Diagnóstico de reglas de seguridad de red

Puede usar grupos de seguridad de red para filtrar y controlar el tráfico de red entrante y saliente hacia los recursos de Azure y desde ellos. También puede usar Azure Virtual Network Manager para aplicar reglas de seguridad de administración a los recursos de Azure para controlar el tráfico de red.

En este artículo, obtendrá información sobre cómo usar diagnósticos de NSG de Azure Network Watcher para comprobar y solucionar problemas de reglas de seguridad aplicadas al tráfico de Azure. Los diagnósticos de NSG comprueban si las reglas de seguridad aplicadas permiten o deniegan el tráfico.

En el ejemplo de este artículo se muestra cómo un grupo de seguridad de red mal configurado puede impedir que use Azure Bastion para conectarse a una máquina virtual.

Requisitos previos

Portal

• Una cuenta de Azure con una suscripción activa. cree una cuenta gratuita.

• Inicie sesión en Azure Portal con su cuenta de Azure.

PowerShell

• Una cuenta de Azure con una suscripción activa. cree una cuenta gratuita.

• Azure Cloud Shell o Azure PowerShell.

  Los pasos de este artículo ejecutarán los cmdlets de Azure PowerShell de forma interactiva en Azure Cloud Shell. Para ejecutar los comandos en Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. Seleccione Copiar para copiar el código y péguelo, a continuación, en Cloud Shell para ejecutarlo. También podrá ejecutar Cloud Shell desde Azure Portal.

  También podrá instalar Azure PowerShell localmente para ejecutar los cmdlet. En este artículo se requieren los módulos Az PowerShell. Para obtener más información, consulte Cómo instalar Azure PowerShell. Ejecute Get-InstalledModule -Name Az para ver cuál es la versión instalada. Si ejecuta PowerShell localmente, inicie sesión en Azure con el cmdlet Connect-AzAccount.

CLI de Azure

• Una cuenta de Azure con una suscripción activa. cree una cuenta gratuita.

• Azure Cloud Shell o la CLI de Azure.

  Los pasos de este artículo ejecutarán los comandos de la CLI de Azure de forma interactiva en Azure Cloud Shell. Para ejecutar los comandos en Cloud Shell, seleccione Abrir Cloud Shell en la esquina superior derecha de un bloque de código. Seleccione Copiar para copiar el código y péguelo en Cloud Shell para ejecutarlo. También podrá ejecutar Cloud Shell desde Azure Portal.

  También puede instalar la CLI de Azure localmente para ejecutar los comandos. Si ejecuta la CLI de Azure localmente, inicie sesión en Azure con el comando az login.

Crear una red virtual y un host bastión

En esta sección, creará una red virtual con dos subredes y un host de Azure Bastion. La primera subred se usa para la máquina virtual y la segunda subred se usa para el host de Bastion. También se crea un grupo de seguridad de red y se aplica a la primera subred.

Portal

1. En el cuadro de búsqueda de la parte superior del portal, escriba redes virtuales. En los resultados de la búsqueda, seleccione Redes virtuales.

   

2. Seleccione + Create (+ Crear). En Crear una red virtual, escriba o seleccione los siguientes valores en la pestaña Información básica:

   Configuración	Value
   Detalles del proyecto
   Subscription	Seleccione su suscripción a Azure.
   Grupo de recursos	Seleccione Crear nuevo. Escriba myResourceGroup en Nombre. Seleccione .
   Detalles de instancia
   Nombre de la red virtual	Escriba MyVnet.
   Region	Seleccione (EE. UU.) Este de EE. UU. .

3. Seleccione la pestaña Seguridad o elija el botón Siguiente situado en la parte inferior de la página.

4. En Azure Bastion, seleccione Habilitar Azure Bastion y acepte los valores predeterminados:

   Configuración	Valor
   Nombre de host de Azure Bastion	myVNet-Bastion.
   Dirección IP pública de Azure Bastion	(Nuevo) myVNet-bastion-publicIpAddress.

5. Seleccione la pestaña Direcciones IP o el botón Siguiente situado en la parte inferior de la página.

6. Acepte el espacio de direcciones IP predeterminado 10.0.0.0/16 y edite la subred predeterminada seleccionando el icono del lápiz. En la página Editar subred, escriba los valores siguientes:

   Configuración	Valor
   Detalles de subred
   Nombre	Escriba mySubnet.
   Seguridad
   Grupo de seguridad de red	Seleccione Crear nuevo. Escriba mySubnet-nsg en Nombre. Seleccione Aceptar.

7. Seleccione Revisar y crear.

8. Revise la configuración y, a continuación, seleccione Crear.

PowerShell

1. Cree un grupo de recursos con New-AzResourceGroup. Un grupo de recursos de Azure es un contenedor lógico en el que se implementan y se administran los recursos de Azure.

   # Create a resource group.
   New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'
   

2. Cree un grupo de seguridad de red predeterminado con New-AzNetworkSecurityGroup.

   # Create a network security group.
   $networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. Cree una configuración de subred para la subred de la máquina virtual y la subred del host de Bastion mediante New-AzVirtualNetworkSubnetConfig.

   # Create subnets configuration.
   $firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
   $secondSubnet  = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet'  -AddressPrefix '10.0.1.0/26'
   

4. Cree una red virtual mediante New-AzVirtualNetwork.

   # Create a virtual network.
   $vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet
   

5. Cree el recurso de dirección IP pública necesario para el host de Bastion mediante New-AzPublicIpAddress.

   # Create a public IP address for Azure Bastion.
   New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'
   

6. Cree el host de Bastion mediante New-AzBastion.

   # Create an Azure Bastion host.
   New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' --PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet
   

CLI de Azure

1. Para crear un grupo de recursos, use az group create. Un grupo de recursos de Azure es un contenedor lógico en el que se implementan y se administran los recursos de Azure.

   # Create a resource group.
   az group create --name 'myResourceGroup' --location 'eastus'
   

2. Cree un grupo de seguridad de red predeterminado mediante az network nsg create.

   # Create a network security group.
   az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

3. Cree una red virtual con az network vnet create.

   az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg' 
   

4. Cree una subred para Azure Bastion mediante az network vnet subnet create.

   # Create AzureBastionSubnet.
   az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'
   

5. Cree una dirección IP pública para el host de Bastion mediante az network public-ip create.

   # Create a public IP address resource.
   az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard
   

6. Cree un host de Bastion mediante az network bastion create.

   az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'
   

Importante

Los precios por hora comienzan desde el momento en que se implementa el host bastión, independientemente del uso de datos salientes. Para obtener más información, consulte el apartado Precios. Le recomendamos que elimine este recurso cuando haya terminado de usarlo.

Creación de una máquina virtual

En esta sección, creará una máquina virtual y un grupo de seguridad de red aplicado a su interfaz de red.

Portal

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.

2. Seleccione + Crear y, a continuación, Máquina virtual de Azure.

3. En Crear una máquina virtual, escriba o seleccione los valores siguientes en la pestaña Básico:

   Configuración	Value
   Detalles del proyecto
   Subscription	Seleccione su suscripción a Azure.
   Grupo de recursos	Seleccione myResourceGroup.
   Detalles de instancia
   Nombre de la máquina virtual	Escriba myVM.
   Region	Seleccione (EE. UU.) Este de EE. UU. .
   Opciones de disponibilidad	Seleccione No se requiere redundancia de la infraestructura.
   Tipo de seguridad	Seleccione Estándar.
   Imagen	Seleccione Windows Server 2022 Datacenter: Azure Edition - x64 Gen2.
   Size	Elija un tamaño o deje la configuración predeterminada.
   Cuenta de administrador
   Nombre de usuario	Especifique un nombre de usuario.
   Contraseña	Escriba una contraseña.
   Confirmación de la contraseña	Vuelva a escribir la contraseña.

4. Seleccione la pestaña Redes o seleccione Siguiente: Discos y, después, Siguiente: Redes.

5. En la pestaña Redes, seleccione los siguientes valores:

   Configuración	Valor
   Interfaz de red
   Virtual network	Seleccione myVNet.
   Subnet	Seleccione Predeterminado.
   Dirección IP pública	Seleccione Ninguno.
   Grupo de seguridad de red de NIC	Seleccione Básica.
   Puertos de entrada públicos	Seleccione Ninguno.

6. Seleccione Revisar + crear.

7. Revise la configuración y, a continuación, seleccione Crear.

PowerShell

1. Cree un grupo de seguridad de red predeterminado con New-AzNetworkSecurityGroup.

   # Create a default network security group.
   New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus
   

2. Cree una máquina virtual mediante New-AzVM. Cuando se le solicite, escriba un nombre de usuario y una contraseña.

   # Create a virtual machine using the latest Windows Server 2022 image.
   New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'
   

CLI de Azure

1. Cree un grupo de seguridad de red predeterminado mediante az network nsg create.

   # Create a default network security group.
   az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

2. Cree una máquina virtual con az vm create. Cuando se le solicite, escriba un nombre de usuario y una contraseña.

   # Create a virtual machine using the latest Windows Server 2022 image.
   az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'
   

Adición de una regla de seguridad al grupo de seguridad de red

En esta sección, agregará una regla de seguridad al grupo de seguridad de red asociado a la interfaz de red de myVM. La regla deniega cualquier tráfico entrante de la red virtual.

Portal

1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba grupos de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

2. En la lista de grupos de seguridad de red, seleccione myVM-nsg.

3. En Configuración, seleccione Reglas de seguridad de entrada.

4. Seleccione +Agregar. En la pestaña Redes, escriba o seleccione los siguientes valores:

   Configuración	Valor
   Source	Seleccione Service Tag (Etiqueta de servicio).
   Etiqueta de servicio de origen	Seleccione VirtualNetwork.
   Source port ranges	Escriba *.
   Destination	Seleccione Cualquiera.
   Servicio	seleccione Personalizada.
   Intervalos de puertos de destino	Escriba *.
   Protocolo	Seleccione Cualquiera.
   Acción	Seleccione Denegar.
   Priority	Escriba 1000.
   Nombre	Escriba DenyVnetInBound.

5. Seleccione Agregar.

   

PowerShell

Use Add-AzNetworkSecurityRuleConfig para crear una regla de seguridad que deniegue el tráfico de la red virtual. A continuación, use Set-AzNetworkSecurityGroup para actualizar el grupo de seguridad de red con la nueva regla de seguridad.

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

CLI de Azure

Use az network nsg rule create para agregar al grupo de seguridad de red una regla de seguridad que deniegue el tráfico de la red virtual.

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

Nota

La etiqueta de servicio VirtualNetwork representa el espacio de direcciones de la red virtual, todos los espacios de direcciones locales conectados, las redes virtuales del mismo nivel, las redes virtuales conectadas a una puerta de enlace de red virtual, la dirección IP virtual del host y los prefijos de dirección usados en las rutas definidas por el usuario. Para obtener más información, consulte Etiquetas de servicio.

Comprobación de las reglas de seguridad aplicadas a un tráfico de máquina virtual

Use diagnósticos de NSG para comprobar las reglas de seguridad aplicadas al tráfico originado desde la subred de Bastion a la máquina virtual.

Portal

1. En el cuadro de búsqueda de la parte superior del portal, busque y seleccione Network Watcher.

2. En Herramientas de diagnóstico de red, seleccione Diagnóstico de NSG.

3. En la página Diagnóstico de NSG, escriba o seleccione los siguientes valores:

   Configuración	Value
   Recurso de destino
   Tipo de recurso de destino	Seleccione Máquina virtual.
   Máquina virtual	Seleccione la máquina virtual myVM .
   Detalles del tráfico
   Protocolo	seleccione TCP. Otras opciones disponibles son: Cualquiera, UDP y ICMP.
   Dirección	Seleccione Entrante. Otra opción disponible es: Saliente.
   Tipo de origen	Seleccione Dirección IPv4/CIDR. Otra opción disponible es: Etiqueta de servicio.
   Dirección IPv4/CIDR	Escriba 10.0.1.0/26, que es el intervalo de direcciones IP de la subred de Bastion. Los valores aceptables son: dirección IP única, varias direcciones IP, prefijo IP único, varios prefijos IP.
   Dirección IP de destino	Deje el valor predeterminado de 10.0.0.4, que es la dirección IP de myVM.
   Puerto de destino	Escriba * para incluir todos los puertos.

   

4. Seleccione Ejecutar diagnósticos de NSG para ejecutar la prueba. Una vez que el diagnóstico de NSG completa la comprobación de todas las reglas de seguridad, muestra el resultado.

   

   El resultado muestra que hay tres reglas de seguridad evaluadas para la conexión entrante desde la subred de Bastion:

   • GlobalRules: esta regla de administración de seguridad se aplica en el nivel de red virtual mediante Azure Virtual Network Manager. La regla permite el tráfico TCP entrante desde la subred de Bastion a la máquina virtual.
   • mySubnet-nsg: este grupo de seguridad de red se aplica en el nivel de subred (subred de la máquina virtual). La regla permite el tráfico TCP entrante desde la subred de Bastion a la máquina virtual.
   • myVM-nsg: este grupo de seguridad de red se aplica en el nivel de interfaz de red (NIC). La regla deniega el tráfico TCP entrante de la subred de Bastion a la máquina virtual.

5. Seleccione Ver detalles de myVM-nsg para ver detalles sobre las reglas de seguridad que tiene este grupo de seguridad de red y qué regla está denegando el tráfico.

   

   En el grupo de seguridad de red myVM-nsg, la regla de seguridad DenyVnetInBound deniega cualquier tráfico procedente del espacio de direcciones de la etiqueta de servicio VirtualNetwork a la máquina virtual. El host bastión usa direcciones IP del intervalo de direcciones 10.0.1.0/26, que se incluye en la etiqueta de servicio VirtualNetwork, para conectarse a la máquina virtual. Por lo tanto, la regla de seguridad DenyVnetInBound deniega la conexión desde el host de Bastion.

PowerShell

Use Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic para iniciar la sesión de diagnóstico de NSG.

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

Se devuelve una salida similar a la del siguiente ejemplo:

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

El resultado muestra que hay tres reglas de seguridad evaluadas para la conexión entrante desde la subred de Bastion:

• GlobalRules: esta regla de administración de seguridad se aplica en el nivel de red virtual mediante Azure Virtual Network Manager. La regla permite el tráfico TCP entrante desde la subred de Bastion a la máquina virtual.
• mySubnet-nsg: este grupo de seguridad de red se aplica en el nivel de subred (subred de la máquina virtual). La regla permite el tráfico TCP entrante desde la subred de Bastion a la máquina virtual.
• myVM-nsg: este grupo de seguridad de red se aplica en el nivel de interfaz de red (NIC). La regla deniega el tráfico TCP entrante de la subred de Bastion a la máquina virtual.

En el grupo de seguridad de red myVM-nsg, la regla de seguridad DenyVnetInBound deniega cualquier tráfico procedente del espacio de direcciones de la etiqueta de servicio VirtualNetwork a la máquina virtual. El host de Bastion usa direcciones IP de 10.0.1.0/26, que se incluyen en la etiqueta de servicio VirtualNetwork, para conectarse a la máquina virtual. Por lo tanto, la regla de seguridad DenyVnetInBound deniega la conexión desde el host de Bastion.

CLI de Azure

Use az network watcher run-configuration-diagnostic para iniciar la sesión de diagnóstico de NSG.

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

Se devuelve una salida similar a la del siguiente ejemplo:

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

El resultado muestra que hay tres reglas de seguridad evaluadas para la conexión entrante desde la subred de Bastion:

• GlobalRules: esta regla de administración de seguridad se aplica en el nivel de red virtual mediante Azure Virtual Network Manager. La regla permite el tráfico TCP entrante desde la subred de Bastion a la máquina virtual.
• mySubnet-nsg: este grupo de seguridad de red se aplica en el nivel de subred (subred de la máquina virtual). La regla permite el tráfico TCP entrante desde la subred de Bastion a la máquina virtual.
• myVM-nsg: este grupo de seguridad de red se aplica en el nivel de interfaz de red (NIC). La regla deniega el tráfico TCP entrante de la subred de Bastion a la máquina virtual.

En el grupo de seguridad de red myVM-nsg, la regla de seguridad DenyVnetInBound deniega cualquier tráfico procedente del espacio de direcciones de la etiqueta de servicio VirtualNetwork a la máquina virtual. El host de Bastion usa direcciones IP de 10.0.1.0/26, que se incluyen en la etiqueta de servicio VirtualNetwork, para conectarse a la máquina virtual. Por lo tanto, la regla de seguridad DenyVnetInBound deniega la conexión desde el host de Bastion.

Adición de una regla de seguridad para permitir el tráfico desde la subred de Bastion

Para conectarse a myVM mediante Azure Bastion, el grupo de seguridad de red debe permitir el tráfico desde la subred de Bastion. Para permitir el tráfico de 10.0.1.0/26, agregue una regla de seguridad con una prioridad más alta (número de prioridad menor) que la regla DenyVnetInBound o edite la regla DenyVnetInBound para permitir el tráfico desde la subred de Bastion.

Portal

Puede agregar la regla de seguridad al grupo de seguridad de red desde la página de Network Watcher que mostró los detalles sobre la regla de seguridad que deniega el tráfico a la máquina virtual.

1. Para agregar la regla de seguridad desde Network Watcher, seleccione + Agregar regla de seguridad y, a continuación, escriba o seleccione los valores siguientes:

   Configuración	Valor
   Source	Seleccione Direcciones IP.
   Intervalos de direcciones IP de origen y CIDR	Escriba 10.0.1.0/26, que es el intervalo de direcciones IP de la subred de Bastion.
   Source port ranges	Escriba *.
   Destination	Seleccione Cualquiera.
   Servicio	seleccione Personalizada.
   Intervalos de puertos de destino	Escriba *.
   Protocolo	Seleccione Cualquiera.
   Acción	seleccione Permitir.
   Priority	Escriba 900, que es una prioridad mayor que 1000 usada para la regla DenyVnetInBound.
   Nombre	Escriba AllowBastionConnections.

   

2. Seleccione Volver a comprobar para volver a ejecutar la sesión de diagnóstico. La sesión de diagnóstico ahora debería mostrar que se permite el tráfico desde la subred de Bastion.

   

   La regla de seguridad AllowBastionConnections permite el tráfico desde cualquier dirección IP en 10.0.1.0/26 a la máquina virtual. Dado que el host de Bastion usa direcciones IP de 10.0.1.0/26, la regla de seguridad AllowBastionConnections permite su conexión a la máquina virtual.

PowerShell

1. Use Add-AzNetworkSecurityRuleConfig para crear una regla de seguridad que permita el tráfico desde la subred de Bastion. A continuación, use Set-AzNetworkSecurityGroup para actualizar el grupo de seguridad de red con la nueva regla de seguridad.

   # Place the network security group configuration into a variable.
   $networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
   # Create a security rule.
   Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
   -Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
   # Updates the network security group.
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup 
   

2. Use Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic para volver a realizar una comprobación con una nueva sesión de diagnóstico de NSG.

   # Create a profile for the diagnostic session.
   $profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
   # Place the virtual machine configuration into a variable.
   $vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
   # Start the diagnostic session.
   Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List
   

   Se devuelve una salida similar a la del siguiente ejemplo:

   Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
   ResultsText : [
                   {
                     "Profile": {
                       "Direction": "Inbound",
                       "Protocol": "Tcp",
                       "Source": "10.0.1.0/26",
                       "Destination": "10.0.0.4",
                       "DestinationPort": "*"
                     },
                     "NetworkSecurityGroupResult": {
                       "SecurityRuleAccessResult": "Allow",
                       "EvaluatedNetworkSecurityGroups": [
                         {
                           "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                           "MatchedRule": {
                             "RuleName": "VirtualNetwork",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "VirtualNetwork",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                           "MatchedRule": {
                             "RuleName": "DefaultRule_AllowVnetInBound",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "DefaultRule_AllowVnetInBound",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                           "MatchedRule": {
                             "RuleName": "UserRule_AllowBastionConnections",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "UserRule_AllowBastionConnections",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         }
                       ]
                     }
                   }
                 ]
   

   La regla de seguridad AllowBastionConnections permite el tráfico desde cualquier dirección IP en 10.0.1.0/26 a la máquina virtual. Dado que el host de Bastion usa direcciones IP de 10.0.1.0/26, la regla de seguridad AllowBastionConnections permite su conexión a la máquina virtual.

CLI de Azure

1. Use az network nsg rule create para agregar al grupo de seguridad de red una regla de seguridad que permite el tráfico de la subred de Bastion.

   # Add a security rule to the network security group.
   az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
   --access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
   --destination-address-prefixes '*' --destination-port-ranges '*'
   

2. Use az network watcher run-configuration-diagnostic para volver a realizar una comprobación con una nueva sesión de diagnóstico de NSG.

   # Start the the NSG diagnostics session.
   az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'
   

   Se devuelve una salida similar a la del siguiente ejemplo:

   {
     "results": [
       {
         "networkSecurityGroupResult": {
           "evaluatedNetworkSecurityGroups": [
             {
               "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "VirtualNetwork"
               },
               "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "VirtualNetwork",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "DefaultRule_AllowVnetInBound"
               },
               "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "DefaultRule_AllowVnetInBound",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "UserRule_AllowBastionConnections"
               },
               "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "UserRule_AllowBastionConnections",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             }
           ],
           "securityRuleAccessResult": "Allow"
         },
         "profile": {
           "destination": "10.0.0.4",
           "destinationPort": "*",
           "direction": "Inbound",
           "protocol": "TCP",
           "source": "10.0.1.0/26"
         }
       }
     ]
   }
   

   La regla de seguridad AllowBastionConnections permite el tráfico desde cualquier dirección IP en 10.0.1.0/26 a la máquina virtual. Dado que el host de Bastion usa direcciones IP de 10.0.1.0/26, la regla de seguridad AllowBastionConnections permite su conexión a la máquina virtual.

Limpieza de recursos

Cuando ya no sea necesario, elimine el grupo de recursos y todos los recursos que contiene:

Portal

1. Escriba myResourceGroup en el cuadro de búsqueda que se encuentra en la parte superior del portal. Seleccione myResourceGroup en los resultados de la búsqueda.

2. Seleccione Eliminar grupo de recursos.

3. En Eliminar un grupo de recursos, escriba myResourceGroup y, después, seleccione Eliminar.

4. Seleccione Eliminar para confirmar la eliminación del grupo de recursos y todos sus recursos.

PowerShell

Utilice Remove-AzResourceGroup para eliminar el grupo de recursos y todos los recursos que contiene.

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

CLI de Azure

Utilice az group delete para quitar el grupo de recursos y todos los recursos que contiene

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

Pasos siguientes

• Para obtener información sobre otras herramientas de Network Watcher, consulte ¿Qué es Azure Network Watcher?
• Para obtener información sobre cómo solucionar problemas de enrutamiento de máquinas virtuales, consulte Diagnóstico de un problema de enrutamiento de red de máquina virtual.