診斷網路安全性規則

發行項
09/18/2024

您可以使用網路安全性群組篩選和控制進出 Azure 資源的輸入和輸出網路流量。您也可以使用 Azure Virtual Network Manager，將系統管理安全性規則套用至您的 Azure 資源以控制網路流量。

在本文中，您將瞭解如何使用 Azure 網路監看員 NSG 診斷來檢查並針對套用至 Azure 流量的安全性規則進行疑難排解。 NSG 診斷會檢查套用的安全性規則是否允許或拒絕流量。

本文中的範例說明設定錯誤的網路安全性群組如何防止您使用 Azure Bastion 連線到虛擬機器。

必要條件

具有有效訂用帳戶的 Azure 帳戶。免費建立帳戶。
使用您的 Azure 帳戶登入 Azure 入口網站。

具有有效訂用帳戶的 Azure 帳戶。免費建立帳戶。
Azure Cloud Shell 或 Azure PowerShell。

本文中的步驟會在 Azure Cloud Shell 中以互動方式執行 Azure PowerShell Cmdlet。若要在 Cloud Shell 中執行命令，請選取程式代碼區塊右上角的 [ 開啟 Cloud Shell ]。選取 [複製] 以複製程式碼，然後將其貼入 Cloud Shell 以執行。您也可以從 Azure 入口網站內執行 Cloud Shell。

您也可以在本機安裝 Azure PowerShell 來執行 Cmdlet。本文需要 Az PowerShell 模組。如需詳細資訊，請參閱如何安裝 Azure PowerShell。若要尋找已安裝的版本，請執行 Get-InstalledModule -Name Az。如果您在本機執行 PowerShell，請使用 Connect-AzAccount Cmdlet 登入 Azure。

建立虛擬網路和 Bastion 主機

在本節中，您會建立具有兩個子網路與一個 Azure Bastion 主機的虛擬網路。第一個子網路用於虛擬機器，而第二個子網路用於 Bastion 主機。您也會建立網路安全性群組，並將其套用至第一個子網路。

在入口網站頂端的搜尋方塊中，輸入「虛擬網路」。從搜尋結果中選取 [虛擬網路]。

選取 + 建立。在 [建立虛擬網路] 的 [基本] 索引標籤中，輸入或選取下列值：

設定	值
專案詳細資料
訂用帳戶	選取 Azure 訂閱。
資源群組	選取 [新建] 在 [名稱] 中輸入 myResourceGroup。選取 [確定]。
[執行個體詳細資料]
虛擬網路名稱	輸入 [myVNet]。
區域	選取 [(美國) 美國東部]。

選取 [安全性] 索引標籤，或選取頁面底部的 [下一步] 按鈕。
在 [Azure Bastion] 下，選取 [啟用 Azure Bastion] 並接受預設值：

設定值

Azure Bastion 主機名稱 myVNet-Bastion。

Azure Bastion 公用 IP 位址 (新增) myVNet-bastion-publicIpAddress。
選取 [IP 位址] 索引標籤，或選取頁面底部的 [下一步] 按鈕。
接受預設 IP 位址空間 10.0.0.0.0/16 ，然後選取鉛筆圖示來編輯預設子網路。在 [編輯子網路] 頁面中輸入下列值：

設定值

子網路詳細資料

名稱輸入 mySubnet。

安全性

網路安全性群組選取 [新建]
在 Name中輸入 mySubnet-nsg。
選取 [確定]。
選取 [檢閱 + 建立]。
檢閱設定，然後選取 [建立]。

設定	值
Azure Bastion 主機名稱	myVNet-Bastion。
Azure Bastion 公用 IP 位址	(新增) myVNet-bastion-publicIpAddress。

設定	值
子網路詳細資料
名稱	輸入 mySubnet。
安全性
網路安全性群組	選取 [新建] 在 Name中輸入 mySubnet-nsg。選取 [確定]。

使用 New-AzResourceGroup 來建立資源群組。 Azure 資源群組是在其中部署與管理 Azure 資源的邏輯容器。
```
# Create a resource group.
New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'
```

使用 New-AzNetworkSecurityGroup 建立預設網路安全性群組。

# Create a network security group.
$networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'

使用 New-AzVirtualNetworkSubnetConfig 建立虛擬機器子網路和堡壘主機子網路的子網路設定。

# Create subnets configuration.
$firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
$secondSubnet  = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet'  -AddressPrefix '10.0.1.0/26'

使用 New-AzVirtualNetwork 建立虛擬網路。

# Create a virtual network.
$vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet

使用 New-AzPublicIpAddress 建立 Bastion 主機所需的公用 IP 位址資源。

# Create a public IP address for Azure Bastion.
New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'

使用 New-AzBastion 建立 Bastion 主機。

# Create an Azure Bastion host.
New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' -PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet

使用 az group create 建立資源群組。 Azure 資源群組是在其中部署與管理 Azure 資源的邏輯容器。
```
# Create a resource group.
az group create --name 'myResourceGroup' --location 'eastus'
```

使用 az network nsg create 建立預設網路安全性群組。

# Create a network security group.
az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'

使用 az network vnet create 來建立虛擬網路。

az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg'

使用 az network vnet subnet create 建立 Azure Bastion 的子網路。

# Create AzureBastionSubnet.
az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'

使用 az network public-ip create 建立 Bastion 主機的公用 IP 位址。

# Create a public IP address resource.
az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard

使用 az network bastion create 建立 Bastion 主機。

az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'

重要

無論輸出資料使用量為何，每小時價格都是從部署 Bastion 主機的那一刻開始計費。如需詳細資訊，請參閱定價。建議您在完成使用此資源之後刪除此資源。

建立虛擬機器

在本節中，您會建立套用至其網路介面的虛擬機器和網路安全性群組。

在入口網站頂端的搜尋方塊中，輸入虛擬機器。在搜尋結果中，選取 [虛擬機器]。
選取 [+建立]，然後選取 [Azure 虛擬機器]。

在 [建立虛擬機器] 中，輸入或選取 [基本資訊] 索引標籤中的下列值：

設定	值
專案詳細資料
訂用帳戶	選取 Azure 訂閱。
資源群組	選取 myResourceGroup。
[執行個體詳細資料]
虛擬機器名稱	輸入 myVM。
區域	選取 [(美國) 美國東部]。
可用性選項	選取 [不需要基礎結構備援]。
安全性類型	選取 [標準]。
映像	選取 [Windows Server 2022 Datacenter：Azure Edition - x64 Gen2]。
大小	選擇大小或保留預設設定。
系統管理員帳戶
使用者名稱	輸入使用者名稱。
密碼	輸入密碼。
確認密碼	重新輸入密碼。

選取 [網路] 索引標籤，或選取 [下一步: 磁碟]，然後選取 [下一步: 網路]。

在 [網路] 索引標籤中選取下列值：

設定	值
網路介面
虛擬網路	選取 [myVNet]。
子網路	請選取 [預設]。
公用 IP	選取 [無]。
NIC 網路安全性群組	選取 [基本]。
公用輸入連接埠	選取 [無]。

選取 [檢閱 + 建立]。
檢閱設定，然後選取 [建立]。

使用 New-AzNetworkSecurityGroup 建立預設網路安全性群組。

# Create a default network security group.
New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus

使用 New-AzVM 建立虛擬機器。出現提示時，請輸入使用者名稱和密碼。

# Create a virtual machine using the latest Windows Server 2022 image.
New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'

使用 az network nsg create 建立預設網路安全性群組。

# Create a default network security group.
az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'

使用 az vm create 建立虛擬機器。出現提示時，請輸入使用者名稱和密碼。

# Create a virtual machine using the latest Windows Server 2022 image.
az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'

將安全性規則新增至網路安全性群組

在本節中，您會將安全性規則新增至與 myVM 網路介面相關聯的網路安全性群組。此規則會拒絕來自虛擬網路的任何輸入流量。

在入口網站頂端的搜尋方塊中，輸入網路安全性群組。從搜尋結果中選取 [網路安全組 ]。
從網路安全性群組清單中，選取 [myVM-nsg]。
在 [設定] 下，選取 [輸入安全性規則]。

選取 + 新增。在 [網路] 索引標籤中，輸入或選取下列值：

設定	值
來源	選取 [服務標記]。
來源服務標籤	選取 [VirtualNetwork]。
來源連接埠範圍	輸入 *。
Destination	選取 [任何]。
服務	選取自訂。
目的地連接埠範圍	輸入 *。
通訊協定	選取 [任何]。
動作	選取 [拒絕]。
優先順序	輸入 1000。
名稱	輸入 DenyVnetInBound。

選取 [新增]。

使用 Add-AzNetworkSecurityRuleConfig 建立安全性規則，以拒絕來自虛擬網路的流量。然後使用 Set-AzNetworkSecurityGroup，以新的安全性規則更新網路安全性群組。

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

使用 az network nsg rule create ，將安全性規則新增至網路安全性群組，以拒絕來自虛擬網路的流量。

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

注意

VirtualNetwork 服務標籤代表虛擬網路的位址空間、所有連線的內部部署位址空間、對等互連的虛擬網路、連線至虛擬網路閘道的虛擬網路、主機的虛擬 IP 位址，以及使用者定義路由上所使用的位址前置詞。如需詳細資訊，請參閱服務標籤。

檢查套用至虛擬機器流量的安全性規則

使用 NSG 診斷來檢查從 Bastion 子網路到虛擬機器之流量所套用的安全性規則。

在入口網站頂端的搜尋方塊中，搜尋並選取 [網路監看員]。
在 [網路診斷工具] 底下，選取 [NSG 診斷]。

在 [NSG 診斷] 頁面上，輸入或選取下列值：

設定	值
目標資源
目標資源類型	選取 [虛擬機器]。
虛擬機器	選取 [myVM] 虛擬機器。
流量詳細資料
通訊協定	選取 [TCP]。其他可用的選項包括：Any、UDP 及 ICMP。
方向	選取 [輸入]。其他可用的選項是：輸出。
來源類型	選取 [IPv4 位址/ CIDR]。其他可用的選項是：服務標籤。
IPv4 位址/CIDR	輸入 10.0.1.0/26，這是 Bastion 子網路的 IP 位址範圍。可接受的值為：單一 IP 位址、多個 IP 位址、單一 IP 前置詞、多個 IP 首碼。
目的地 IP 位址	將預設值保留為 10.0.0.4，這是 myVM 的 IP 位址。
目的地連接埠	輸入 * 以包含所有連接埠。

選取 [執行 NSG 診斷] 以執行測試。 NSG 診斷完成檢查所有安全性規則之後，會顯示結果。

結果顯示，有三個安全性規則會針對 Bastion 子網路的輸入連線進行評估：
- GlobalRules：此安全性管理規則會使用 Azure 虛擬網路管理在虛擬網路層級套用。此規則允許從 Bastion 子網路到虛擬機器的輸入 TCP 流量。
- mySubnet-nsg：此網路安全性群組會套用在子網路層級 (虛擬機器的子網路)。此規則允許從 Bastion 子網路到虛擬機器的輸入 TCP 流量。
- myVM-nsg：此網路安全性群組會套用在網路介面 (NIC) 層級。此規則拒絕從 Bastion 子網路到虛擬機器的輸入 TCP 流量。
選取 [myVM-nsg] 的 [檢視詳細資料]，以查看此網路安全性群組擁有的安全性規則詳細資料，以及拒絕流量的規則。

在 myVM-nsg 網路安全性群組中，安全性規則 DenyVnetInBound 會拒絕來自虛擬機器 VirtualNetwork 服務標籤位址空間的任何流量。 Bastion 主機會使用位址範圍中的 IP 位址：10.0.1.0/26，其中包含 VirtualNetwork 服務標籤，以連線到虛擬機器。因此，DenyVnetInBound 安全性規則會拒絕 Bastion 主機的連線。

使用 Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic 啟動 NSG 診斷工作階段。

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

系統將傳回與下列範例輸出類似的輸出：

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

結果顯示，有三個安全性規則會針對 Bastion 子網路的輸入連線進行評估：

GlobalRules：此安全性管理規則會使用 Azure 虛擬網路管理在虛擬網路層級套用。此規則允許從 Bastion 子網路到虛擬機器的輸入 TCP 流量。
mySubnet-nsg：此網路安全性群組會套用在子網路層級 (虛擬機器的子網路)。此規則允許從 Bastion 子網路到虛擬機器的輸入 TCP 流量。
myVM-nsg：此網路安全性群組會套用在網路介面 (NIC) 層級。此規則拒絕從 Bastion 子網路到虛擬機器的輸入 TCP 流量。

在 myVM-nsg 網路安全性群組中，安全性規則 DenyVnetInBound 會拒絕來自虛擬機器 VirtualNetwork 服務標籤位址空間的任何流量。 Bastion 主機會使用來自 10.0.1.0/26的 IP 位址，這些位址包含在 VirtualNetwork 服務標籤中，以連線到虛擬機器。因此，DenyVnetInBound 安全性規則會拒絕 Bastion 主機的連線。

使用 az network watcher run-configuration-diagnostic 啟動 NSG 診斷工作階段。

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

系統將傳回與下列範例輸出類似的輸出：

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

結果顯示，有三個安全性規則會針對 Bastion 子網路的輸入連線進行評估：

GlobalRules：此安全性管理規則會使用 Azure 虛擬網路管理在虛擬網路層級套用。此規則允許從 Bastion 子網路到虛擬機器的輸入 TCP 流量。
mySubnet-nsg：此網路安全性群組會套用在子網路層級 (虛擬機器的子網路)。此規則允許從 Bastion 子網路到虛擬機器的輸入 TCP 流量。
myVM-nsg：此網路安全性群組會套用在網路介面 (NIC) 層級。此規則拒絕從 Bastion 子網路到虛擬機器的輸入 TCP 流量。

新增安全性規則以允許來自 Bastion 子網路的流量

若要使用 Azure Bastion 連線到 myVM ，網路安全性群組必須允許來自 Bastion 子網路的流量。若要允許來自 10.0.1.0/26的流量，請新增優先順序高於 DenyVnetInBound 規則的安全性規則，或編輯 DenyVnetInBound 規則以允許來自 Bastion 子網路的流量。

您可以從網路監看員頁面將安全性規則新增至網路安全性群組，以顯示拒絕虛擬機器流量的安全性規則詳細資料。

若要從網路監看員內新增安全性規則，請選取 [+ 新增安全性規則]，然後輸入或選取下列值：

設定	值
來源	選取 [IP 位址]。
來源 IP 位址/CIDR 範圍	輸入 10.0.1.0/26，這是 Bastion 子網路的 IP 位址範圍。
來源連接埠範圍	輸入 *。
Destination	選取 [任何]。
服務	選取自訂。
目的地連接埠範圍	輸入 *。
通訊協定	選取 [任何]。
動作	選取允許。
優先順序	輸入 900，其優先順序高於用於 DenyVnetInBound 規則的 1000。
名稱	輸入 AllowBastionConnections。

選取 [重新檢查] 以再次執行診斷工作階段。診斷會話現在應該會顯示允許來自 Bastion 子網路的流量。

安全性規則 AllowBastionConnections 允許從 10.0.1.0/26 到虛擬機器的任何 IP 位址的流量。由於 Bastion 主機使用來自 10.0.1.0/26的 IP 位址，因此 AllowBastionConnections 安全性規則允許其與虛擬機器的連線。

使用 Add-AzNetworkSecurityRuleConfig 建立允許來自 Bastion 子網路流量的安全性規則。然後使用 Set-AzNetworkSecurityGroup，以新的安全性規則更新網路安全性群組。

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule.
Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
-Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

使用 Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic 以利使用新的 NSG 診斷工作階段重新檢查。

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the diagnostic session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

系統將傳回與下列範例輸出類似的輸出：

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Allow",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_AllowBastionConnections",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_AllowBastionConnections",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

安全性規則 AllowBastionConnections 允許從 10.0.1.0/26 到虛擬機器的任何 IP 位址的流量。由於 Bastion 主機使用來自 10.0.1.0/26的 IP 位址，因此 AllowBastionConnections 安全性規則允許其與虛擬機器的連線。

使用 az network nsg rule create，將安全性規則新增至網路安全性群組，以允許來自 Bastion 子網路的流量。

# Add a security rule to the network security group.
az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
--access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

使用 az network watcher run-configuration-diagnostic 以利使用新的 NSG 診斷工作階段重新檢查。

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

系統將傳回與下列範例輸出類似的輸出：

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "UserRule_AllowBastionConnections"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_AllowBastionConnections",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Allow"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

清除資源

當不再需要資源群組時，請將資源群組及其包含的所有資源刪除：

在入口網站頂端的搜尋方塊中，輸入 myResourceGroup。從搜尋結果中選取 [myResourceGroup]。
選取 [刪除資源群組]。
在 [刪除資源群組] 中，輸入 myResourceGroup，然後選取 [刪除]。
選取 [刪除] 以確認刪除資源群組及其所有資源。

使用 Remove-AzResourceGroup 刪除資源群組及其包含的所有資源。

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

使用 az group delete 以利移除資源群組及其包含的所有資源

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

下一步

若要瞭解其他網路監看員工具，請參閱什麼是 Azure 網路監看員？
若要瞭解如何疑難排解虛擬機器網路路由問題，請參閱診斷虛擬機器網路路由問題。

共用方式為

診斷網路安全性規則

必要條件

建立虛擬網路和 Bastion 主機

建立虛擬機器

將安全性規則新增至網路安全性群組

檢查套用至虛擬機器流量的安全性規則

新增安全性規則以允許來自 Bastion 子網路的流量

清除資源

下一步

意見反應

其他資源