Condividi tramite

Come bloccare il traffico di rete con Azure Rete virtuale Manager - Azure PowerShell

  • Articolo

Questo articolo illustra come creare una regola di sicurezza per bloccare il traffico di rete in uscita verso la porta 80 e 443 che è possibile aggiungere alle raccolte regole. Per altre informazioni, vedere Regole di amministrazione della sicurezza.

Prerequisiti

Prima di iniziare a configurare le regole di sicurezza, verificare i passaggi seguenti:

  • È possibile comprendere ogni elemento in una regola di amministrazione della sicurezza.
  • È stata creata un'istanza di Azure Rete virtuale Manager.
  • La versione installata di o versione successiva è Az.Network 5.3.0 necessaria per accedere ai cmdlet necessari.

Creare una configurazione SecurityAdmin

  1. Creare una nuova configurazione SecurityAdmin con New-AzNetworkManagerSecurityAdminConfiguration.

    $config = @{
    Name = 'SecurityConfig'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManagerName = 'myAVNM'
}
$securityconfig = New-AzNetworkManagerSecurityAdminConfiguration @config

  2. Archiviare un gruppo di rete in una variabile con Get-AzNetworkManagerGroup.

    $ng = @{
    Name = 'myNetworkGroup'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManagerName = 'myAVNM'
}
$networkgroup = Get-AzNetworkManagerGroup @ng

  3. Creare un elemento del gruppo di connettività per aggiungere un gruppo di rete a con New-AzNetworkManagerSecurityGroupItem.

    $gi = @{
    NetworkGroupId = "$networkgroup.Id"
}

$groupItem = New-AzNetworkManagerSecurityGroupItem -NetworkGroupId $networkgroup.id

  4. Creare un gruppo di configurazione e aggiungere l'elemento del gruppo nel passaggio precedente.

    [System.Collections.Generic.List[Microsoft.Azure.Commands.Network.Models.PSNetworkManagerSecurityGroupItem]]$configGroup = @()  
$configGroup.Add($groupItem) 

$configGroup = @($groupItem)

  5. Creare una raccolta di regole di amministrazione della sicurezza con New-AzNetworkManagerSecurityAdminRuleCollection.

    $collection = @{
    Name = 'myRuleCollection'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManager = 'myAVNM'
    ConfigName = 'SecurityConfig'
    AppliesToGroup = "$configGroup"
}
$rulecollection = New-AzNetworkManagerSecurityAdminRuleCollection @collection -AppliesToGroup $configGroup

  6. Definire le variabili per i prefissi degli indirizzi di origine e di destinazione e le porte con New-AzNetworkManagerAddressPrefixItem.

    $sourceip = @{
    AddressPrefix = 'Internet'
    AddressPrefixType = 'ServiceTag'
}
$sourceprefix = New-AzNetworkManagerAddressPrefixItem @sourceip

$destinationip = @{
    AddressPrefix = '10.0.0.0/24'
    AddressPrefixType = 'IPPrefix'
}
$destinationprefix = New-AzNetworkManagerAddressPrefixItem @destinationip

[System.Collections.Generic.List[string]]$sourcePortList = @() 
$sourcePortList.Add("65500”) 

[System.Collections.Generic.List[string]]$destinationPortList = @() 
$destinationPortList.Add("80”)
$destinationPortList.Add("443”)

  7. Creare una regola di sicurezza con New-AzNetworkManagerSecurityAdminRule.

    $rule = @{
    Name = 'Block_HTTP_HTTPS'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManagerName = 'myAVNM'
    SecurityAdminConfigurationName = 'SecurityConfig'
    RuleCollectionName = 'myRuleCollection'
    Protocol = 'TCP'
    Access = 'Deny'
    Priority = '100'
    Direction = 'Outbound'
    SourceAddressPrefix = $sourceprefix
    SourcePortRange = $sourcePortList
    DestinationAddressPrefix = $destinationprefix
    DestinationPortRange = $destinationPortList
}
$securityrule = New-AzNetworkManagerSecurityAdminRule @rule

Eseguire il commit della distribuzione

Eseguire il commit della configurazione di sicurezza nelle aree di destinazione con Deploy-AzNetworkManagerCommit.

$regions = @("westus")
$deployment = @{
    Name = 'myAVNM'
    ResourceGroupName = 'myAVNMResourceGroup'
    ConfigurationId = $configIds
    TargetLocation = $regions
    CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @deployment

Eliminare la configurazione di sicurezza

Se la configurazione di sicurezza non è più necessaria, assicurarsi che i criteri seguenti siano true per poter eliminare la configurazione di sicurezza stessa:

  • Non esistono distribuzioni di configurazioni in nessuna area.
  • Eliminare tutte le regole di sicurezza in una raccolta di regole associata alla configurazione di sicurezza.

Rimuovere la distribuzione della configurazione di sicurezza

Rimuovere la distribuzione della sicurezza distribuendo una configurazione con Deploy-AzNetworkManagerCommit.

[System.Collections.Generic.List[string]]$configIds = @()
[System.Collections.Generic.List[string]]$regions = @()   
$regions.Add("westus")     
$removedeployment = @{
    Name = 'myAVNM'
    ResourceGroupName = 'myAVNMResourceGroup'
    ConfigurationId = $configIds
    TargetLocation = $regions
    CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @removedeployment

Rimuovere le regole di sicurezza

Rimuovere le regole di sicurezza con Remove-AzNetworkManagerSecurityAdminRule.

$removerule = @{
    Name = 'Block80'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManagerName = 'myAVNM'
    SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRule @removerule

Rimuovere le raccolte di regole di sicurezza

$removecollection = @{
    Name = 'myRuleCollection'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManagerName = 'myAVNM'
    SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRuleCollection @removecollection

Eliminare la configurazione

Eliminare la configurazione di sicurezza con Remove-AzNetworkManagerSecurityAdminConfiguration.

$removeconfig = @{
    Name = 'SecurityConfig'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManagerName = 'myAVNM'
}
Remove-AzNetworkManagerSecurityAdminConfiguration @removeconfig

Passaggi successivi

Altre informazioni sulle regole di amministrazione della sicurezza.