Så här blockerar du nätverkstrafik med Azure Virtual Network Manager – Azure PowerShell

Den här artikeln visar hur du skapar en säkerhetsregel för att blockera utgående nätverkstrafik till port 80 och 443 som du kan lägga till i regelsamlingarna. Mer information finns i Säkerhetsadministratörsregler.

Förutsättningar

Bekräfta följande steg innan du börjar konfigurera säkerhetsregler:

• Du förstår varje element i en säkerhetsadministratörsregel.
• Du har skapat en Azure Virtual Network Manager-instans.
• Installerad version av Az.Network 5.3.0 eller högre krävs för att få åtkomst till de cmdletar som krävs.

Skapa en SecurityAdmin-konfiguration

1. Skapa en ny SecurityAdmin-konfiguration med New-AzNetworkManagerSecurityAdminConfiguration.

   $config = @{
       Name = 'SecurityConfig'
       ResourceGroupName = 'myAVNMResourceGroup'
       NetworkManagerName = 'myAVNM'
   }
   $securityconfig = New-AzNetworkManagerSecurityAdminConfiguration @config
   
   

2. Lagra nätverksgruppen i en variabel med Get-AzNetworkManagerGroup.

   $ng = @{
       Name = 'myNetworkGroup'
       ResourceGroupName = 'myAVNMResourceGroup'
       NetworkManagerName = 'myAVNM'
   }
   $networkgroup = Get-AzNetworkManagerGroup @ng   
   

3. Skapa ett anslutningsgruppobjekt för att lägga till en nätverksgrupp i med New-AzNetworkManagerSecurityGroupItem.

   $gi = @{
       NetworkGroupId = "$networkgroup.Id"
   }
   
   $groupItem = New-AzNetworkManagerSecurityGroupItem -NetworkGroupId $networkgroup.id
   

4. Skapa en konfigurationsgrupp och lägg till gruppobjektet från föregående steg.

   [System.Collections.Generic.List[Microsoft.Azure.Commands.Network.Models.PSNetworkManagerSecurityGroupItem]]$configGroup = @()  
   $configGroup.Add($groupItem) 
   
   $configGroup = @($groupItem)
   

5. Skapa en samling säkerhetsadministratörsregler med New-AzNetworkManagerSecurityAdminRuleCollection.

   $collection = @{
       Name = 'myRuleCollection'
       ResourceGroupName = 'myAVNMResourceGroup'
       NetworkManager = 'myAVNM'
       ConfigName = 'SecurityConfig'
       AppliesToGroup = "$configGroup"
   }
   $rulecollection = New-AzNetworkManagerSecurityAdminRuleCollection @collection -AppliesToGroup $configGroup
   

6. Definiera variablerna för käll- och måladressprefix och portar med New-AzNetworkManagerAddressPrefixItem.

   $sourceip = @{
       AddressPrefix = 'Internet'
       AddressPrefixType = 'ServiceTag'
   }
   $sourceprefix = New-AzNetworkManagerAddressPrefixItem @sourceip
   
   $destinationip = @{
       AddressPrefix = '10.0.0.0/24'
       AddressPrefixType = 'IPPrefix'
   }
   $destinationprefix = New-AzNetworkManagerAddressPrefixItem @destinationip
   
   [System.Collections.Generic.List[string]]$sourcePortList = @() 
   $sourcePortList.Add("65500”) 
   
   [System.Collections.Generic.List[string]]$destinationPortList = @() 
   $destinationPortList.Add("80”)
   $destinationPortList.Add("443”)
   

7. Skapa en säkerhetsregel med New-AzNetworkManagerSecurityAdminRule.

   $rule = @{
       Name = 'Block_HTTP_HTTPS'
       ResourceGroupName = 'myAVNMResourceGroup'
       NetworkManagerName = 'myAVNM'
       SecurityAdminConfigurationName = 'SecurityConfig'
       RuleCollectionName = 'myRuleCollection'
       Protocol = 'TCP'
       Access = 'Deny'
       Priority = '100'
       Direction = 'Outbound'
       SourceAddressPrefix = $sourceprefix
       SourcePortRange = $sourcePortList
       DestinationAddressPrefix = $destinationprefix
       DestinationPortRange = $destinationPortList
   }
   $securityrule = New-AzNetworkManagerSecurityAdminRule @rule
   

Genomför distribution

Genomför säkerhetskonfigurationen till målregioner med Deploy-AzNetworkManagerCommit.

$regions = @("westus")
$deployment = @{
    Name = 'myAVNM'
    ResourceGroupName = 'myAVNMResourceGroup'
    ConfigurationId = $configIds
    TargetLocation = $regions
    CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @deployment 

Ta bort säkerhetskonfiguration

Om du inte längre behöver säkerhetskonfigurationen kontrollerar du att följande villkor är uppfyllda så att du kan ta bort själva säkerhetskonfigurationen:

• Det finns inga distributioner av konfigurationer till någon region.
• Ta bort alla säkerhetsregler i en regelsamling som är associerad med säkerhetskonfigurationen.

Ta bort distribution av säkerhetskonfiguration

Ta bort säkerhetsdistributionen genom att distribuera en konfiguration med Deploy-AzNetworkManagerCommit.

[System.Collections.Generic.List[string]]$configIds = @()
[System.Collections.Generic.List[string]]$regions = @()   
$regions.Add("westus")     
$removedeployment = @{
    Name = 'myAVNM'
    ResourceGroupName = 'myAVNMResourceGroup'
    ConfigurationId = $configIds
    TargetLocation = $regions
    CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @removedeployment

Ta bort säkerhetsregler

Ta bort säkerhetsregler med Remove-AzNetworkManagerSecurityAdminRule.

$removerule = @{
    Name = 'Block80'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManagerName = 'myAVNM'
    SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRule @removerule

Ta bort säkerhetsregelsamlingar

$removecollection = @{
    Name = 'myRuleCollection'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManagerName = 'myAVNM'
    SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRuleCollection @removecollection

Ta bort konfiguration

Ta bort säkerhetskonfigurationen med Remove-AzNetworkManagerSecurityAdminConfiguration.

$removeconfig = @{
    Name = 'SecurityConfig'
    ResourceGroupName = 'myAVNMResourceGroup'
    NetworkManagerName = 'myAVNM'
}
Remove-AzNetworkManagerSecurityAdminConfiguration @removeconfig

Nästa steg

Läs mer om säkerhetsadministratörsregler.