Anda dapat menggunakan grup keamanan jaringan untuk memfilter dan mengontrol lalu lintas jaringan masuk dan keluar ke dan dari sumber daya Azure Anda. Anda juga dapat menggunakan Azure Virtual Network Manager untuk menerapkan aturan keamanan admin ke sumber daya Azure Anda untuk mengontrol lalu lintas jaringan.
Dalam artikel ini, Anda mempelajari cara menggunakan diagnostik NSG Azure Network Watcher untuk memeriksa dan memecahkan masalah aturan keamanan yang diterapkan pada lalu lintas Azure Anda. Diagnostik NSG memeriksa apakah lalu lintas diizinkan atau ditolak oleh aturan keamanan yang diterapkan.
Contoh dalam artikel ini menunjukkan kepada Anda bagaimana grup keamanan jaringan yang salah dikonfigurasi dapat mencegah Anda menggunakan Azure Bastion untuk menyambungkan ke komputer virtual.
Langkah-langkah dalam artikel ini menjalankan cmdlet Azure PowerShell secara interaktif di Azure Cloud Shell. Untuk menjalankan perintah di Cloud Shell, pilih Buka Cloud Shell di sudut kanan atas blok kode. Pilih Salin untuk menyalin kode lalu tempelkan ke Cloud Shell untuk menjalankannya. Anda juga dapat menjalankan Cloud Shell dari dalam portal Azure.
Anda juga dapat menginstal Azure PowerShell secara lokal untuk menjalankan cmdlet. Artikel ini memerlukan modul Az PowerShell. Untuk informasi selengkapnya, lihat Cara menginstal Azure PowerShell. Untuk menemukan versi yang terinstal, jalankan Get-InstalledModule -Name Az. Jika Anda menjalankan PowerShell secara lokal, masuk ke Azure menggunakan cmdlet Koneksi-AzAccount.
Langkah-langkah dalam artikel ini menjalankan perintah Azure CLI secara interaktif di Azure Cloud Shell. Untuk menjalankan perintah di Cloud Shell, pilih Buka Cloud Shell di sudut kanan atas blok kode. Pilih Salin untuk menyalin kode, dan tempelkan ke Cloud Shell untuk menjalankannya. Anda juga dapat menjalankan Cloud Shell dari dalam portal Azure.
Di bagian ini, Anda membuat jaringan virtual dengan dua subnet dan host Azure Bastion. Subnet pertama digunakan untuk komputer virtual, dan subnet kedua digunakan untuk host Bastion. Anda juga membuat grup keamanan jaringan dan menerapkannya ke subnet pertama.
Buat sumber daya alamat IP publik yang diperlukan untuk host Bastion menggunakan New-AzPublicIpAddress.
# Create a public IP address for Azure Bastion.
New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'
Membuat grup sumber daya dengan menggunakan az group create. Grup sumber daya Azure adalah kontainer logis tempat sumber daya Azure disebarkan dan dikelola.
# Create a resource group.
az group create --name 'myResourceGroup' --location 'eastus'
Buat grup keamanan jaringan default menggunakan buat nsg jaringan az.
# Create a network security group.
az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'
Harga per jam dimulai sejak host Bastion disebarkan, terlepas dari penggunaan data keluar. Untuk informasi selengkapnya, lihat Harga. Kami menyarankan agar Anda menghapus sumber daya ini setelah selesai menggunakannya.
Membuat mesin virtual
Di bagian ini, Anda membuat komputer virtual dan grup keamanan jaringan yang diterapkan ke antarmuka jaringannya.
Buat komputer virtual menggunakan New-AzVM. Jika diminta, masukkan nama pengguna dan kata sandi.
# Create a virtual machine using the latest Windows Server 2022 image.
New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'
Buat grup keamanan jaringan default menggunakan buat nsg jaringan az.
# Create a default network security group.
az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'
Buat komputer virtual menggunakan az vm create. Jika diminta, masukkan nama pengguna dan kata sandi.
# Create a virtual machine using the latest Windows Server 2022 image.
az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'
Menambahkan aturan keamanan ke grup keamanan jaringan
Di bagian ini, Anda menambahkan aturan keamanan ke grup keamanan jaringan yang terkait dengan antarmuka jaringan myVM. Aturan ini menolak lalu lintas masuk dari jaringan virtual.
Di kotak pencarian di bagian atas portal, masukkan grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.
Dari daftar grup keamanan jaringan, pilih myVM-nsg.
Pada Pengaturan, pilih Aturan keamanan masuk.
Pilih + Tambah. Di tab Jaringan, masukkan atau pilih nilai berikut ini:
Pengaturan
Nilai
Sumber
Pilih Tag Layanan.
Tag layanan sumber
Pilih VirtualNetwork.
Source port ranges
Masukkan*.
Tujuan
Pilih Apa pun.
Layanan
Pilih Kustom.
Rentang port tujuan
Masukkan*.
Protokol
Pilih Apa pun.
Perbuatan
Pilih Tolak.
Prioritas
Masukkan 1000.
Nama
Masukkan DenyVnetInBound.
Pilih Tambahkan.
Gunakan Add-AzNetworkSecurityRuleConfig untuk membuat aturan keamanan yang menolak lalu lintas dari jaringan virtual. Kemudian gunakan Set-AzNetworkSecurityGroup untuk memperbarui grup keamanan jaringan dengan aturan keamanan baru.
# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup
Gunakan buat aturan nsg jaringan az untuk menambahkan ke grup keamanan jaringan aturan keamanan yang menolak lalu lintas dari jaringan virtual.
# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'
Catatan
Tag layanan VirtualNetwork mewakili ruang alamat jaringan virtual, semua ruang alamat lokal yang terhubung, jaringan virtual yang di-peering, jaringan virtual yang terhubung ke gateway jaringan virtual, alamat IP virtual host, dan awalan alamat yang digunakan pada rute yang ditentukan pengguna. Untuk informasi selengkapnya, lihat Tag layanan.
Memeriksa aturan keamanan yang diterapkan pada lalu lintas komputer virtual
Gunakan diagnostik NSG untuk memeriksa aturan keamanan yang diterapkan pada lalu lintas yang berasal dari subnet Bastion ke komputer virtual.
Di kotak pencarian di bagian atas portal, cari dan pilih Network Watcher.
Di bawah Alat diagnostik jaringan, pilih diagnostik NSG.
Pada halaman diagnostik NSG, masukkan atau pilih nilai berikut:
Pengaturan
Nilai
Sumber daya target
Jenis sumber daya target
Pilih Komputer virtual.
Komputer virtual
Pilih komputer virtual myVM .
Detail lalu lintas
Protokol
Pilih TCP. Opsi lain yang tersedia adalah: Apa pun, UDP , dan ICMP.
Arah
Pilih Masuk. Opsi lain yang tersedia adalah: Keluar.
Jenis sumber
Pilih Alamat IPv4/CIDR. Opsi lain yang tersedia adalah: Tag Layanan.
Alamat IPv4/CIDR
Masukkan 10.0.1.0/26, yang merupakan rentang alamat IP subnet Bastion. Nilai yang dapat diterima adalah: alamat IP tunggal, beberapa alamat IP, awalan IP tunggal, beberapa awalan IP.
Alamat IP tujuan
Biarkan default 10.0.0.4, yang merupakan alamat IP myVM.
Port tujuan
Masukkan * untuk menyertakan semua port.
Pilih Jalankan diagnostik NSG untuk menjalankan pengujian. Setelah diagnostik NSG selesai memeriksa semua aturan keamanan, diagnostik akan menampilkan hasilnya.
Hasilnya menunjukkan bahwa ada tiga aturan keamanan yang dinilai untuk koneksi masuk dari subnet Bastion:
GlobalRules: aturan admin keamanan ini diterapkan di tingkat jaringan virtual menggunakan Azure Virtual Network Manage. Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
mySubnet-nsg: grup keamanan jaringan ini diterapkan pada tingkat subnet (subnet komputer virtual). Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
myVM-nsg: kelompok keamanan jaringan ini diterapkan pada tingkat antarmuka jaringan (NIC). Aturan ini menolak lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
Pilih Tampilkan detailmyVM-nsg untuk melihat detail tentang aturan keamanan yang dimiliki grup keamanan jaringan ini dan aturan mana yang menolak lalu lintas.
Dalam kelompok keamanan jaringan myVM-nsg , aturan keamanan DenyVnetInBound menolak lalu lintas apa pun yang berasal dari ruang alamat tag layanan VirtualNetwork ke komputer virtual. Host Bastion menggunakan alamat IP dari rentang alamat: 10.0.1.0/26, yang disertakan dalam tag layanan VirtualNetwork , untuk terhubung ke komputer virtual. Oleh karena itu, koneksi dari host Bastion ditolak oleh aturan keamanan DenyVnetInBound .
Hasilnya menunjukkan bahwa ada tiga aturan keamanan yang dinilai untuk koneksi masuk dari subnet Bastion:
GlobalRules: aturan admin keamanan ini diterapkan di tingkat jaringan virtual menggunakan Azure Virtual Network Manage. Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
mySubnet-nsg: grup keamanan jaringan ini diterapkan pada tingkat subnet (subnet komputer virtual). Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
myVM-nsg: kelompok keamanan jaringan ini diterapkan pada tingkat antarmuka jaringan (NIC). Aturan ini menolak lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
Dalam kelompok keamanan jaringan myVM-nsg , aturan keamanan DenyVnetInBound menolak lalu lintas apa pun yang berasal dari ruang alamat tag layanan VirtualNetwork ke komputer virtual. Host Bastion menggunakan alamat IP dari 10.0.1.0/26, yang disertakan tag layanan VirtualNetwork , untuk terhubung ke komputer virtual. Oleh karena itu, koneksi dari host Bastion ditolak oleh aturan keamanan DenyVnetInBound .
Hasilnya menunjukkan bahwa ada tiga aturan keamanan yang dinilai untuk koneksi masuk dari subnet Bastion:
GlobalRules: aturan admin keamanan ini diterapkan di tingkat jaringan virtual menggunakan Azure Virtual Network Manage. Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
mySubnet-nsg: grup keamanan jaringan ini diterapkan pada tingkat subnet (subnet komputer virtual). Aturan ini memungkinkan lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
myVM-nsg: kelompok keamanan jaringan ini diterapkan pada tingkat antarmuka jaringan (NIC). Aturan ini menolak lalu lintas TCP masuk dari subnet Bastion ke komputer virtual.
Dalam kelompok keamanan jaringan myVM-nsg , aturan keamanan DenyVnetInBound menolak lalu lintas apa pun yang berasal dari ruang alamat tag layanan VirtualNetwork ke komputer virtual. Host Bastion menggunakan alamat IP dari 10.0.1.0/26, yang disertakan tag layanan VirtualNetwork , untuk terhubung ke komputer virtual. Oleh karena itu, koneksi dari host Bastion ditolak oleh aturan keamanan DenyVnetInBound .
Menambahkan aturan keamanan untuk mengizinkan lalu lintas dari subnet Bastion
Untuk menyambungkan ke myVM menggunakan Azure Bastion, lalu lintas dari subnet Bastion harus diizinkan oleh grup keamanan jaringan. Untuk mengizinkan lalu lintas dari 10.0.1.0/26, tambahkan aturan keamanan dengan prioritas yang lebih tinggi (nomor prioritas yang lebih rendah) daripada aturan DenyVnetInBound atau edit aturan DenyVnetInBound untuk mengizinkan lalu lintas dari subnet Bastion.
Anda dapat menambahkan aturan keamanan ke grup keamanan jaringan dari halaman Network Watcher yang menunjukkan detail tentang aturan keamanan yang menolak lalu lintas ke komputer virtual.
Untuk menambahkan aturan keamanan dari dalam Network Watcher, pilih + Tambahkan aturan keamanan, lalu masukkan atau pilih nilai berikut:
Pengaturan
Nilai
Sumber
Pilih Alamat IP.
Alamat IP sumber/rentang CIDR
Masukkan 10.0.1.0/26, yang merupakan rentang alamat IP subnet Bastion.
Source port ranges
Masukkan*.
Tujuan
Pilih Apa pun.
Layanan
Pilih Kustom.
Rentang port tujuan
Masukkan*.
Protokol
Pilih Apa pun.
Perbuatan
Pilih Izinkan.
Prioritas
Masukkan 900, yang prioritasnya lebih tinggi dari 1000 yang digunakan untuk aturan DenyVnetInBound.
Nama
Masukkan AllowBastion Koneksi ions.
Pilih Centang ulang untuk menjalankan sesi diagnostik lagi. Sesi diagnostik sekarang harus menunjukkan bahwa lalu lintas dari subnet Bastion diizinkan.
Aturan keamanan AllowBastion Koneksi ions memungkinkan lalu lintas dari alamat IP apa pun di 10.0.1.0/26 ke komputer virtual. Karena host Bastion menggunakan alamat IP dari 10.0.1.0/26, koneksinya ke komputer virtual diizinkan oleh aturan keamanan AllowBastion Koneksi ions.
Gunakan Add-AzNetworkSecurityRuleConfig untuk membuat aturan keamanan yang memungkinkan lalu lintas dari subnet Bastion. Kemudian gunakan Set-AzNetworkSecurityGroup untuk memperbarui grup keamanan jaringan dengan aturan keamanan baru.
# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule.
Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
-Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup
Aturan keamanan AllowBastion Koneksi ions memungkinkan lalu lintas dari alamat IP apa pun di 10.0.1.0/26 ke komputer virtual. Karena host Bastion menggunakan alamat IP dari 10.0.1.0/26, koneksinya ke komputer virtual diizinkan oleh aturan keamanan AllowBastion Koneksi ions.
Gunakan az network nsg rule create untuk menambahkan ke kelompok keamanan jaringan aturan keamanan yang memungkinkan lalu lintas dari subnet Bastion.
# Add a security rule to the network security group.
az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
--access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'
Aturan keamanan AllowBastion Koneksi ions memungkinkan lalu lintas dari alamat IP apa pun di 10.0.1.0/26 ke komputer virtual. Karena host Bastion menggunakan alamat IP dari 10.0.1.0/26, koneksinya ke komputer virtual diizinkan oleh aturan keamanan AllowBastion Koneksi ions.
Membersihkan sumber daya
Bila tidak lagi diperlukan, hapus grup sumber daya dan semua sumber daya yang ada di dalamnya: