Hálózati biztonsági szabályok diagnosztizálása

Ebből a cikkből megtudhatja, hogyan használhatja az Azure Network Watcher NSG-diagnosztikát az Azure-forgalomra alkalmazott biztonsági szabályok ellenőrzésére és hibaelhárítására a hálózati biztonsági csoportokon és az Azure Virtual Network Manageren keresztül. Az NSG-diagnosztika ellenőrzi, hogy az alkalmazott biztonsági szabályok engedélyezik-e vagy megtagadják-e a forgalmat.

A cikkben található példa bemutatja, hogyan akadályozhatja meg egy helytelenül konfigurált hálózati biztonsági csoport az Azure Bastion használatát egy virtuális géphez való csatlakozáshoz.

Előfeltételek

Portál

• Egy Azure-fiók, aktív előfizetéssel. Hozzon létre egy fiókot ingyenesen.

• Jelentkezzen be az Azure Portalra az Azure-fiókjával.

PowerShell

• Egy Azure-fiók, aktív előfizetéssel. Hozzon létre egy fiókot ingyenesen.

• Azure Cloud Shell vagy Azure PowerShell.

  A cikk lépései interaktív módon futtatják az Azure PowerShell-parancsmagokat az Azure Cloud Shellben. A Cloud Shell parancsainak futtatásához válassza a Kódblokk jobb felső sarkában található Open Cloud Shell lehetőséget. Válassza a Másolás lehetőséget a kód másolásához, majd illessze be a Cloud Shellbe a futtatáshoz. A Cloud Shellt az Azure Portalon is futtathatja.

  Az Azure PowerShellt helyileg is telepítheti a parancsmagok futtatásához. Ehhez a cikkhez az Az PowerShell-modul szükséges. További információ: Az Azure PowerShell telepítése. A telepített verzió azonosításához futtassa a következőt: Get-InstalledModule -Name Az. Ha helyileg futtatja a PowerShellt, jelentkezzen be az Azure-ba a Connect-AzAccount parancsmaggal.

Azure CLI

• Egy Azure-fiók, aktív előfizetéssel. Hozzon létre egy fiókot ingyenesen.

• Azure Cloud Shell vagy Azure CLI.

  A cikk lépései interaktív módon futtatják az Azure CLI-parancsokat az Azure Cloud Shellben. A Cloud Shell parancsainak futtatásához válassza a Kódblokk jobb felső sarkában található Open Cloud Shell lehetőséget. Válassza a Másolás lehetőséget a kód másolásához, majd illessze be a Cloud Shellbe a futtatáshoz. A Cloud Shellt az Azure Portalon is futtathatja.

  A parancsok futtatásához helyileg is telepítheti az Azure CLI-t . Ha helyileg futtatja az Azure CLI-t, jelentkezzen be az Azure-ba az az login paranccsal.

Erőforráscsoport létrehozása

Portál

1. Jelentkezzen be a Azure portalra.

2. A portál tetején található keresőmezőbe írja be az erőforráscsoportot. Válassza ki az erőforráscsoportokat a keresési eredmények között.

3. Válassza a -t, majd hozza létre a-et.

4. Az Erőforráscsoport létrehozásaalapismeretek lapján adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Előfizetés	Válassza ki az előfizetését.
   Erőforráscsoport	Adja meg a myResourceGroup parancsot.
   Régió	Válassza az USA keleti régiója lehetőséget.

5. Válassza az Áttekintés + létrehozás lehetőséget.

6. Válassza a Create gombot.

PowerShell

Hozzon létre egy erőforráscsoportot a New-AzResourceGroup használatával. Az Azure-erőforráscsoport egy logikai tároló, amelyben az Azure-erőforrások üzembe helyezése és felügyelete történik.

# Create a resource group.
New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'

Azure CLI

Hozzon létre egy erőforráscsoportot az az group create paranccsal. Az Azure-erőforráscsoport egy logikai tároló, amelyben az Azure-erőforrások üzembe helyezése és felügyelete történik.

# Create a resource group.
az group create --name 'myResourceGroup' --location 'eastus'

Virtuális hálózat létrehozása

Ebben a szakaszban egy alhálózattal és az alhálózatra alkalmazott hálózati biztonsági csoporttal rendelkező virtuális hálózatot hoz létre.

Portál

1. A portál tetején található keresőmezőbe írja be a virtuális hálózatokat. Válassza ki a virtuális hálózatokat a keresési eredmények közül.

   

2. Válassza a -t, majd hozza létre a-et. A Virtuális hálózat létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapok lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válassza a myResourceGroup lehetőséget.
   Példány részletei
   Virtuális hálózat neve	Írja be a myVNet.
   Régió	Válassza az USA keleti régióját.

3. Válassza a Tovább lehetőséget a Biztonság lapra való továbblépéshez.

4. A Tovább gombra kattintva lépjen az IP-címek lapra.

5. Fogadja el az alapértelmezett 10.0.0.0/16 IP-címteret, és szerkessze az alapértelmezett alhálózatot a ceruza ikonra kattintva. Az Alhálózat szerkesztése lapon adja meg a következő értékeket:

   Beállítás	Érték
   Alhálózat részletei
   Név	Írja be a mySubnet nevet.
   biztonság
   Hálózati biztonsági csoport	Válassza az Új létrehozása lehetőséget. Írja be a mySubnet-nsg nevet a Név mezőbe. Válassza az OK gombot.

6. Válassza az Mentésgombot.

7. Válassza a Véleményezés + létrehozás lehetőséget a képernyő alján, és amikor az ellenőrzés sikeres, válassza a Létrehozás lehetőséget.

PowerShell

1. Hozzon létre egy alapértelmezett hálózati biztonsági csoportot a New-AzNetworkSecurityGroup használatával.

   # Create a network security group.
   $networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

2. Alhálózat-konfigurációk létrehozása a virtuális gép alhálózatához és az Azure Bastion alhálózathoz a New-AzVirtualNetworkSubnetConfig használatával.

   # Create subnet configurations.
   $firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
   $secondSubnet = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet' -AddressPrefix '10.0.1.0/26'
   

3. Hozzon létre egy virtuális hálózatot a New-AzVirtualNetwork használatával.

   # Create a virtual network.
   $vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet,$secondSubnet
   

Azure CLI

1. Hozzon létre egy alapértelmezett hálózati biztonsági csoportot az az network nsg create használatával.

   # Create a network security group.
   az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

2. Hozzon létre egy virtuális hálózatot az az network vnet create használatával.

   az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg' 
   

3. Azure Bastion-alhálózat létrehozása az network vnet subnet create használatával.

   az network vnet subnet create --resource-group 'myResourceGroup' --vnet-name 'myVNet' --name 'AzureBastionSubnet' --address-prefixes 10.0.1.0/26
   

Az Azure Bastion üzembe helyezése

Az Azure Bastion a böngészőt használja a kapcsolódáshoz a virtuális hálózat virtuális gépeihez biztonságos héjprotokollon (SSH) vagy távoli asztali protokollon (RDP) keresztül, a saját IP-címeik felhasználásával. A virtuális gépeknek nincs szükségük nyilvános IP-címekre, ügyfélszoftverekre vagy speciális konfigurációra. Az Azure Bastionról további információt az Azure Bastionban talál.

Megjegyzés:

Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.

Portál

1. A portál tetején található keresőmezőbe írja be a Bastion kifejezést. Válassza a Bastions lehetőséget a keresési eredmények között.

2. Válassza a -t, majd hozza létre a-et.

3. A Bastion létrehozásaalapismeretek lapján adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki az előfizetését.
   Erőforráscsoport	Válassza a myResourceGroup lehetőséget.
   Példány részletei
   Név	Adja meg a myVNet-Bastion parancsot.
   Régió	Válassza az USA keleti régiója lehetőséget.
   Kategória	Válassza a Fejlesztő lehetőséget.
   Virtuális hálózatok konfigurálása
   Virtuális hálózat	Válassza a myVNetet.
   Alhálózat	Az AzureBastionSubnet automatikusan létrejön egy /26 vagy nagyobb címtérrel.

4. Válassza az Áttekintés + létrehozás lehetőséget.

5. Válassza a Create gombot.

PowerShell

1. Hozzon létre egy nyilvános IP-címet az Azure Bastion számára a New-AzPublicIpAddress használatával.

   # Create a public IP address for Azure Bastion.
   $bastionIp = New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -Sku 'Standard' -AllocationMethod 'Static'
   

2. Hozzon létre egy alapszintű SKU Bastion-gazdagépet a New-AzBastion használatával.

   # Create an Azure Bastion host.
   New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' -PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetworkRgName 'myResourceGroup' -VirtualNetworkName 'myVNet' -Sku 'Basic'
   

Azure CLI

1. Hozzon létre egy nyilvános IP-címet az Azure Bastionhoz az network public-ip create használatával.

   az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku 'Standard' --location 'eastus'
   

2. Hozzon létre egy alapszintű SKU Bastion-gazdagépet az az network bastion create használatával.

   az network bastion create --name 'myVNet-Bastion' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --public-ip-address 'myBastionIp' --sku 'Basic' --location 'eastus'
   

Fontos

Az óránkénti díjszabás a Bastion-gazdagép üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információért lásd a Pricing oldalt. Javasoljuk, hogy törölje ezt az erőforrást, miután befejezte a használatát.

Virtuális gép létrehozása

Ebben a szakaszban létrehoz egy virtuális gépet és egy hálózati biztonsági csoportot, amely a hálózati interfészére alkalmazódik.

Portál

1. A portál tetején található keresőmezőbe írja be a következőt: virtuális gépek. Válassza ki a virtuális gépeket a keresési eredmények közül.

2. Válassza a + Létrehozás, majd az Azure virtuális gép lehetőséget.

3. A Virtuális gép létrehozása lapon adja meg vagy válassza ki a következő értékeket az Alapok lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki az Azure-előfizetését.
   Erőforráscsoport	Válassza a myResourceGroup lehetőséget.
   Példány részletei
   Virtuális gép neve	Írja be a myVM nevet.
   Régió	Válassza az USA keleti régióját.
   Rendelkezésre állási beállítások	Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
   Biztonsági típus	Válassza a Standard lehetőséget.
   Image	Válassza a Windows Server 2022 Datacenter: Azure Edition – x64 Gen2 lehetőséget.
   Méret	Válasszon egy méretet, vagy hagyja meg az alapértelmezett beállítást.
   Rendszergazdai fiók
   Felhasználónév	Adjon meg egy felhasználónevet.
   Jelszó	Adjon meg egy jelszót.
   Jelszó megerősítése	Jelszó újraküldése.

4. Válassza a Hálózatkezelés lapot, vagy válassza a Tovább: Lemezek, majd a Tovább: Hálózatkezelés lehetőséget.

5. A Hálózatkezelés lapon válassza ki a következő értékeket:

   Beállítás	Érték
   Hálózati felület
   Virtuális hálózat	Válassza a myVNetet.
   Alhálózat	Válassza a mySubnet lehetőséget.
   Nyilvános IP-cím	Válassza a Nincs lehetőséget.
   NIC hálózati biztonsági csoport	Válassza az Alapszintű lehetőséget.
   Nyilvános bejövő portok	Válassza a Nincs lehetőséget.

6. Válassza az Áttekintés + létrehozás lehetőséget.

7. Tekintse át a beállításokat, majd kattintson a Létrehozás gombra.

PowerShell

1. Hozzon létre egy alapértelmezett hálózati biztonsági csoportot a New-AzNetworkSecurityGroup használatával.

   # Create a default network security group.
   New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus
   

2. Hozzon létre egy virtuális gépet a New-AzVM használatával. Amikor a rendszer kéri, adjon meg egy felhasználónevet és jelszót.

   # Create a virtual machine using the latest Windows Server 2022 image.
   New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'
   

Azure CLI

1. Hozzon létre egy alapértelmezett hálózati biztonsági csoportot az az network nsg create használatával.

   # Create a default network security group.
   az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

2. Hozzon létre egy virtuális gépet az az vm create használatával. Amikor a rendszer kéri, adjon meg egy felhasználónevet és jelszót.

   # Create a virtual machine using the latest Windows Server 2022 image.
   az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'
   

Biztonsági szabály hozzáadása a hálózati biztonsági csoporthoz

Ebben a szakaszban egy biztonsági szabályt ad hozzá a myVM hálózati adapteréhez társított hálózati biztonsági csoporthoz. A szabály megtagadja a virtuális hálózatról érkező bejövő forgalmat.

Portál

1. A portál tetején található keresőmezőbe írja be a hálózati biztonsági csoportok kifejezést. Válassza a Hálózati biztonsági csoportok lehetőséget a keresési eredmények közül.

2. A hálózati biztonsági csoportok listájából válassza a myVM-nsg lehetőséget.

3. A Beállítások alatt válassza a Bejövő biztonsági szabályok lehetőséget.

4. Válassza ki a -t, és adja hozzá a-et. A Hálózat lapon adja meg vagy válassza ki a következő értékeket:

   Beállítás	Érték
   Forrás	Válassza a Szolgáltatásazonosítót.
   Forrás szolgáltatáscímke	Válassza a VirtualNetwork lehetőséget.
   Forrásporttartományok	Belép*.
   Úti cél	Válassza Bármelyiket.
   Szolgáltatás	Válassza az Egyéni lehetőséget.
   Célporttartományok	Belép*.
   Protokoll	Válassza Bármelyiket.
   Tevékenység	Válassza a Megtagadás lehetőséget.
   Elsőbbség	Írja be 1000-et.
   Név	Írja be a DenyVnetInBound nevet.

5. Válassza a Hozzáadás lehetőséget.

   

PowerShell

Az Add-AzNetworkSecurityRuleConfig használatával hozzon létre egy biztonsági szabályt, amely megtagadja a virtuális hálózatról érkező forgalmat. Ezután a Set-AzNetworkSecurityGroup használatával frissítse a hálózati biztonsági csoportot az új biztonsági szabállyal.

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure CLI

Az az network nsg rule create használatával adjon hozzá egy biztonsági szabályt a hálózati biztonsági csoporthoz, amely megtagadja a virtuális hálózatról érkező forgalmat.

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

Megjegyzés:

A VirtualNetwork szolgáltatáscímke a virtuális hálózat címterét, az összes csatlakoztatott helyszíni címteret, társviszonyban lévő virtuális hálózatot, virtuális hálózati átjáróhoz csatlakoztatott virtuális hálózatot, a gazdagép virtuális IP-címét és a felhasználó által megadott útvonalakon használt címelőtagokat jelöli. További információ: Szolgáltatáscímkék.

A virtuálisgép-forgalomra alkalmazott biztonsági szabályok ellenőrzése

Az NSG-diagnosztika használatával ellenőrizheti a Bastion alhálózatról a virtuális gépre irányuló forgalomra alkalmazott biztonsági szabályokat.

Portál

1. A portál tetején található keresőmezőben keresse meg és válassza a Network Watcher elemet.

2. A Hálózati diagnosztikai eszközök területen válassza az NSG-diagnosztikát.

3. Az NSG-diagnosztika lapon adja meg vagy válassza ki a következő értékeket:

   Beállítás	Érték
   Célerőforrás
   Célerőforrás típusa	Válassza a Virtuális gép lehetőséget.
   Virtuális gép	Válassza a myVM virtuális gép lehetőséget.
   Forgalmi adatok
   Protokoll	Válassza a TCP lehetőséget. További elérhető lehetőségek: Any,UDP és ICMP.
   Irány	Válassza a Bejövő lehetőséget. Elérhető másik lehetőség: Kimenő.
   Forrás típusa	Válassza az IPv4-cím/CIDR lehetőséget. Egyéb elérhető lehetőség: Szolgáltatáscímke.
   IPv4-cím/CIDR	Adja meg a 10.0.1.0/26 értéket, amely a Bastion alhálózat IP-címtartománya. Elfogadható értékek: egy IP-cím, több IP-cím, egy IP-előtag, több IP-előtag.
   Cél IP-cím	Hagyja meg az alapértelmezett 10.0.0.4-et, amely a myVM IP-címe.
   Célport	Az összes port belefoglalásához írja be a *-ot.

   

4. Válassza az NSG-diagnosztika futtatása lehetőséget a teszt futtatásához. Miután az NSG-diagnosztika befejezte az összes biztonsági szabály ellenőrzését, megjeleníti az eredményt.

   

   Az eredmény azt mutatja, hogy a Bastion alhálózatról érkező bejövő kapcsolatra három biztonsági szabály van kiértékelve:

   • GlobalRules: ezt a biztonsági rendszergazdai szabályt a rendszer a virtuális hálózat szintjén alkalmazza az Azure Virtual Network Manage használatával. A szabály lehetővé teszi a bejövő TCP-forgalmat a Bastion alhálózatról a virtuális gépre.
   • mySubnet-nsg: Ez a hálózati biztonsági csoport az alhálózat szintjén (a virtuális gép alhálózatán) van alkalmazva. A szabály lehetővé teszi a bejövő TCP-forgalmat a Bastion alhálózatról a virtuális gépre.
   • myVM-nsg: ez a hálózati biztonsági csoport a hálózati adapter (NIC) szintjén van alkalmazva. A szabály megtagadja a bejövő TCP-forgalmat a Bastion alhálózatról a virtuális gépre.

5. Válassza a myVM-nsgrészleteinek megtekintése lehetőséget a hálózati biztonsági csoport biztonsági szabályainak és a forgalmat megtagadó szabálynak a részleteinek megtekintéséhez.

   

   A myVM-nsg hálózati biztonsági csoportban a DenyVnetInBound biztonsági szabály megtagadja a VirtualNetwork szolgáltatáscímke címteréből a virtuális gépre érkező forgalmat. A Bastion-gazdagép a következő címtartomány IP-címeit használja: 10.0.1.0/26, amely a VirtualNetwork szolgáltatáscímkében található, hogy csatlakozzon a virtuális géphez. Ezért a DenyVnetInBound biztonsági szabály megtagadja a Bastion gazdagépről érkező kapcsolatot.

PowerShell

Az NSG-diagnosztikai munkamenet elindításához használja az Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic parancsot.

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

A rendszer az alábbi példakimenethez hasonló kimenetet ad vissza:

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

Az eredmény azt mutatja, hogy a Bastion alhálózatról érkező bejövő kapcsolatra három biztonsági szabály van kiértékelve:

• GlobalRules: ezt a biztonsági rendszergazdai szabályt a rendszer a virtuális hálózat szintjén alkalmazza az Azure Virtual Network Manage használatával. A szabály lehetővé teszi a bejövő TCP-forgalmat a Bastion alhálózatról a virtuális gépre.
• mySubnet-nsg: Ez a hálózati biztonsági csoport az alhálózat szintjén (a virtuális gép alhálózatán) van alkalmazva. A szabály lehetővé teszi a bejövő TCP-forgalmat a Bastion alhálózatról a virtuális gépre.
• myVM-nsg: ez a hálózati biztonsági csoport a hálózati adapter (NIC) szintjén van alkalmazva. A szabály megtagadja a bejövő TCP-forgalmat a Bastion alhálózatról a virtuális gépre.

A myVM-nsg hálózati biztonsági csoportban a DenyVnetInBound biztonsági szabály megtagadja a VirtualNetwork szolgáltatáscímke címteréből a virtuális gépre érkező forgalmat. A Bastion-gazdagép a 10.0.1.0/26 IP-címeit használja, amelyek a VirtualNetwork szolgáltatáscímkét tartalmazzák, hogy csatlakozzon a virtuális géphez. Ezért a DenyVnetInBound biztonsági szabály megtagadja a Bastion gazdagépről érkező kapcsolatot.

Azure CLI

Az az network watcher run-configuration-diagnostic használatával indítsa el az NSG diagnosztikai munkamenetet.

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

A rendszer az alábbi példakimenethez hasonló kimenetet ad vissza:

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

Az eredmény azt mutatja, hogy a Bastion alhálózatról érkező bejövő kapcsolatra három biztonsági szabály van kiértékelve:

• GlobalRules: ezt a biztonsági rendszergazdai szabályt a rendszer a virtuális hálózat szintjén alkalmazza az Azure Virtual Network Manage használatával. A szabály lehetővé teszi a bejövő TCP-forgalmat a Bastion alhálózatról a virtuális gépre.
• mySubnet-nsg: Ez a hálózati biztonsági csoport az alhálózat szintjén (a virtuális gép alhálózatán) van alkalmazva. A szabály lehetővé teszi a bejövő TCP-forgalmat a Bastion alhálózatról a virtuális gépre.
• myVM-nsg: ez a hálózati biztonsági csoport a hálózati adapter (NIC) szintjén van alkalmazva. A szabály megtagadja a bejövő TCP-forgalmat a Bastion alhálózatról a virtuális gépre.

A myVM-nsg hálózati biztonsági csoportban a DenyVnetInBound biztonsági szabály megtagadja a VirtualNetwork szolgáltatáscímke címteréből a virtuális gépre érkező forgalmat. A Bastion-gazdagép a 10.0.1.0/26 IP-címeit használja, amelyek a VirtualNetwork szolgáltatáscímkét tartalmazzák, hogy csatlakozzon a virtuális géphez. Ezért a DenyVnetInBound biztonsági szabály megtagadja a Bastion gazdagépről érkező kapcsolatot.

Biztonsági szabály hozzáadása a Bastion alhálózatról érkező forgalom engedélyezéséhez

Ha a Azure Bastion használatával szeretne csatlakozni a myVM-hez , a hálózati biztonsági csoportnak engedélyeznie kell a Bastion alhálózatról érkező forgalmat. A 10.0.1.0/26-os forgalom engedélyezéséhez adjon hozzá egy magasabb prioritású (alacsonyabb prioritású számú) biztonsági szabályt, mint a DenyVnetInBound szabály, vagy szerkessze a DenyVnetInBound szabályt a Bastion alhálózatról érkező forgalom engedélyezéséhez.

Portál

A biztonsági szabályt a hálózati biztonsági csoporthoz a Network Watcher lapon adhatja hozzá, amely a virtuális gép forgalmát megtagadó biztonsági szabály részleteit mutatta be.

1. Ha a biztonsági szabályt a Network Watcherből szeretné hozzáadni, válassza a + Biztonsági szabály hozzáadása lehetőséget, majd adja meg vagy válassza ki a következő értékeket:

   Beállítás	Érték
   Forrás	Válassza ki az IP-címeket.
   Forrás IP-címek/CIDR-tartományok	Adja meg a 10.0.1.0/26 értéket, amely a Bastion alhálózat IP-címtartománya.
   Forrásporttartományok	Belép*.
   Úti cél	Válassza Bármelyiket.
   Szolgáltatás	Válassza az Egyéni lehetőséget.
   Célporttartományok	Belép*.
   Protokoll	Válassza Bármelyiket.
   Tevékenység	Válassza ki az Engedélyezés lehetőséget.
   Elsőbbség	Adja meg a 900-at, amely magasabb prioritású, mint a DenyVnetInBound szabályhoz használt 1000.
   Név	Írja be az AllowBastionConnections parancsot.

   

2. Válassza az Újraellenőrzés lehetőséget a diagnosztikai munkamenet újbóli futtatásához. A diagnosztikai munkamenetnek most meg kell mutatnia, hogy a Bastion alhálózatról érkező forgalom engedélyezett.

   

   Az AllowBastionConnections biztonsági szabály lehetővé teszi a 10.0.1.0/26 IP-címről a virtuális gépre irányuló forgalmat. Mivel a Bastion-gazdagép a 10.0.1.0/26-os IP-címeket használja, a virtuális géppel való kapcsolatát az AllowBastionConnections biztonsági szabály engedélyezi.

PowerShell

1. Az Add-AzNetworkSecurityRuleConfig használatával hozzon létre egy biztonsági szabályt, amely engedélyezi a Bastion alhálózatról érkező forgalmat. Ezután a Set-AzNetworkSecurityGroup használatával frissítse a hálózati biztonsági csoportot az új biztonsági szabállyal.

   # Place the network security group configuration into a variable.
   $networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
   # Create a security rule.
   Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
   -Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
   # Updates the network security group.
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup 
   

2. A Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic használatával ellenőrizze újra egy új NSG-diagnosztikai munkamenet használatával.

   # Create a profile for the diagnostic session.
   $profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
   # Place the virtual machine configuration into a variable.
   $vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
   # Start the diagnostic session.
   Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List
   

   A rendszer az alábbi példakimenethez hasonló kimenetet ad vissza:

   Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
   ResultsText : [
                   {
                     "Profile": {
                       "Direction": "Inbound",
                       "Protocol": "Tcp",
                       "Source": "10.0.1.0/26",
                       "Destination": "10.0.0.4",
                       "DestinationPort": "*"
                     },
                     "NetworkSecurityGroupResult": {
                       "SecurityRuleAccessResult": "Allow",
                       "EvaluatedNetworkSecurityGroups": [
                         {
                           "NetworkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                           "MatchedRule": {
                             "RuleName": "VirtualNetwork",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "VirtualNetwork",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                           "MatchedRule": {
                             "RuleName": "DefaultRule_AllowVnetInBound",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "DefaultRule_AllowVnetInBound",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                           "MatchedRule": {
                             "RuleName": "UserRule_AllowBastionConnections",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "UserRule_AllowBastionConnections",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         }
                       ]
                     }
                   }
                 ]
   

   Az AllowBastionConnections biztonsági szabály lehetővé teszi a 10.0.1.0/26 IP-címről a virtuális gépre irányuló forgalmat. Mivel a Bastion-gazdagép a 10.0.1.0/26-os IP-címeket használja, a virtuális géppel való kapcsolatát az AllowBastionConnections biztonsági szabály engedélyezi.

Azure CLI

1. Az az network nsg rule create használatával adjon hozzá egy biztonsági szabályt a hálózati biztonsági csoporthoz, amely engedélyezi a Bastion alhálózatról érkező forgalmat.

   # Add a security rule to the network security group.
   az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
   --access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
   --destination-address-prefixes '*' --destination-port-ranges '*'
   

2. Az az network watcher run-configuration-diagnostic használatával újra ellenőrizheti egy új NSG-diagnosztikai munkamenetet.

   # Start the the NSG diagnostics session.
   az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'
   

   A rendszer az alábbi példakimenethez hasonló kimenetet ad vissza:

   {
     "results": [
       {
         "networkSecurityGroupResult": {
           "evaluatedNetworkSecurityGroups": [
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "VirtualNetwork"
               },
               "networkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "VirtualNetwork",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "DefaultRule_AllowVnetInBound"
               },
               "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "DefaultRule_AllowVnetInBound",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "UserRule_AllowBastionConnections"
               },
               "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "UserRule_AllowBastionConnections",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             }
           ],
           "securityRuleAccessResult": "Allow"
         },
         "profile": {
           "destination": "10.0.0.4",
           "destinationPort": "*",
           "direction": "Inbound",
           "protocol": "TCP",
           "source": "10.0.1.0/26"
         }
       }
     ]
   }
   

   Az AllowBastionConnections biztonsági szabály lehetővé teszi a 10.0.1.0/26 IP-címről a virtuális gépre irányuló forgalmat. Mivel a Bastion-gazdagép a 10.0.1.0/26-os IP-címeket használja, a virtuális géppel való kapcsolatát az AllowBastionConnections biztonsági szabály engedélyezi.

Erőforrások tisztítása

Ha már nincs rá szükség, törölje az erőforráscsoportot és a benne található összes erőforrást:

Portál

1. Írja be a myResourceGroup nevet a portál tetején lévő keresőmezőbe. Válassza ki a myResourceGroup elemet a keresési eredményekből.

2. Válassza az Erőforráscsoport törlése lehetőséget.

3. A Erőforráscsoport törlése alatt írja be a myResourceGroup nevet, majd válassza a Törlés lehetőséget.

4. Válassza a(z) Delete lehetőséget a erőforráscsoport és annak minden erőforrásának törlésének megerősítéséhez.

PowerShell

A Remove-AzResourceGroup használatával törölje az erőforráscsoportot és a benne található összes erőforrást.

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

Azure CLI

Az az group delete paranccsal távolítsa el az erőforráscsoportot és a benne található összes erőforrást

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

Kapcsolódó tartalom

• További információ a Network Watcher egyéb eszközökről: Mi az az Azure Network Watcher?
• A virtuális gépek útválasztási problémáinak elhárításával kapcsolatos további információkért lásd: Virtuális gép hálózati útválasztási problémájának diagnosztizálása.