IP-Datenflussüberprüfung und NSG-Diagnose

Abgeschlossen

Sowohl die IP-Datenflussüberprüfung als auch die NSG Diagnose ermöglichen es Ihnen zu analysieren, wie die Netzwerkkonfiguration möglicherweise den Netzwerkdatenverkehr einschränkt.

Überprüfen des IP-Flusses

Die IP-Datenflussüberprüfung überprüft, ob ein Paket an einen oder von einem virtuellen Computer übermittelt werden darf. Diese Informationen enthalten die Richtung, das Protokoll, die lokale IP-Adresse, die IP-Remoteadresse, den lokalen Port und einen Remoteport. Wenn das Paket von einer Sicherheitsgruppe abgelehnt wird, wird der Name der Regel, die das Paket verweigert hat, zurückgegeben. Es können beliebige Quell- oder Ziel-IP-Adressen ausgewählt werden. Damit unterstützt die IP-Datenflussüberprüfung Administratoren bei der schnellen Diagnose von Verbindungsproblemen mit dem Internet und in der lokalen Umgebung.

Die IP-Datenflussüberprüfung untersucht die Regeln für alle Netzwerksicherheitsgruppen (NSGs), die auf die Netzwerkschnittstelle angewendet wurden (z.B. Subnetz oder VM-Netzwerkschnittstelle). Der Datenfluss zu oder von dieser Netzwerkschnittstelle wird dann basierend auf den konfigurierten Einstellungen überprüft. Die IP-Datenflussüberprüfung ist nützlich, um zu bestätigen, ob eine Regel in einer Netzwerksicherheitsgruppe ein- oder ausgehenden Datenverkehr eines virtuellen Computers blockiert. Nun werden zusammen mit den NSG-Regeln auch die Azure Virtual Network Manager-Regeln ausgewertet.

Azure Virtual Network Manager (AVNM) ist ein Verwaltungsdienst, mit dem Benutzer virtuelle Netzwerke global und abonnementübergreifend gruppieren, konfigurieren, bereitstellen und verwalten können. Mit der AVNM-Sicherheitskonfiguration können Benutzer eine Sammlung von Regeln definieren, die auf eine oder mehrere Netzwerkgruppen auf globaler Ebene angewendet werden können. Diese Sicherheitsregeln haben eine höhere Priorität als NSG-Regeln (Netzwerksicherheitsgruppen). Ein wichtiger Unterschied ist hierbei, dass Administratorregeln eine Ressource sind, die von AVNM an einem zentralen, von den Governance- und Sicherheitsteams kontrollierten Ort bereitgestellt werden und nach unten zu den einzelnen VNets weitergeleitet werden. NSGs sind eine Ressource, die von den VNet-Besitzern kontrolliert wird. Sie gelten auf Ebene der einzelnen Subnetze oder NICs.

Es muss in jeder Region, in der Sie die IP-Datenflussüberprüfung ausführen möchten, eine Instanz von Network Watcher erstellt werden. Network Watcher ist ein regionaler Dienst, der nur für Ressourcen in derselben Region ausgeführt werden kann. Die verwendete Instanz hat keine Auswirkungen auf die Ergebnisse der IP-Datenflussüberprüfung, da trotzdem die Routen zurückgegeben werden, die der Netzwerkschnittstelle oder dem Subnetz zugeordnet sind.

Netzwerksicherheitsgruppen-Diagnose

Die NSG-Diagnose (Netzwerksicherheitsgruppe) ist ein Azure Network Watcher-Tool, mit dem Sie nachvollziehen können, welcher Netzwerkdatenverkehr in Ihrem virtuellen Azure-Netzwerk zulässig ist oder abgelehnt wird. Außerdem erhalten Sie detaillierte Informationen zum Debuggen. Mit der NSG-Diagnose können Sie überprüfen, ob Ihre Netzwerksicherheitsgruppen-Regeln ordnungsgemäß eingerichtet sind. Einige Funktionen der NSG-Diagnose überschneiden sich mit denen der IP-Datenflussüberprüfung.

Das NSG-Diagnosetool kann einen bestimmten Flow basierend auf der von Ihnen bereitgestellten Quelle und dem angegebenen Ziel simulieren. Es gibt an, ob der Flow zugelassen oder verweigert wird, und stellt detaillierte Informationen zur Sicherheitsregel zurück, die den Flow zulässt oder verweigert.

Mit den folgenden Schritte können Sie die Diagnose für eine NSG ausführen:

1. Suchen Sie über das Suchfeld oben im Portal nach Network Watcher, und wählen Sie den Eintrag aus.
2. Wählen Sie unter Netzwerkdiagnosetools die Option NSG-Diagnosen aus.
3. Geben Sie auf der Seite NSG-Diagnose die folgenden Werte ein:
   • Zielressource
     • Zielressourcentyp. Wählen Sie die Ressource aus, für deren Verbindung die Diagnose ausgeführt werden soll.
     • Virtuellen Computer Wählen Sie den virtuellen Computer aus, auf dem Sie die Diagnose ausführen möchten.
   • Details zum Datenverkehr
     • Protokoll. Wählen Sie TCP, UDP und/oder ICMP aus.
     • Richtung. Wählen Sie „Eingehend“ oder „Ausgehend“ aus.
     • Quellentyp Wählen Sie „IPv4-Adresse/CIDR“ oder „Diensttag“ aus.
     • IP4-Adresse/CIDR. Zulässige Werte sind: einzelne IP-Adresse, mehrere IP-Adressen, einzelnes IP-Präfix und mehrere IP-Präfixe.
     • Ziel-IP-Adresse Zulässige Werte sind: einzelne IP-Adresse, mehrere IP-Adressen, ein einzelnes IP-Präfix, mehrere IP-Präfixe.
     • Zielport. Geben Sie * ein, um alle Ports einzuschließen.
4. Wählen Sie NSG-Diagnose ausführen aus, um den Test auszuführen. Sobald die NSG-Diagnosen die Überprüfung aller Sicherheitsregeln abgeschlossen hat, wird das Ergebnis angezeigt. Dieses Ergebnis gibt an, welche Regeln für eine NSG vorhanden sind und welche Regel Datenverkehr ablehnt.