Cara memblokir lalu lintas jaringan dengan Azure Virtual Network Manager - Azure PowerShell
Artikel ini menunjukkan kepada Anda cara membuat aturan keamanan untuk memblokir lalu lintas jaringan keluar ke port 80 dan 443 yang dapat Anda tambahkan ke koleksi aturan Anda. Untuk informasi selengkapnya, lihat Aturan admin keamanan.
Prasyarat
Sebelum Anda mulai mengonfigurasi aturan keamanan, konfirmasikan langkah-langkah berikut:
- Anda memahami setiap elemen dalam Aturan admin keamanan.
- Anda telah membuat instans Azure Virtual Network Manager.
- Versi yang diinstal dari
Az.Network
5.3.0
atau lebih tinggi diperlukan untuk mengakses cmdlet yang diperlukan.
Membuat konfigurasi SecurityAdmin
Buat konfigurasi SecurityAdmin baru dengan New-AzNetworkManagerSecurityAdminConfiguration.
$config = @{ Name = 'SecurityConfig' ResourceGroupName = 'myAVNMResourceGroup' NetworkManagerName = 'myAVNM' } $securityconfig = New-AzNetworkManagerSecurityAdminConfiguration @config
Simpan grup jaringan ke variabel dengan Get-AzNetworkManagerGroup.
$ng = @{ Name = 'myNetworkGroup' ResourceGroupName = 'myAVNMResourceGroup' NetworkManagerName = 'myAVNM' } $networkgroup = Get-AzNetworkManagerGroup @ng
Buat item grup konektivitas untuk menambahkan grup jaringan dengan New-AzNetworkManagerSecurityGroupItem.
$gi = @{ NetworkGroupId = "$networkgroup.Id" } $groupItem = New-AzNetworkManagerSecurityGroupItem -NetworkGroupId $networkgroup.id
Buat grup konfigurasi dan tambahkan item grup dari langkah sebelumnya.
[System.Collections.Generic.List[Microsoft.Azure.Commands.Network.Models.PSNetworkManagerSecurityGroupItem]]$configGroup = @() $configGroup.Add($groupItem) $configGroup = @($groupItem)
Buat koleksi aturan admin keamanan dengan New-AzNetworkManagerSecurityAdminRuleCollection.
$collection = @{ Name = 'myRuleCollection' ResourceGroupName = 'myAVNMResourceGroup' NetworkManager = 'myAVNM' ConfigName = 'SecurityConfig' AppliesToGroup = "$configGroup" } $rulecollection = New-AzNetworkManagerSecurityAdminRuleCollection @collection -AppliesToGroup $configGroup
Tentukan variabel untuk awalan dan port alamat sumber dan tujuan dengan New-AzNetworkManagerAddressPrefixItem.
$sourceip = @{ AddressPrefix = 'Internet' AddressPrefixType = 'ServiceTag' } $sourceprefix = New-AzNetworkManagerAddressPrefixItem @sourceip $destinationip = @{ AddressPrefix = '10.0.0.0/24' AddressPrefixType = 'IPPrefix' } $destinationprefix = New-AzNetworkManagerAddressPrefixItem @destinationip [System.Collections.Generic.List[string]]$sourcePortList = @() $sourcePortList.Add("65500”) [System.Collections.Generic.List[string]]$destinationPortList = @() $destinationPortList.Add("80”) $destinationPortList.Add("443”)
Buat aturan keamanan dengan New-AzNetworkManagerSecurityAdminRule.
$rule = @{ Name = 'Block_HTTP_HTTPS' ResourceGroupName = 'myAVNMResourceGroup' NetworkManagerName = 'myAVNM' SecurityAdminConfigurationName = 'SecurityConfig' RuleCollectionName = 'myRuleCollection' Protocol = 'TCP' Access = 'Deny' Priority = '100' Direction = 'Outbound' SourceAddressPrefix = $sourceprefix SourcePortRange = $sourcePortList DestinationAddressPrefix = $destinationprefix DestinationPortRange = $destinationPortList } $securityrule = New-AzNetworkManagerSecurityAdminRule @rule
Melakukan penyebaran
Lakukan konfigurasi keamanan untuk menargetkan wilayah dengan Deploy-AzNetworkManagerCommit.
$regions = @("westus")
$deployment = @{
Name = 'myAVNM'
ResourceGroupName = 'myAVNMResourceGroup'
ConfigurationId = $configIds
TargetLocation = $regions
CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @deployment
Menghapus konfigurasi keamanan
Jika Anda tidak lagi memerlukan konfigurasi keamanan, pastikan kriteria berikut ini benar sehingga Anda dapat menghapus konfigurasi keamanan itu sendiri:
- Tidak ada penyebaran konfigurasi ke wilayah mana pun.
- Hapus semua aturan keamanan dalam kumpulan aturan yang terkait dengan konfigurasi keamanan.
Menghapus penyebaran konfigurasi keamanan
Hapus penerapan keamanan dengan menerapkan konfigurasi dengan Deploy-AzNetworkManagerCommit.
[System.Collections.Generic.List[string]]$configIds = @()
[System.Collections.Generic.List[string]]$regions = @()
$regions.Add("westus")
$removedeployment = @{
Name = 'myAVNM'
ResourceGroupName = 'myAVNMResourceGroup'
ConfigurationId = $configIds
TargetLocation = $regions
CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @removedeployment
Menghapus aturan keamanan
Hapus aturan keamanan dengan Remove-AzNetworkManagerSecurityAdminRule.
$removerule = @{
Name = 'Block80'
ResourceGroupName = 'myAVNMResourceGroup'
NetworkManagerName = 'myAVNM'
SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRule @removerule
Menghapus koleksi aturan keamanan
$removecollection = @{
Name = 'myRuleCollection'
ResourceGroupName = 'myAVNMResourceGroup'
NetworkManagerName = 'myAVNM'
SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRuleCollection @removecollection
Menghapus konfigurasi
Hapus konfigurasi keamanan dengan Remove-AzNetworkManagerSecurityAdminConfiguration.
$removeconfig = @{
Name = 'SecurityConfig'
ResourceGroupName = 'myAVNMResourceGroup'
NetworkManagerName = 'myAVNM'
}
Remove-AzNetworkManagerSecurityAdminConfiguration @removeconfig
Langkah berikutnya
Pelajari selengkapnya tentang Aturan admin keamanan.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk