

请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。

下载 Microsoft Edge

有关 Internet Explorer 和 Microsoft Edge 的详细信息

退出焦点模式

使用英语阅读

保存

使用英语阅读

保存

打印

Twitter

Facebook

电子邮件

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

诊断网络安全规则

项目

08/15/2023

1 个参与者

反馈

本文内容

可以使用网络安全组来筛选和控制进出 Azure 资源的入站和出站网络流量。你还可以使用 Azure Virtual Network Manager 将管理安全规则应用于 Azure 资源，以便控制网络流量。

本文介绍如何使用 Azure 网络观察程序 NSG 诊断来检查和排查应用于 Azure 流量的安全规则问题。 NSG 诊断可检查应用的安全规则是允许还是拒绝流量。

本文中的示例演示了配置错误的网络安全组如何阻止你使用 Azure Bastion 连接到虚拟机。

先决条件

门户

PowerShell

Azure CLI

具有活动订阅的 Azure 帐户。免费创建帐户。

使用 Azure 帐户登录到 Azure 门户。

具有活动订阅的 Azure 帐户。免费创建帐户。

Azure Cloud Shell 或 Azure PowerShell。

本文中的步骤在 Azure Cloud Shell 中以交互方式运行 Azure PowerShell cmdlet 命令。要在 Cloud Shell 中运行命令，请选择代码块右上角的“打开 Cloudshell”。选择“复制”以复制代码，并将其粘贴到 Cloud Shell 以运行。也可以从 Azure 门户中运行 Cloud Shell。

也可以在本地安装 Azure PowerShell 以运行 cmdlet。如果在本地运行 PowerShell，请使用 Connect-AzAccount cmdlet 登录到 Azure。

具有活动订阅的 Azure 帐户。免费创建帐户。

Azure Cloud Shell 或 Azure CLI。

本文中的步骤在 Azure Cloud Shell 中以交互方式运行 Azure CLI 命令。要在 Cloud Shell 中运行命令，请选择代码块右上角的“打开 Cloudshell”。选择“复制”以复制代码，并将其粘贴到 Cloud Shell 以运行。也可以从 Azure 门户中运行 Cloud Shell。

还可以在本地安装 Azure CLI 以运行命令。如果在本地运行 Azure CLI，请使用 az login 命令登录到 Azure。

创建虚拟网络和堡垒主机

在本部分，将创建包含两个子网和一个 Azure Bastion 主机的虚拟网络。第一个子网用于虚拟机，第二个子网用于 Bastion 主机。你还可以创建网络安全组并将其应用于第一个子网。

门户

PowerShell

Azure CLI

在门户顶部的搜索框中，输入“虚拟网络”。在搜索结果中，选择“虚拟网络”。

选择“+ 新建”。在“创建虚拟网络”的“基本信息”选项卡中，输入或选择以下值：

设置

值

项目详细信息

选择 Azure 订阅。

资源组

选择“新建”。在“名称”中输入“myResourceGroup”。选择“确定”。

实例详细信息

虚拟网络名称

输入“myVNet”。

区域

选择“(US)美国东部”。

选择“安全性”选项卡，或者选择页面底部的“下一步”按钮。

在“Azure Bastion”下，选择“启用 Azure Bastion”并接受默认值：

设置

值

Azure Bastion 主机名

myVNet-Bastion。

Azure Bastion 公共 IP 地址

（新）myVNet-bastion-publicIpAddress。

选择“IP 地址”选项卡，或者选择页面底部的“下一步”按钮。

接受默认 IP 地址空间 10.0.0.0/16，并通过选择铅笔图标编辑默认子网。在“编辑子网”页中，输入以下值：

设置

值

子网详细信息

名称

输入“mySubnet”。

安全性

网络安全组

选择“新建”。在“名称”中，输入“mySubnet-nsg”。选择“确定”。

选择“查看 + 创建”。

检查设置，然后选择“创建”。

使用 New-AzResourceGroup 创建资源组。 Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。

# Create a resource group.

New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'

使用 New-AzNetworkSecurityGroup 创建默认网络安全组。

# Create a network security group.

$networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'

使用 New-AzVirtualNetworkSubnetConfig 为虚拟机子网和 Bastion 主机子网创建子网配置。

# Create subnets configuration.

$firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup

$secondSubnet = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet' -AddressPrefix '10.0.1.0/26'

使用 New-AzVirtualNetwork 创建虚拟网络。

# Create a virtual network.

$vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet

使用 New-AzPublicIpAddress 创建 Bastion 主机所需的公共 IP 地址资源。

# Create a public IP address for Azure Bastion.

New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'

使用 New-AzBastion 创建 Bastion 主机。

# Create an Azure Bastion host.

New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' --PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet

使用 az group create 创建资源组。 Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。

# Create a resource group.

az group create --name 'myResourceGroup' --location 'eastus'

使用 az network nsg create 创建默认网络安全组。

# Create a network security group.

az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'

使用 az network vnet create 创建虚拟网络。

az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg'

使用 az network vnet subnet create 为 Azure Bastion 创建子网。

# Create AzureBastionSubnet.

az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'

使用 az network public-ip create 为 Bastion 主机创建公共 IP 地址。

# Create a public IP address resource.

az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard

使用 az network bastion create 创建 Bastion 主机。

az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'

重要

无论出站数据使用情况如何，小时定价都从部署 Bastion 的时刻开始计算。有关详细信息，请参阅定价。我们建议在使用完该资源后将其删除。

创建虚拟机

在本部分，将创建应用于其网络接口的虚拟机和网络安全组。

门户

PowerShell

Azure CLI

在门户顶部的搜索框中，输入“虚拟机”。在搜索结果中，选择“虚拟机”。

选择“+ 创建”，然后选择“Azure 虚拟机”。

在“创建虚拟机”中，在“基本信息”选项卡中输入或选择以下值：

设置

值

项目详细信息

选择 Azure 订阅。

资源组

选择“myResourceGroup”。

实例详细信息

虚拟机名称

输入“myVM”。

区域

选择“(US)美国东部”。

可用性选项

选择“无需基础结构冗余”。

安全类型

选择“标准”。

映像

选择“Windows Server 2022 Datacenter: Azure Edition - x64 Gen2”。

大小

选择大小或保留默认设置。

管理员帐户

用户名

输入用户名。

Password

输入密码。

确认密码

重新输入密码。

选择“网络”选项卡，或选择“下一步: 磁盘”，然后选择“下一步: 网络”。

在“网络”选项卡上，选择以下值：

设置

值

网络接口

虚拟网络

选择“myVNet”。

子网

选择“默认值”。

公共 IP

选择“无”。

NIC 网络安全组

选择“基本”。

公共入站端口

选择“无”。

选择“查看 + 创建”。

检查设置，然后选择“创建”。

使用 New-AzNetworkSecurityGroup 创建默认网络安全组。

# Create a default network security group.

New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location eastus

使用 New-AzVM 创建虚拟机。出现提示时，输入用户名和密码。

# Create a virtual machine using the latest Windows Server 2022 image.

New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'

使用 az network nsg create 创建默认网络安全组。

# Create a default network security group.

az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'

使用 az vm create 创建虚拟机。出现提示时，输入用户名和密码。

# Create a virtual machine using the latest Windows Server 2022 image.

az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'

将安全规则添加到网络安全组

在本部分，将安全规则添加到与 myVM 的网络接口关联的网络安全组。该规则将拒绝来自虚拟网络的任何入站流量。

门户

PowerShell

Azure CLI

在门户顶部的搜索框中，输入“网络安全组”。在搜索结果中选择“网络安全组”。

在网络安全组列表中，选择“myVM-nsg”。

在“设置”下，选择“入站安全规则”。

选择“+ 添加”。在“网络”选项卡中，输入或选择以下值：

设置

值

源

选择“服务标记”。

源服务标记

选择“VirtualNetwork”。

源端口范围

输入 *。

目标

选择“任何”。

服务

选择“自定义”。

目标端口范围

输入 *。

协议

选择“任何”。

操作

选择“拒绝”。

优先级

输入“1000”。

名称

输入“DenyVnetInBound”。

选择添加。

使用 Add-AzNetworkSecurityRuleConfig 创建用于拒绝来自虚拟网络的流量的安全规则。然后使用 Set-AzNetworkSecurityGroup 和新的安全规则来更新网络安全组。

# Place the network security group configuration into a variable.

$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'

# Create a security rule that denies inbound traffic from the virtual network service tag.

Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `

-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `

-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'

# Updates the network security group.

Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

使用 az network nsg rule create 向网络安全组添加用于拒绝来自虚拟网络的流量的安全规则。

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.

az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \

--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \

--destination-address-prefixes '*' --destination-port-ranges '*'

注意

VirtualNetwork 服务标记代表虚拟网络的地址空间、所有连接的本地地址空间、对等互连的虚拟网络、已连接到虚拟网络网关的虚拟网络、主机的虚拟 IP 地址，以及用户定义的路由上使用的地址前缀。有关详细信息，请参阅服务标记。

检查应用于虚拟机流量的安全规则

使用 NSG 诊断检查应用于从 Bastion 子网传输到虚拟机的流量的安全规则。

门户

PowerShell

Azure CLI

在门户顶部的搜索栏中，搜索并选择“网络观察程序”。

在“网络诊断工具”下，选择“NSG 诊断”。

在“NSG 诊断”页上，输入或选择以下值：

设置

值

目标资源

目标资源类型

选择“虚拟机”。

虚拟机

选择 myVM 虚拟机。

流量详细信息

协议

选择“TCP”。其他可用选项包括：“任何”、“UDP”和“ICMP”。

方向

选择“入站”。其他可用选项为“出站”。

源类型

选择“IPv4 地址/CIDR”。其他可用选项为“服务标记”。

IPv4 地址/CIDR

输入“10.0.1.0/26”，这是 Bastion 子网的 IP 地址范围。可接受的值包括：单个 IP 地址、多个 IP 地址、单个 IP 前缀、多个 IP 前缀。

目标 IP 地址

保留默认值 10.0.0.4，它是 myVM 的 IP 地址。

目标端口

输入 * 以包含所有端口。

选择“运行 NSG 诊断”以运行测试。当 NSG 诊断完成对所有安全规则的检查后，它会显示结果。

结果显示有三个安全规则评估了来自 Bastion 子网的入站连接：

GlobalRules：此安全管理规则使用 Azure Virtual Network Manage 在虚拟网络级别进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。

mySubnet-nsg：此网络安全组在子网级别（虚拟机子网）进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。

myVM-nsg：此网络安全组在网络接口 (NIC) 级别进行应用。该规则拒绝从 Bastion 子网到虚拟机的入站 TCP 流量。

选择“myVM-nsg”的“查看详细信息”，以详细了解此网络安全组包含的安全规则以及哪些规则拒绝了流量。

在 myVM-nsg 网络安全组中，安全规则 DenyVnetInBound 拒绝了从 VirtualNetwork 服务标记的地址空间流向虚拟机的任何流量。 Bastion 主机使用地址范围 10.0.1.0/26 中的 IP 地址（包含在 VirtualNetwork 服务标记中）连接到虚拟机。因此，来自 Bastion 主机的连接将被 DenyVnetInBound 安全规则拒绝。

使用 Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic 启动 NSG 诊断会话。

# Create a profile for the diagnostic session.

$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *

# Place the virtual machine configuration into a variable.

$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'

# Start the the NSG diagnostics session.

Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

将返回类似于以下示例输出的输出：

Results : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}

ResultsText : [

{

"Profile": {

"Direction": "Inbound",

"Protocol": "Tcp",

"Source": "10.0.1.0/26",

"Destination": "10.0.0.4",

"DestinationPort": "*"

"NetworkSecurityGroupResult": {

"SecurityRuleAccessResult": "Deny",

"EvaluatedNetworkSecurityGroups": [

{

"NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",

"MatchedRule": {

"RuleName": "VirtualNetwork",

"Action": "Allow"

"RulesEvaluationResult": [

{

"Name": "VirtualNetwork",

"ProtocolMatched": true,

"SourceMatched": true,

"SourcePortMatched": true,

"DestinationMatched": true,

"DestinationPortMatched": true

}

]

{

"NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",

"MatchedRule": {

"RuleName": "DefaultRule_AllowVnetInBound",

"Action": "Allow"

"RulesEvaluationResult": [

{

"Name": "DefaultRule_AllowVnetInBound",

"ProtocolMatched": true,

"SourceMatched": true,

"SourcePortMatched": true,

"DestinationMatched": true,

"DestinationPortMatched": true

}

]

{

"NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",

"MatchedRule": {

"RuleName": "UserRule_DenyVnetInBound",

"Action": "Deny"

"RulesEvaluationResult": [

{

"Name": "UserRule_DenyVnetInBound",

"ProtocolMatched": true,

"SourceMatched": true,

"SourcePortMatched": true,

"DestinationMatched": true,

"DestinationPortMatched": true

}

]

}

]

}

]

结果显示有三个安全规则评估了来自 Bastion 子网的入站连接：

GlobalRules：此安全管理规则使用 Azure Virtual Network Manage 在虚拟网络级别进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。

mySubnet-nsg：此网络安全组在子网级别（虚拟机子网）进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。

myVM-nsg：此网络安全组在网络接口 (NIC) 级别进行应用。该规则拒绝从 Bastion 子网到虚拟机的入站 TCP 流量。

在 myVM-nsg 网络安全组中，安全规则 DenyVnetInBound 拒绝了从 VirtualNetwork 服务标记的地址空间流向虚拟机的任何流量。 Bastion 主机使用 10.0.1.0/26 中的 IP 地址（包含在 VirtualNetwork 服务标记中）连接到虚拟机。因此，来自 Bastion 主机的连接将被 DenyVnetInBound 安全规则拒绝。

使用 az network watcher run-configuration-diagnostic 启动 NSG 诊断会话。

# Start the the NSG diagnostics session.

az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

将返回类似于以下示例输出的输出：

{

"results": [

{

"networkSecurityGroupResult": {

"evaluatedNetworkSecurityGroups": [

{

"appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",

"matchedRule": {

"action": "Allow",

"ruleName": "VirtualNetwork"

"networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",

"rulesEvaluationResult": [

{

"destinationMatched": true,

"destinationPortMatched": true,

"name": "VirtualNetwork",

"protocolMatched": true,

"sourceMatched": true,

"sourcePortMatched": true

}

]

{

"appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",

"matchedRule": {

"action": "Allow",

"ruleName": "DefaultRule_AllowVnetInBound"

"networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",

"rulesEvaluationResult": [

{

"destinationMatched": true,

"destinationPortMatched": true,

"name": "DefaultRule_AllowVnetInBound",

"protocolMatched": true,

"sourceMatched": true,

"sourcePortMatched": true

}

]

{

"appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",

"matchedRule": {

"action": "Deny",

"ruleName": "UserRule_DenyVnetInBound"

"networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",

"rulesEvaluationResult": [

{

"destinationMatched": true,

"destinationPortMatched": true,

"name": "UserRule_DenyVnetInBound",

"protocolMatched": true,

"sourceMatched": true,

"sourcePortMatched": true

}

]

}

"securityRuleAccessResult": "Deny"

"profile": {

"destination": "10.0.0.4",

"destinationPort": "*",

"direction": "Inbound",

"protocol": "TCP",

"source": "10.0.1.0/26"

}

]

}

结果显示有三个安全规则评估了来自 Bastion 子网的入站连接：

GlobalRules：此安全管理规则使用 Azure Virtual Network Manage 在虚拟网络级别进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。

mySubnet-nsg：此网络安全组在子网级别（虚拟机子网）进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。

myVM-nsg：此网络安全组在网络接口 (NIC) 级别进行应用。该规则拒绝从 Bastion 子网到虚拟机的入站 TCP 流量。

添加安全规则以允许来自 Bastion 子网的流量

若要使用 Azure Bastion 连接到 myVM，网络安全组必须允许来自 Bastion 子网的流量。若要允许来自 10.0.1.0/26 的流量，请添加比 DenyVnetInBound 规则优先级更高（优先级数字更低）的安全规则，或编辑 DenyVnetInBound 规则以允许来自 Bastion 子网的流量。

门户

PowerShell

Azure CLI

可从“网络观察程序”页将安全规则添加到网络安全组，该页显示了拒绝虚拟机流量的安全规则的相关详细信息。

若要从网络观察程序中添加安全规则，请选择“+ 添加安全规则”，然后输入或选择以下值：

设置

值

源

选择“IP 地址”。

源 IP 地址/CIDR 范围

输入“10.0.1.0/26”，这是 Bastion 子网的 IP 地址范围。

源端口范围

输入 *。

目标

选择“任何”。

服务

选择“自定义”。

目标端口范围

输入 *。

协议

选择“任何”。

操作

选择“允许”。

优先级

输入“900”，其优先级高于用于 DenyVnetInBound 规则的 1000。

名称

输入“AllowBastionConnections”。

选择“重新检查”以再次运行诊断会话。诊断会话现在应该会显示允许来自 Bastion 子网的流量。

安全规则 AllowBastionConnections 允许从 10.0.1.0/26 中的任何 IP 地址到虚拟机的流量。由于 Bastion 主机使用 10.0.1.0/26 中的 IP 地址，因此，AllowBastionConnections 安全规则允许其与虚拟机的连接。

使用 Add-AzNetworkSecurityRuleConfig 创建用于允许来自 Bastion 子网的流量的安全规则。然后使用 Set-AzNetworkSecurityGroup 和新的安全规则来更新网络安全组。

# Place the network security group configuration into a variable.

$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'

# Create a security rule.

Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `

-Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'

# Updates the network security group.

Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

使用 Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic 通过新的 NSG 诊断会话重新进行检查。

# Create a profile for the diagnostic session.

$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'

# Place the virtual machine configuration into a variable.

$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'

# Start the diagnostic session.

Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

将返回类似于以下示例输出的输出：

Results : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}

ResultsText : [

{

"Profile": {

"Direction": "Inbound",

"Protocol": "Tcp",

"Source": "10.0.1.0/26",

"Destination": "10.0.0.4",

"DestinationPort": "*"

"NetworkSecurityGroupResult": {

"SecurityRuleAccessResult": "Allow",

"EvaluatedNetworkSecurityGroups": [

{

"NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",

"MatchedRule": {

"RuleName": "VirtualNetwork",

"Action": "Allow"

"RulesEvaluationResult": [

{

"Name": "VirtualNetwork",

"ProtocolMatched": true,

"SourceMatched": true,

"SourcePortMatched": true,

"DestinationMatched": true,

"DestinationPortMatched": true

}

]

{

"NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",

"MatchedRule": {

"RuleName": "DefaultRule_AllowVnetInBound",

"Action": "Allow"

"RulesEvaluationResult": [

{

"Name": "DefaultRule_AllowVnetInBound",

"ProtocolMatched": true,

"SourceMatched": true,

"SourcePortMatched": true,

"DestinationMatched": true,

"DestinationPortMatched": true

}

]

{

"NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",

"MatchedRule": {

"RuleName": "UserRule_AllowBastionConnections",

"Action": "Allow"

"RulesEvaluationResult": [

{

"Name": "UserRule_AllowBastionConnections",

"ProtocolMatched": true,

"SourceMatched": true,

"SourcePortMatched": true,

"DestinationMatched": true,

"DestinationPortMatched": true

}

]

}

]

}

]

使用 az network nsg rule create 向网络安全组添加用于允许来自 Bastion 子网的流量的安全规则。

# Add a security rule to the network security group.

az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \

--access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \

--destination-address-prefixes '*' --destination-port-ranges '*'

使用 az network watcher run-configuration-diagnostic 通过新的 NSG 诊断会话重新进行检查。

# Start the the NSG diagnostics session.

将返回类似于以下示例输出的输出：

{

"results": [

{

"networkSecurityGroupResult": {

"evaluatedNetworkSecurityGroups": [

{

"appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",

"matchedRule": {

"action": "Allow",

"ruleName": "VirtualNetwork"

"networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",

"rulesEvaluationResult": [

{

"destinationMatched": true,

"destinationPortMatched": true,

"name": "VirtualNetwork",

"protocolMatched": true,

"sourceMatched": true,

"sourcePortMatched": true

}

]

{

"appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",

"matchedRule": {

"action": "Allow",

"ruleName": "DefaultRule_AllowVnetInBound"

"networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",

"rulesEvaluationResult": [

{

"destinationMatched": true,

"destinationPortMatched": true,

"name": "DefaultRule_AllowVnetInBound",

"protocolMatched": true,

"sourceMatched": true,

"sourcePortMatched": true

}

]

{

"appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",

"matchedRule": {

"action": "Allow",

"ruleName": "UserRule_AllowBastionConnections"

"networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",

"rulesEvaluationResult": [

{

"destinationMatched": true,

"destinationPortMatched": true,

"name": "UserRule_AllowBastionConnections",

"protocolMatched": true,

"sourceMatched": true,

"sourcePortMatched": true

}

]

}

"securityRuleAccessResult": "Allow"

"profile": {

"destination": "10.0.0.4",

"destinationPort": "*",

"direction": "Inbound",

"protocol": "TCP",

"source": "10.0.1.0/26"

}

]

}

清理资源

不再需要资源组时，可将资源组及其包含的所有资源一并删除：

门户

PowerShell

Azure CLI

在门户顶部的搜索框中输入 myResourceGroup。从搜索结果中选择“myResourceGroup”。

选择“删除资源组” 。

在“删除资源组”中，输入 myResourceGroup，然后选择“删除”。

选择“删除”以确认删除资源组及其所有资源。

使用 Remove-AzResourceGroup 删除资源组以及其包含的所有资源。

# Delete the resource group and all the resources it contains.

Remove-AzResourceGroup -Name 'myResourceGroup' -Force

使用 az group delete 删除资源组及其包含的所有资源

# Delete the resource group and all the resources it contains.

az group delete --name 'myResourceGroup' --yes --no-wait

后续步骤

若要了解其他网络观察程序工具，请参阅什么是 Azure 网络观察程序?。

若要了解如何排查虚拟机路由问题，请参阅诊断虚拟机网络路由问题。

其他资源

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标

其他资源

本文内容

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

亮

暗

高对比度

早期版本

博客

参与

隐私

使用条款

商标

NSG（半导体相关）_技点百科_技点网

NSG

（半导体相关）

NSG（NondopedSilicateGlass，无渗入杂质硅酸盐玻璃）为半导体集成电路中的绝缘层材料，通常以化学气相沉积的方式生成，具有良好的均匀覆盖特性以及良好的绝缘性质。主要应用于闸极与金属或金属与金属间高低不平的表面产生均匀的覆盖及良好的绝缘，并且有助于后续平坦化制程薄膜的生成。

知识树

时光轴

论点集

总题库

阅读模式

知识树创建页面

知识树创建说明

领域

提交

半导体

硬件

电气

词条相关

词条主页》

词条科普》

词条事件》

词条题库》

词条知识》

加载更多

Follow

imtoken钱包下载电脑版|nsg

imtoken钱包下载电脑版|nsg

一文带你了解免疫缺陷小鼠模型「真的很详细」 - 知乎

NSG小鼠-上海交通大学医学院实验动物饲养与管理

百度知道 - 信息提示

Milvus 揭秘| 向量索引算法HNSW和NSG的比较 - 知乎

高性能材料 日本板硝子株式会社 - NSG集团

网络安全组（NSG）简介_nsg rule-CSDN博客

NSG的优势 | 高性能材料 日本板硝子株式会社 - NSG集团

产品系列 | 高性能材料 日本板硝子株式会社 - NSG集团

使用 NSG 诊断检查安全规则 - Azure Network Watcher | Microsoft Learn

NSG（半导体相关）_技点百科_技点网

最近的新闻

您可能喜欢的文章

tokenpocket钱包下载app苹果版|nomadland

imtoken官方下载地址|oju

如何将Fil币存入TP钱包

数字货币操作和使用指南

如何向以太坊钱包充值

如何选择适合比特币钱包的硬盘空间？

如何观察比特币钱包地址？

高性能材料　日本板硝子株式会社 - NSG集团

NSG的优势 | 高性能材料　日本板硝子株式会社 - NSG集团

产品系列 | 高性能材料　日本板硝子株式会社 - NSG集团