Mendiagnosis aturan keamanan jaringan

Artikel
08/15/2023

Anda dapat menggunakan grup keamanan jaringan untuk memfilter dan mengontrol lalu lintas jaringan masuk dan keluar ke dan dari sumber daya Azure Anda. Anda juga dapat menggunakan Azure Virtual Network Manager untuk menerapkan aturan keamanan admin ke sumber daya Azure Anda untuk mengontrol lalu lintas jaringan.

Dalam artikel ini, Anda mempelajari cara menggunakan diagnostik NSG Azure Network Watcher untuk memeriksa dan memecahkan masalah aturan keamanan yang diterapkan pada lalu lintas Azure Anda. Diagnostik NSG memeriksa apakah lalu lintas diizinkan atau ditolak oleh aturan keamanan yang diterapkan.

Contoh dalam artikel ini menunjukkan kepada Anda bagaimana grup keamanan jaringan yang salah dikonfigurasi dapat mencegah Anda menggunakan Azure Bastion untuk menyambungkan ke komputer virtual.

Prasyarat

Akun Azure dengan langganan aktif. buat akun secara gratis.
Masuk ke portal Azure dengan akun Azure Anda.

Akun Azure dengan langganan aktif. buat akun secara gratis.
Azure Cloud Shell atau Azure PowerShell.

Langkah-langkah dalam artikel ini menjalankan cmdlet Azure PowerShell secara interaktif di Azure Cloud Shell. Untuk menjalankan perintah di Cloud Shell, pilih Buka Cloud Shell di sudut kanan atas blok kode. Pilih Salin untuk menyalin kode lalu tempelkan ke Cloud Shell untuk menjalankannya. Anda juga dapat menjalankan Cloud Shell dari dalam portal Azure.

Anda juga dapat menginstal Azure PowerShell secara lokal untuk menjalankan cmdlet. Artikel ini memerlukan modul Az PowerShell. Untuk informasi selengkapnya, lihat Cara menginstal Azure PowerShell. Untuk menemukan versi yang terinstal, jalankan Get-InstalledModule -Name Az. Jika Anda menjalankan PowerShell secara lokal, masuk ke Azure menggunakan cmdlet Koneksi-AzAccount.

Membuat jaringan virtual dan host Bastion

Di bagian ini, Anda membuat jaringan virtual dengan dua subnet dan host Azure Bastion. Subnet pertama digunakan untuk komputer virtual, dan subnet kedua digunakan untuk host Bastion. Anda juga membuat grup keamanan jaringan dan menerapkannya ke subnet pertama.

Di kotak pencarian di bagian atas portal, masukkan jaringan virtual. Pilih Jaringan Virtual di hasil pencarian.

Pilih + Buat. Di Buat jaringan virtual, masukkan atau pilih nilai berikut di tab Dasar :

Pengaturan	Nilai
Detail Proyek
Langganan	Pilih langganan Azure Anda.
Grup Sumber Daya	Pilih Buat baru. Masukkan myResourceGroup di Nama. Pilih OK.
Detail instans
Nama jaringan virtual	Masukkan myVNet.
Wilayah	Pilih (AS) AS Timur.

Pilih tab Keamanan , atau pilih tombol Berikutnya di bagian bawah halaman.
Di bawah Azure Bastion, pilih Aktifkan Azure Bastion dan terima nilai default:

Pengaturan Nilai

Nama host Azure Bastion myVNet-Bastion.

Alamat IP publik Azure Bastion (Baru) myVNet-bastion-publicIpAddress.
Pilih tab Alamat IP, atau pilih tombol Berikutnya di bagian bawah halaman.
Terima ruang alamat IP default 10.0.0.0/16 dan edit subnet default dengan memilih ikon pensil. Di halaman Edit subnet, masukkan nilai berikut ini:

Pengaturan Nilai

Detail subnet

Nama Masukkan mySubnet.

Keamanan

Grup keamanan jaringan Pilih Buat baru.
Masukkan mySubnet-nsg di Nama.
Pilih OK.
Pilih Tinjau + buat.
Tinjau pengaturan, lalu pilih Buat.

Pengaturan	Nilai
Nama host Azure Bastion	myVNet-Bastion.
Alamat IP publik Azure Bastion	(Baru) myVNet-bastion-publicIpAddress.

Pengaturan	Nilai
Detail subnet
Nama	Masukkan mySubnet.
Keamanan
Grup keamanan jaringan	Pilih Buat baru. Masukkan mySubnet-nsg di Nama. Pilih OK.

Buat grup sumber daya menggunakan New-AzResourceGroup. Grup sumber daya Azure adalah kontainer logis tempat sumber daya Azure disebarkan dan dikelola.
```
# Create a resource group.
New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'
```

Buat grup keamanan jaringan default menggunakan New-AzNetworkSecurityGroup.

# Create a network security group.
$networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'

Buat konfigurasi subnet untuk subnet komputer virtual dan subnet host Bastion menggunakan New-AzVirtualNetworkSubnetConfig.

# Create subnets configuration.
$firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
$secondSubnet  = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet'  -AddressPrefix '10.0.1.0/26'

Buat jaringan virtual menggunakan New-AzVirtualNetwork.

# Create a virtual network.
$vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet

Buat sumber daya alamat IP publik yang diperlukan untuk host Bastion menggunakan New-AzPublicIpAddress.

# Create a public IP address for Azure Bastion.
New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'

Buat host Bastion menggunakan New-AzBastion.

# Create an Azure Bastion host.
New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' --PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet

Membuat grup sumber daya dengan menggunakan az group create. Grup sumber daya Azure adalah kontainer logis tempat sumber daya Azure disebarkan dan dikelola.
```
# Create a resource group.
az group create --name 'myResourceGroup' --location 'eastus'
```

Buat grup keamanan jaringan default menggunakan buat nsg jaringan az.

# Create a network security group.
az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'

Buat jaringan virtual menggunakan az network vnet create.

az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg'

Buat subnet untuk Azure Bastion menggunakan az network vnet subnet create.

# Create AzureBastionSubnet.
az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'

Buat alamat IP publik untuk host Bastion menggunakan az network public-ip create.

# Create a public IP address resource.
az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard

Buat host Bastion menggunakan az network bastion create.

az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'

Penting

Harga per jam dimulai sejak host Bastion disebarkan, terlepas dari penggunaan data keluar. Untuk informasi selengkapnya, lihat Harga. Kami menyarankan agar Anda menghapus sumber daya ini setelah selesai menggunakannya.

Membuat mesin virtual

Di bagian ini, Anda membuat komputer virtual dan grup keamanan jaringan yang diterapkan ke antarmuka jaringannya.

Di kotak pencarian di bagian atas portal, masukkan komputer virtual. Pilih Jaringan Virtual dalam hasil pencarian.
Pilih + Buat lalu pilih komputer virtual Azure.

Di Buat komputer virtual, ketik atau pilih nilai berikut di tab Dasar:

Pengaturan	Nilai
Detail Proyek
Langganan	Pilih langganan Azure Anda.
Grup Sumber Daya	Pilih myResourceGroup.
Detail instans
Nama komputer virtual	Masukkan myVM.
Wilayah	Pilih (AS) AS Timur.
Opsi Ketersediaan	Pilih Tidak diperlukan redundansi infrastruktur.
Jenis keamanan	Pilih Standar.
Gambar	Pilih Pusat Data Windows Server 2022: Azure Edition - x64 Gen2.
Ukuran	Pilih ukuran atau biarkan pengaturan default.
Akun administrator
Nama Pengguna	Masukkan nama pengguna.
Kata sandi	Masukkan kata sandi.
Mengonfirmasikan kata sandi	Masukkan ulang kata sandi.

Pilih tab Jaringan atau pilih Berikutnya: Disk, lalu Berikutnya: Jaringan.

Di tab Jaringan, pilih nilai berikut ini:

Pengaturan	Nilai
Antarmuka jaringan
Jaringan virtual	Pilih myVNet.
Subnet	Pilih default.
IP Publik	Pilih Tidak ada.
kelompok keamanan jaringan NIC	Pilih Dasar.
Port masuk publik	Pilih Tidak ada.

Pilih Tinjau + buat.
Tinjau pengaturan, lalu pilih Buat.

Buat grup keamanan jaringan default menggunakan New-AzNetworkSecurityGroup.

# Create a default network security group.
New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus

Buat komputer virtual menggunakan New-AzVM. Jika diminta, masukkan nama pengguna dan kata sandi.

# Create a virtual machine using the latest Windows Server 2022 image.
New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'

Buat grup keamanan jaringan default menggunakan buat nsg jaringan az.

# Create a default network security group.
az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'

Buat komputer virtual menggunakan az vm create. Jika diminta, masukkan nama pengguna dan kata sandi.

# Create a virtual machine using the latest Windows Server 2022 image.
az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'

Menambahkan aturan keamanan ke grup keamanan jaringan

Di bagian ini, Anda menambahkan aturan keamanan ke grup keamanan jaringan yang terkait dengan antarmuka jaringan myVM. Aturan ini menolak lalu lintas masuk dari jaringan virtual.

Di kotak pencarian di bagian atas portal, masukkan grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.
Dari daftar grup keamanan jaringan, pilih myVM-nsg.
Pada Pengaturan, pilih Aturan keamanan masuk.

Pilih + Tambah. Di tab Jaringan, masukkan atau pilih nilai berikut ini:

Pengaturan	Nilai
Sumber	Pilih Tag Layanan.
Tag layanan sumber	Pilih VirtualNetwork.
Source port ranges	Masukkan*.
Tujuan	Pilih Apa pun.
Layanan	Pilih Kustom.
Rentang port tujuan	Masukkan*.
Protokol	Pilih Apa pun.
Perbuatan	Pilih Tolak.
Prioritas	Masukkan 1000.
Nama	Masukkan DenyVnetInBound.

Pilih Tambahkan.

Gunakan Add-AzNetworkSecurityRuleConfig untuk membuat aturan keamanan yang menolak lalu lintas dari jaringan virtual. Kemudian gunakan Set-AzNetworkSecurityGroup untuk memperbarui grup keamanan jaringan dengan aturan keamanan baru.

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Gunakan buat aturan nsg jaringan az untuk menambahkan ke grup keamanan jaringan aturan keamanan yang menolak lalu lintas dari jaringan virtual.

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

Catatan

Tag layanan VirtualNetwork mewakili ruang alamat jaringan virtual, semua ruang alamat lokal yang terhubung, jaringan virtual yang di-peering, jaringan virtual yang terhubung ke gateway jaringan virtual, alamat IP virtual host, dan awalan alamat yang digunakan pada rute yang ditentukan pengguna. Untuk informasi selengkapnya, lihat Tag layanan.

Memeriksa aturan keamanan yang diterapkan pada lalu lintas komputer virtual

Gunakan diagnostik NSG untuk memeriksa aturan keamanan yang diterapkan pada lalu lintas yang berasal dari subnet Bastion ke komputer virtual.

Di kotak pencarian di bagian atas portal, cari dan pilih Network Watcher.
Di bawah Alat diagnostik jaringan, pilih diagnostik NSG.

Pada halaman diagnostik NSG, masukkan atau pilih nilai berikut:

Pengaturan	Nilai
Sumber daya target
Jenis sumber daya target	Pilih Komputer virtual.
Komputer virtual	Pilih komputer virtual myVM .
Detail lalu lintas
Protokol	Pilih TCP. Opsi lain yang tersedia adalah: Apa pun, UDP , dan ICMP.
Arah	Pilih Masuk. Opsi lain yang tersedia adalah: Keluar.
Jenis sumber	Pilih Alamat IPv4/CIDR. Opsi lain yang tersedia adalah: Tag Layanan.
Alamat IPv4/CIDR	Masukkan 10.0.1.0/26, yang merupakan rentang alamat IP subnet Bastion. Nilai yang dapat diterima adalah: alamat IP tunggal, beberapa alamat IP, awalan IP tunggal, beberapa awalan IP.
Alamat IP tujuan	Biarkan default 10.0.0.4, yang merupakan alamat IP myVM.
Port tujuan	Masukkan * untuk menyertakan semua port.

Pilih Jalankan diagnostik NSG untuk menjalankan pengujian. Setelah diagnostik NSG selesai memeriksa semua aturan keamanan, diagnostik akan menampilkan hasilnya.

Hasilnya menunjukkan bahwa ada tiga aturan keamanan yang dinilai untuk koneksi masuk dari subnet Bastion:
- GlobalRules: aturan admin keamanan ini diterapkan di tingkat jaringan virtual menggunakan Azure Virtual Network Manage. Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
- mySubnet-nsg: grup keamanan jaringan ini diterapkan pada tingkat subnet (subnet komputer virtual). Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
- myVM-nsg: kelompok keamanan jaringan ini diterapkan pada tingkat antarmuka jaringan (NIC). Aturan ini menolak lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
Pilih Tampilkan detailmyVM-nsg untuk melihat detail tentang aturan keamanan yang dimiliki grup keamanan jaringan ini dan aturan mana yang menolak lalu lintas.

Dalam kelompok keamanan jaringan myVM-nsg , aturan keamanan DenyVnetInBound menolak lalu lintas apa pun yang berasal dari ruang alamat tag layanan VirtualNetwork ke komputer virtual. Host Bastion menggunakan alamat IP dari rentang alamat: 10.0.1.0/26, yang disertakan dalam tag layanan VirtualNetwork , untuk terhubung ke komputer virtual. Oleh karena itu, koneksi dari host Bastion ditolak oleh aturan keamanan DenyVnetInBound .

Gunakan Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic untuk memulai sesi diagnostik NSG.

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

Output yang mirip dengan contoh output berikut dikembalikan:

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

Hasilnya menunjukkan bahwa ada tiga aturan keamanan yang dinilai untuk koneksi masuk dari subnet Bastion:

GlobalRules: aturan admin keamanan ini diterapkan di tingkat jaringan virtual menggunakan Azure Virtual Network Manage. Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
mySubnet-nsg: grup keamanan jaringan ini diterapkan pada tingkat subnet (subnet komputer virtual). Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
myVM-nsg: kelompok keamanan jaringan ini diterapkan pada tingkat antarmuka jaringan (NIC). Aturan ini menolak lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.

Dalam kelompok keamanan jaringan myVM-nsg , aturan keamanan DenyVnetInBound menolak lalu lintas apa pun yang berasal dari ruang alamat tag layanan VirtualNetwork ke komputer virtual. Host Bastion menggunakan alamat IP dari 10.0.1.0/26, yang disertakan tag layanan VirtualNetwork , untuk terhubung ke komputer virtual. Oleh karena itu, koneksi dari host Bastion ditolak oleh aturan keamanan DenyVnetInBound .

Gunakan az network watcher run-configuration-diagnostic untuk memulai sesi diagnostik NSG.

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

Output yang mirip dengan contoh output berikut dikembalikan:

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

Hasilnya menunjukkan bahwa ada tiga aturan keamanan yang dinilai untuk koneksi masuk dari subnet Bastion:

GlobalRules: aturan admin keamanan ini diterapkan di tingkat jaringan virtual menggunakan Azure Virtual Network Manage. Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
mySubnet-nsg: grup keamanan jaringan ini diterapkan pada tingkat subnet (subnet komputer virtual). Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
myVM-nsg: kelompok keamanan jaringan ini diterapkan pada tingkat antarmuka jaringan (NIC). Aturan ini menolak lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.

Menambahkan aturan keamanan untuk mengizinkan lalu lintas dari subnet Bastion

Untuk menyambungkan ke myVM menggunakan Azure Bastion, lalu lintas dari subnet Bastion harus diizinkan oleh grup keamanan jaringan. Untuk mengizinkan lalu lintas dari 10.0.1.0/26, tambahkan aturan keamanan dengan prioritas yang lebih tinggi (nomor prioritas yang lebih rendah) daripada aturan DenyVnetInBound atau edit aturan DenyVnetInBound untuk mengizinkan lalu lintas dari subnet Bastion.

Anda dapat menambahkan aturan keamanan ke grup keamanan jaringan dari halaman Network Watcher yang menunjukkan detail tentang aturan keamanan yang menolak lalu lintas ke komputer virtual.

Untuk menambahkan aturan keamanan dari dalam Network Watcher, pilih + Tambahkan aturan keamanan, lalu masukkan atau pilih nilai berikut:

Pengaturan	Nilai
Sumber	Pilih Alamat IP.
Alamat IP sumber/rentang CIDR	Masukkan 10.0.1.0/26, yang merupakan rentang alamat IP subnet Bastion.
Source port ranges	Masukkan*.
Tujuan	Pilih Apa pun.
Layanan	Pilih Kustom.
Rentang port tujuan	Masukkan*.
Protokol	Pilih Apa pun.
Perbuatan	Pilih Izinkan.
Prioritas	Masukkan 900, yang prioritasnya lebih tinggi dari 1000 yang digunakan untuk aturan DenyVnetInBound.
Nama	Masukkan AllowBastion Koneksi ions.

Pilih Centang ulang untuk menjalankan sesi diagnostik lagi. Sesi diagnostik sekarang harus menunjukkan bahwa lalu lintas dari subnet Bastion diizinkan.

Aturan keamanan AllowBastion Koneksi ions memungkinkan lalu lintas dari alamat IP apa pun di 10.0.1.0/26 ke komputer virtual. Karena host Bastion menggunakan alamat IP dari 10.0.1.0/26, koneksinya ke komputer virtual diizinkan oleh aturan keamanan AllowBastion Koneksi ions.

Gunakan Add-AzNetworkSecurityRuleConfig untuk membuat aturan keamanan yang memungkinkan lalu lintas dari subnet Bastion. Kemudian gunakan Set-AzNetworkSecurityGroup untuk memperbarui grup keamanan jaringan dengan aturan keamanan baru.

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule.
Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
-Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Gunakan Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic untuk melakukan pemeriksaan ulang menggunakan sesi diagnostik NSG baru.

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the diagnostic session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

Output yang mirip dengan contoh output berikut dikembalikan:

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Allow",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_AllowBastionConnections",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_AllowBastionConnections",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

Aturan keamanan AllowBastion Koneksi ions memungkinkan lalu lintas dari alamat IP apa pun di 10.0.1.0/26 ke komputer virtual. Karena host Bastion menggunakan alamat IP dari 10.0.1.0/26, koneksinya ke komputer virtual diizinkan oleh aturan keamanan AllowBastion Koneksi ions.

Gunakan az network nsg rule create untuk menambahkan ke kelompok keamanan jaringan aturan keamanan yang memungkinkan lalu lintas dari subnet Bastion.

# Add a security rule to the network security group.
az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
--access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

Gunakan az network watcher run-configuration-diagnostic untuk melakukan pemeriksaan ulang menggunakan sesi diagnostik NSG baru.

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

Output yang mirip dengan contoh output berikut dikembalikan:

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "UserRule_AllowBastionConnections"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_AllowBastionConnections",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Allow"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

Membersihkan sumber daya

Bila tidak lagi diperlukan, hapus grup sumber daya dan semua sumber daya yang ada di dalamnya:

Masukkan myResourceGroup di kotak pencarian di bagian atas portal. Pilih myResourceGroup dari hasil pencarian.
Pilih Hapus grup sumber daya.
Di Hapus grup sumber daya, masukkan myResourceGroup, lalu pilih Hapus.
Pilih Hapus untuk mengonfirmasi penghapusan grup sumber daya dan semua sumber dayanya.

Gunakan Remove-AzResourceGroup untuk menghapus grup sumber daya dan semua sumber daya yang ada di dalamnya.

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

Gunakan az group delete untuk menghapus grup sumber daya dan semua sumber daya yang ada di dalamnya

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

Langkah berikutnya

Untuk mempelajari tentang alat Network Watcher lainnya, lihat Apa itu Azure Network Watcher?
Untuk mempelajari cara memecahkan masalah perutean komputer virtual, lihat Mendiagnosis masalah perutean jaringan komputer virtual.

Mendiagnosis aturan keamanan jaringan

Prasyarat

Membuat jaringan virtual dan host Bastion

Membuat mesin virtual

Menambahkan aturan keamanan ke grup keamanan jaringan

Memeriksa aturan keamanan yang diterapkan pada lalu lintas komputer virtual

Menambahkan aturan keamanan untuk mengizinkan lalu lintas dari subnet Bastion

Membersihkan sumber daya

Langkah berikutnya

Sumber Daya Tambahan: