如何使用 Azure 虛擬網絡 Manager 封鎖網路流量 - Azure PowerShell
本文說明如何建立安全性規則,以封鎖可新增至規則集合之埠 80 和 443 的輸出網路流量。 如需詳細資訊,請參閱 安全性系統管理員規則。
必要條件
開始設定安全性規則之前,請先確認下列步驟:
- 您瞭解安全性管理規則中的每個元素。
- 您已建立 Azure 虛擬網絡 Manager 實例。
- 需要已安裝的
Az.Network5.3.0或更新版本才能存取所需的 Cmdlet。
建立 SecurityAdmin 組態
使用 New-AzNetworkManagerSecurityAdminConfiguration 建立新的 SecurityAdmin 設定。
$config = @{ Name = 'SecurityConfig' ResourceGroupName = 'myAVNMResourceGroup' NetworkManagerName = 'myAVNM' } $securityconfig = New-AzNetworkManagerSecurityAdminConfiguration @config使用 Get-AzNetworkManagerGroup 將網路群組儲存至變數。
$ng = @{ Name = 'myNetworkGroup' ResourceGroupName = 'myAVNMResourceGroup' NetworkManagerName = 'myAVNM' } $networkgroup = Get-AzNetworkManagerGroup @ng建立連線群組專案,以使用 New-AzNetworkManagerSecurityGroupItem 將網路群組新增至 。
$gi = @{ NetworkGroupId = "$networkgroup.Id" } $groupItem = New-AzNetworkManagerSecurityGroupItem -NetworkGroupId $networkgroup.id建立組態群組,並從上一個步驟新增群組專案。
[System.Collections.Generic.List[Microsoft.Azure.Commands.Network.Models.PSNetworkManagerSecurityGroupItem]]$configGroup = @() $configGroup.Add($groupItem) $configGroup = @($groupItem)使用 New-AzNetworkManagerSecurityAdminRuleCollection 建立安全性管理員規則集合。
$collection = @{ Name = 'myRuleCollection' ResourceGroupName = 'myAVNMResourceGroup' NetworkManager = 'myAVNM' ConfigName = 'SecurityConfig' AppliesToGroup = "$configGroup" } $rulecollection = New-AzNetworkManagerSecurityAdminRuleCollection @collection -AppliesToGroup $configGroup使用 New-AzNetworkManagerAddressPrefixItem 定義來源和目的地地址前綴和埠的變數。
$sourceip = @{ AddressPrefix = 'Internet' AddressPrefixType = 'ServiceTag' } $sourceprefix = New-AzNetworkManagerAddressPrefixItem @sourceip $destinationip = @{ AddressPrefix = '10.0.0.0/24' AddressPrefixType = 'IPPrefix' } $destinationprefix = New-AzNetworkManagerAddressPrefixItem @destinationip [System.Collections.Generic.List[string]]$sourcePortList = @() $sourcePortList.Add("65500”) [System.Collections.Generic.List[string]]$destinationPortList = @() $destinationPortList.Add("80”) $destinationPortList.Add("443”)使用 New-AzNetworkManagerSecurityAdminRule 建立安全性規則。
$rule = @{ Name = 'Block_HTTP_HTTPS' ResourceGroupName = 'myAVNMResourceGroup' NetworkManagerName = 'myAVNM' SecurityAdminConfigurationName = 'SecurityConfig' RuleCollectionName = 'myRuleCollection' Protocol = 'TCP' Access = 'Deny' Priority = '100' Direction = 'Outbound' SourceAddressPrefix = $sourceprefix SourcePortRange = $sourcePortList DestinationAddressPrefix = $destinationprefix DestinationPortRange = $destinationPortList } $securityrule = New-AzNetworkManagerSecurityAdminRule @rule
認可部署
使用 Deploy-AzNetworkManagerCommit 將安全性設定認可至目標區域。
$regions = @("westus")
$deployment = @{
Name = 'myAVNM'
ResourceGroupName = 'myAVNMResourceGroup'
ConfigurationId = $configIds
TargetLocation = $regions
CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @deployment
刪除安全性設定
如果您不再需要安全性設定,請確定下列準則成立,以便刪除安全性設定本身:
- 沒有任何組態部署至任何區域。
- 刪除與安全性組態相關聯之規則集合中的所有安全性規則。
拿掉安全性設定部署
使用 Deploy-AzNetworkManagerCommit 部署設定來移除安全性部署。
[System.Collections.Generic.List[string]]$configIds = @()
[System.Collections.Generic.List[string]]$regions = @()
$regions.Add("westus")
$removedeployment = @{
Name = 'myAVNM'
ResourceGroupName = 'myAVNMResourceGroup'
ConfigurationId = $configIds
TargetLocation = $regions
CommitType = 'SecurityAdmin'
}
Deploy-AzNetworkManagerCommit @removedeployment
拿掉安全性規則
使用 Remove-AzNetworkManagerSecurityAdminRule 移除安全性規則。
$removerule = @{
Name = 'Block80'
ResourceGroupName = 'myAVNMResourceGroup'
NetworkManagerName = 'myAVNM'
SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRule @removerule
拿掉安全性規則集合
$removecollection = @{
Name = 'myRuleCollection'
ResourceGroupName = 'myAVNMResourceGroup'
NetworkManagerName = 'myAVNM'
SecurityAdminConfigurationName = 'SecurityConfig'
}
Remove-AzNetworkManagerSecurityAdminRuleCollection @removecollection
刪除設定
使用 Remove-AzNetworkManagerSecurityAdminConfiguration 刪除安全性設定。
$removeconfig = @{
Name = 'SecurityConfig'
ResourceGroupName = 'myAVNMResourceGroup'
NetworkManagerName = 'myAVNM'
}
Remove-AzNetworkManagerSecurityAdminConfiguration @removeconfig
下一步
深入瞭解 安全性系統管理員規則。