Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel zeigt Ihnen, wie Sie eine Sicherheitsregel zum Blockieren von ausgehendem Netzwerkverkehr zu Port 80 und 443 erstellen, die Sie Ihren Regelsammlungen hinzufügen können. Weitere Informationen finden Sie unter Sicherheitsverwaltungsregeln.
Voraussetzungen
Bevor Sie mit der Konfiguration von Sicherheitsregeln beginnen, sollten Sie die folgenden Schritte bestätigen:
- Sie verstehen jedes Element in einer Sicherheitsverwaltungsregel.
- Sie haben eine Azure Virtual Network Manager-Instanz erstellt.
- Die installierte Version von
Az.Networkvon5.3.0oder höher ist erforderlich, um auf die erforderlichen Cmdlets zuzugreifen.
Erstellen einer SecurityAdmin-Konfiguration
Erstellen Sie eine neue SecurityAdmin-Konfiguration mit New-AzNetworkManagerSecurityAdminConfiguration.
$config = @{ Name = 'SecurityConfig' ResourceGroupName = 'myAVNMResourceGroup' NetworkManagerName = 'myAVNM' } $securityconfig = New-AzNetworkManagerSecurityAdminConfiguration @configSpeichern der Netzwerkgruppe in einer Variablen mit Get-AzNetworkManagerGroup.
$ng = @{ Name = 'myNetworkGroup' ResourceGroupName = 'myAVNMResourceGroup' NetworkManagerName = 'myAVNM' } $networkgroup = Get-AzNetworkManagerGroup @ngErstellen Sie mit New-AzNetworkManagerSecurityGroupItem ein Konnektivitätsgruppenelement, dem Sie eine Netzwerkgruppe hinzufügen.
$gi = @{ NetworkGroupId = "$networkgroup.Id" } $groupItem = New-AzNetworkManagerSecurityGroupItem -NetworkGroupId $networkgroup.idErstellen Sie eine Konfigurationsgruppe und fügen Sie die im vorherigen Schritt erstellte Gruppe hinzu.
[System.Collections.Generic.List[Microsoft.Azure.Commands.Network.Models.PSNetworkManagerSecurityGroupItem]]$configGroup = @() $configGroup.Add($groupItem) $configGroup = @($groupItem)Erstellen Sie eine Sammlung von Sicherheitsverwaltungsregeln mit New-AzNetworkManagerSecurityAdminRuleCollection.
$collection = @{ Name = 'myRuleCollection' ResourceGroupName = 'myAVNMResourceGroup' NetworkManager = 'myAVNM' ConfigName = 'SecurityConfig' AppliesToGroup = "$configGroup" } $rulecollection = New-AzNetworkManagerSecurityAdminRuleCollection @collection -AppliesToGroup $configGroupDefinieren Sie die Variablen für die Quell- und Zieladress-Präfixe und Ports mit New-AzNetworkManagerAddressPrefixItem.
$sourceip = @{ AddressPrefix = 'Internet' AddressPrefixType = 'ServiceTag' } $sourceprefix = New-AzNetworkManagerAddressPrefixItem @sourceip $destinationip = @{ AddressPrefix = '10.0.0.0/24' AddressPrefixType = 'IPPrefix' } $destinationprefix = New-AzNetworkManagerAddressPrefixItem @destinationip [System.Collections.Generic.List[string]]$sourcePortList = @() $sourcePortList.Add("65500”) [System.Collections.Generic.List[string]]$destinationPortList = @() $destinationPortList.Add("80”) $destinationPortList.Add("443”)Erstellen Sie eine Sicherheitsregel mit New-AzNetworkManagerSecurityAdminRule.
$rule = @{ Name = 'Block_HTTP_HTTPS' ResourceGroupName = 'myAVNMResourceGroup' NetworkManagerName = 'myAVNM' SecurityAdminConfigurationName = 'SecurityConfig' RuleCollectionName = 'myRuleCollection' Protocol = 'TCP' Access = 'Deny' Priority = '100' Direction = 'Outbound' SourceAddressPrefix = $sourceprefix SourcePortRange = $sourcePortList DestinationAddressPrefix = $destinationprefix DestinationPortRange = $destinationPortList } $securityrule = New-AzNetworkManagerSecurityAdminRule @rule
Committen der Bereitstellung
Bestätigen Sie die Sicherheitskonfiguration in den Zielregionen mit Deploy-AzNetworkManagerCommit.
$regions = @("westus")
$deployment = @{
Name = 'myAVNM'
ResourceGroupName = 'myAVNMResourceGroup'
ConfigurationId = $configIds
TargetLocation = $regions
CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @deployment
Sicherheitskonfiguration löschen
Wenn Sie die Sicherheitskonfiguration nicht mehr benötigen, stellen Sie sicher, dass die folgenden Kriterien erfüllt sind, damit Sie die Sicherheitskonfiguration selbst löschen können:
- In keiner Region sind Konfigurationen bereitgestellt.
- Löschen aller Sicherheitsregeln in einer Regelsammlung, die mit der Sicherheitskonfiguration verknüpft ist.
Einsatz der Sicherheitskonfiguration entfernen
Entfernen Sie die Sicherheitsbereitstellung, indem Sie eine Konfiguration mit Deploy-AzNetworkManagerCommit bereitstellen.
[System.Collections.Generic.List[string]]$configIds = @()
[System.Collections.Generic.List[string]]$regions = @()
$regions.Add("westus")
$removedeployment = @{
Name = 'myAVNM'
ResourceGroupName = 'myAVNMResourceGroup'
ConfigurationId = $configIds
TargetLocation = $regions
CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @removedeployment
Sicherheitsregeln entfernen
Entfernen Sie Sicherheitsregeln mit Remove-AzNetworkManagerSecurityAdminRule.
$removerule = @{
Name = 'Block80'
ResourceGroupName = 'myAVNMResourceGroup'
NetworkManagerName = 'myAVNM'
SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRule @removerule
Sammlungen von Sicherheitsregeln entfernen
$removecollection = @{
Name = 'myRuleCollection'
ResourceGroupName = 'myAVNMResourceGroup'
NetworkManagerName = 'myAVNM'
SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRuleCollection @removecollection
Konfiguration löschen
Löschen Sie die Sicherheitskonfiguration mit Remove-AzNetworkManagerSecurityAdminConfiguration.
$removeconfig = @{
Name = 'SecurityConfig'
ResourceGroupName = 'myAVNMResourceGroup'
NetworkManagerName = 'myAVNM'
}
Remove-AzNetworkManagerSecurityAdminConfiguration @removeconfig
Nächste Schritte
Erfahren Sie mehr über Sicherheitsverwaltungsregeln.