Netwerkbeveiligingsregels diagnosticeren

In dit artikel leert u hoe u diagnostische gegevens van Azure Network Watcher NSG gebruikt om beveiligingsregels te controleren en op te lossen die zijn toegepast op uw Azure-verkeer via netwerkbeveiligingsgroepen en Azure Virtual Network Manager. NSG-diagnose controleert of het verkeer wordt toegestaan of geweigerd door toegepaste beveiligingsregels.

In het voorbeeld in dit artikel ziet u hoe een onjuist geconfigureerde netwerkbeveiligingsgroep kan voorkomen dat u Azure Bastion gebruikt om verbinding te maken met een virtuele machine.

Vereisten

Portal

• Een Azure-account met een actief abonnement. Gratis een account maken

• Meld u met uw Azure-account aan bij Azure Portal.

PowerShell

• Een Azure-account met een actief abonnement. Gratis een account maken

• Azure Cloud Shell of Azure PowerShell.

  Met de stappen in dit artikel worden de Azure PowerShell-cmdlets interactief uitgevoerd in Azure Cloud Shell. Als u de opdrachten in Cloud Shell wilt uitvoeren, selecteert u Cloud Shell openen in de rechterbovenhoek van een codeblok. Selecteer Kopiëren om de code te kopiëren en plak deze in Cloud Shell om deze uit te voeren. U kunt Cloud Shell ook uitvoeren vanuit Azure Portal.

  U kunt Azure PowerShell ook lokaal installeren om de cmdlets uit te voeren. Voor dit artikel is de Az PowerShell-module vereist. Zie Azure PowerShell installeren voor meer informatie. Voer Get-InstalledModule -Name Az uit om te zien welke versie is geïnstalleerd. Als u PowerShell lokaal uitvoert, meldt u zich aan bij Azure met behulp van de cmdlet Connect-AzAccount .

Azure-CLI

• Een Azure-account met een actief abonnement. Gratis een account maken

• Azure Cloud Shell of Azure CLI.

  In de stappen in dit artikel worden de Azure CLI-opdrachten interactief uitgevoerd in Azure Cloud Shell. Als u de opdrachten in Cloud Shell wilt uitvoeren, selecteert u Cloud Shell openen in de rechterbovenhoek van een codeblok. Selecteer Kopiëren om de code te kopiëren en plak deze in Cloud Shell om deze uit te voeren. U kunt Cloud Shell ook uitvoeren vanuit Azure Portal.

  U kunt Azure CLI ook lokaal installeren om de opdrachten uit te voeren. Als u Azure CLI lokaal uitvoert, meldt u zich aan bij Azure met behulp van de opdracht az login .

Een virtueel netwerk en een Bastion-host maken

In deze sectie maakt u een virtueel netwerk met twee subnetten en een Azure Bastion-host. Het eerste subnet wordt gebruikt voor de virtuele machine en het tweede subnet wordt gebruikt voor de Bastion-host. U maakt ook een netwerkbeveiligingsgroep en past deze toe op het eerste subnet.

Portal

1. Voer in het zoekvak boven aan de portal virtuele netwerken in. Selecteer Virtuele netwerken in de zoekresultaten.

   

2. Selecteer + Maken. Voer in Virtueel netwerk maken de volgende waarden in of selecteer deze op het tabblad Basisbeginselen:

   Instelling	Weergegeven als
   Projectgegevens
   Abonnement	Selecteer uw Azure-abonnement.
   Resourcegroep	Selecteer Nieuw maken. Voer myResourceGroup in Naam in. Selecteer OK.
   Exemplaardetails
   Naam van virtueel netwerk	Voer myVNet in.
   Regio	Selecteer (VS) VS - oost.

3. Selecteer het tabblad Beveiliging of selecteer de knop Volgende onder aan de pagina.

4. Selecteer Onder Azure Bastion de optie Azure Bastion inschakelen en accepteer de standaardwaarden:

   Instelling	Weergegeven als
   Azure Bastion-hostnaam	myVNet-Bastion.
   Openbaar IP-adres van Azure Bastion	(Nieuw) myVNet-bastion-publicIpAddress.

5. Selecteer het tabblad IP-adressen of selecteer de knop Volgende onder aan de pagina.

6. Accepteer de standaard-IP-adresruimte 10.0.0.0/16 en bewerk het standaardsubnet door het potloodpictogram te selecteren. Voer op de pagina Subnet bewerken de volgende waarden in:

   Instelling	Weergegeven als
   Details van subnet
   Naam	Voer mySubnet in.
   Beveiliging
   Netwerkbeveiligingsgroep	Selecteer Nieuw maken. Voer mySubnet-nsg in naam in. Selecteer OK.

7. Selecteer beoordelen en maken.

8. Controleer de instellingen en selecteer vervolgens Maken.

PowerShell

1. Maak een resourcegroep met New-AzResourceGroup. Een Azure-resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.

   # Create a resource group.
   New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'
   

2. Maak een standaardnetwerkbeveiligingsgroep met behulp van New-AzNetworkSecurityGroup.

   # Create a network security group.
   $networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. Maak een subnetconfiguratie voor het subnet van de virtuele machine en het Bastion-hostsubnet met behulp van New-AzVirtualNetworkSubnetConfig.

   # Create subnets configuration.
   $firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
   $secondSubnet  = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet'  -AddressPrefix '10.0.1.0/26'
   

4. Maak een virtueel netwerk met behulp van New-AzVirtualNetwork.

   # Create a virtual network.
   $vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet
   

5. Maak de openbare IP-adresresource die is vereist voor de Bastion-host met behulp van New-AzPublicIpAddress.

   # Create a public IP address for Azure Bastion.
   New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'
   

6. Maak de Bastion-host met behulp van New-AzBastion.

   # Create an Azure Bastion host.
   New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' -PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet
   

Azure-CLI

1. Maak een resourcegroep met de opdracht az group create. Een Azure-resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.

   # Create a resource group.
   az group create --name 'myResourceGroup' --location 'eastus'
   

2. Maak een standaardnetwerkbeveiligingsgroep met az network nsg create.

   # Create a network security group.
   az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

3. Maak een virtueel netwerk met az network vnet create.

   az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg' 
   

4. Maak een subnet voor Azure Bastion met behulp van az network vnet subnet create.

   # Create AzureBastionSubnet.
   az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'
   

5. Maak een openbaar IP-adres voor de Bastion-host met behulp van az network public-ip create.

   # Create a public IP address resource.
   az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard
   

6. Maak een Bastion-host met az network bastion create.

   az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'
   

Belangrijk

De prijzen per uur beginnen vanaf het moment dat de Bastion-host wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Ga voor meer informatie naar Prijzen. U wordt aangeraden deze resource te verwijderen zodra u klaar bent met het gebruik ervan.

Maak een virtuele machine

In deze sectie maakt u een virtuele machine en een netwerkbeveiligingsgroep die is toegepast op de netwerkinterface.

Portal

1. Voer in het zoekvak boven aan de portal virtuele machines in. Selecteer Virtuele machines in de zoekresultaten.

2. Selecteer + Maken en selecteer vervolgens virtuele Azure-machine.

3. In Een virtuele machine maken voert u de volgende waarden in of selecteert u deze op het tabblad Basisinformatie:

   Instelling	Weergegeven als
   Projectgegevens
   Abonnement	Selecteer uw Azure-abonnement.
   Resourcegroep	Selecteer myResourceGroup.
   Exemplaardetails
   Virtual machine name	Voer myVM in.
   Regio	Selecteer (VS) VS - oost.
   Beschikbaarheidsopties	Selecteer Geen infrastructuurredundantie vereist.
   Beveiligingstype	Selecteer Standaard.
   Afbeelding	Selecteer Windows Server 2022 Datacenter: Azure Edition - x64 Gen2.
   Tekengrootte	Kies een grootte of laat de standaardinstelling staan.
   Beheerdersaccount
   Username	Voer een gebruikersnaam in.
   Wachtwoord	Voer een wachtwoord in.
   Wachtwoord bevestigen	Voer het wachtwoord opnieuw in.

4. Selecteer het tabblad Netwerken of selecteer Volgende: Schijven en vervolgens Volgende: Netwerken.

5. Selecteer op het tabblad Netwerken de volgende waarden:

   Instelling	Weergegeven als
   Netwerkinterface
   Virtueel netwerk	Selecteer myVNet.
   Subnet	Selecteer de standaardwaarde.
   Openbare IP	Selecteer Geen.
   NIC-netwerkbeveiligingsgroep	Selecteer Basic.
   Openbare poorten voor inkomend verkeer	Selecteer Geen.

6. Selecteer Controleren + maken.

7. Controleer de instellingen en selecteer vervolgens Maken.

PowerShell

1. Maak een standaardnetwerkbeveiligingsgroep met behulp van New-AzNetworkSecurityGroup.

   # Create a default network security group.
   New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus
   

2. Een virtuele machine maken met New-AzVM. Voer een gebruikersnaam en wachtwoord in wanneer u hierom wordt gevraagd.

   # Create a virtual machine using the latest Windows Server 2022 image.
   New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'
   

Azure-CLI

1. Maak een standaardnetwerkbeveiligingsgroep met az network nsg create.

   # Create a default network security group.
   az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

2. Maak een virtuele machine met az vm create. Voer een gebruikersnaam en wachtwoord in wanneer u hierom wordt gevraagd.

   # Create a virtual machine using the latest Windows Server 2022 image.
   az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'
   

Een beveiligingsregel toevoegen aan de netwerkbeveiligingsgroep

In deze sectie voegt u een beveiligingsregel toe aan de netwerkbeveiligingsgroep die is gekoppeld aan de netwerkinterface van myVM. De regel weigert binnenkomend verkeer van het virtuele netwerk.

Portal

1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroepen in. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer myVM-nsg in de lijst met netwerkbeveiligingsgroepen.

3. Selecteer onder InstellingenInkomende beveiligingsregels.

4. Selecteer + Toevoegen. Voer op het tabblad Netwerken de volgende waarden in of selecteer deze:

   Instelling	Waarde
   Bron	selecteer Servicetag.
   Bronservicetag	Selecteer VirtualNetwork.
   Poortbereiken van bron	Binnenkomen*.
   Bestemming	Selecteer Een.
   Service	Selecteer Aangepast.
   Poortbereiken van doel	Binnenkomen*.
   Protocol	Selecteer Een.
   Actie	Selecteer Weigeren.
   Prioriteit	Voer 1000 in.
   Naam	Voer DenyVnetInBound in.

5. Selecteer Toevoegen.

   

PowerShell

Gebruik Add-AzNetworkSecurityRuleConfig om een beveiligingsregel te maken waarmee verkeer van het virtuele netwerk wordt geweigerd. Gebruik Vervolgens Set-AzNetworkSecurityGroup om de netwerkbeveiligingsgroep bij te werken met de nieuwe beveiligingsregel.

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure-CLI

Gebruik az network nsg rule create om toe te voegen aan de netwerkbeveiligingsgroep een beveiligingsregel die verkeer van het virtuele netwerk weigert.

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

Notitie

De VirtualNetwork-servicetag vertegenwoordigt de adresruimte van het virtuele netwerk, alle verbonden on-premises adresruimten, gekoppelde virtuele netwerken, virtuele netwerken die zijn verbonden met een virtuele netwerkgateway, het virtuele IP-adres van de host en adresvoorvoegsels die worden gebruikt voor door de gebruiker gedefinieerde routes. Zie Servicetags voor meer informatie.

Beveiligingsregels controleren die worden toegepast op verkeer van een virtuele machine

Gebruik NSG-diagnostische gegevens om de beveiligingsregels te controleren die zijn toegepast op het verkeer dat afkomstig is van het Bastion-subnet naar de virtuele machine.

Portal

1. Zoek en selecteer Network Watcher in het zoekvak boven aan de portal.

2. Selecteer onder Diagnostische hulpprogramma's voor netwerk de optie NSG-diagnostische gegevens.

3. Voer op de pagina diagnostische gegevens van de NSG de volgende waarden in of selecteer deze:

   Instelling	Weergegeven als
   Doelresource
   Doelbrontype	Virtuele machine selecteren.
   Virtuele machine	Selecteer de virtuele machine myVM .
   Verkeersdetails
   Protocol	Selecteer TCP. Andere beschikbare opties zijn: Any, UDP en ICMP.
   Richting	Selecteer Inkomend. Andere beschikbare optie is: Uitgaand.
   Brontype	Selecteer IPv4-adres/CIDR. Andere beschikbare optie is: Servicetag.
   IPv4-adres/CIDR	Voer 10.0.1.0/26 in. Dit is het IP-adresbereik van het Bastion-subnet. Acceptabele waarden zijn: één IP-adres, meerdere IP-adressen, één IP-voorvoegsel, meerdere IP-voorvoegsels.
   IP-adres van doel	Laat de standaardwaarde 10.0.0.4 staan. Dit is het IP-adres van myVM.
   Doelpoort	Voer * in om alle poorten op te nemen.

   

4. Selecteer NSG-diagnose uitvoeren om de test uit te voeren. Zodra de NSG-diagnose alle beveiligingsregels heeft gecontroleerd, wordt het resultaat weergegeven.

   

   Het resultaat laat zien dat er drie beveiligingsregels zijn geëvalueerd voor de binnenkomende verbinding vanuit het Bastion-subnet:

   • GlobalRules: deze beveiligingsbeheerdersregel wordt toegepast op het niveau van het virtuele netwerk met behulp van Azure Virtual Network Manage. De regel staat binnenkomend TCP-verkeer van het Bastion-subnet naar de virtuele machine toe.
   • mySubnet-nsg: deze netwerkbeveiligingsgroep wordt toegepast op subnetniveau (subnet van de virtuele machine). De regel staat binnenkomend TCP-verkeer van het Bastion-subnet naar de virtuele machine toe.
   • myVM-nsg: deze netwerkbeveiligingsgroep wordt toegepast op het niveau van de netwerkinterface (NIC). De regel weigert binnenkomend TCP-verkeer van het Bastion-subnet naar de virtuele machine.

5. Selecteer Details van myVM-nsg weergeven om details te bekijken over de beveiligingsregels die deze netwerkbeveiligingsgroep heeft en welke regel het verkeer weigert.

   

   In myVM-nsg-netwerkbeveiligingsgroep weigert de beveiligingsregel DenyVnetInBound al het verkeer dat afkomstig is van de adresruimte van de VirtualNetwork-servicetag naar de virtuele machine. De Bastion-host maakt gebruik van IP-adressen uit het adresbereik: 10.0.1.0/26, die is opgenomen in de servicetag VirtualNetwork , om verbinding te maken met de virtuele machine. Daarom wordt de verbinding van de Bastion-host geweigerd door de beveiligingsregel DenyVnetInBound .

PowerShell

Gebruik Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic om de diagnostische NSG-sessie te starten.

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

Er wordt uitvoer geretourneerd die er ongeveer zo uitziet als in dit voorbeeld:

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

Het resultaat laat zien dat er drie beveiligingsregels zijn geëvalueerd voor de binnenkomende verbinding vanuit het Bastion-subnet:

• GlobalRules: deze beveiligingsbeheerdersregel wordt toegepast op het niveau van het virtuele netwerk met behulp van Azure Virtual Network Manage. De regel staat binnenkomend TCP-verkeer van het Bastion-subnet naar de virtuele machine toe.
• mySubnet-nsg: deze netwerkbeveiligingsgroep wordt toegepast op subnetniveau (subnet van de virtuele machine). De regel staat binnenkomend TCP-verkeer van het Bastion-subnet naar de virtuele machine toe.
• myVM-nsg: deze netwerkbeveiligingsgroep wordt toegepast op het niveau van de netwerkinterface (NIC). De regel weigert binnenkomend TCP-verkeer van het Bastion-subnet naar de virtuele machine.

In myVM-nsg-netwerkbeveiligingsgroep weigert de beveiligingsregel DenyVnetInBound al het verkeer dat afkomstig is van de adresruimte van de VirtualNetwork-servicetag naar de virtuele machine. De Bastion-host maakt gebruik van IP-adressen van 10.0.1.0/26, die zijn opgenomen virtualNetwork-servicetag , om verbinding te maken met de virtuele machine. Daarom wordt de verbinding van de Bastion-host geweigerd door de beveiligingsregel DenyVnetInBound .

Azure-CLI

Gebruik az network watcher run-configuration-diagnostic om de NSG diagnostics-sessie te starten.

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

Er wordt uitvoer geretourneerd die er ongeveer zo uitziet als in dit voorbeeld:

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

Het resultaat laat zien dat er drie beveiligingsregels zijn geëvalueerd voor de binnenkomende verbinding vanuit het Bastion-subnet:

• GlobalRules: deze beveiligingsbeheerdersregel wordt toegepast op het niveau van het virtuele netwerk met behulp van Azure Virtual Network Manage. De regel staat binnenkomend TCP-verkeer van het Bastion-subnet naar de virtuele machine toe.
• mySubnet-nsg: deze netwerkbeveiligingsgroep wordt toegepast op subnetniveau (subnet van de virtuele machine). De regel staat binnenkomend TCP-verkeer van het Bastion-subnet naar de virtuele machine toe.
• myVM-nsg: deze netwerkbeveiligingsgroep wordt toegepast op het niveau van de netwerkinterface (NIC). De regel weigert binnenkomend TCP-verkeer van het Bastion-subnet naar de virtuele machine.

In myVM-nsg-netwerkbeveiligingsgroep weigert de beveiligingsregel DenyVnetInBound al het verkeer dat afkomstig is van de adresruimte van de VirtualNetwork-servicetag naar de virtuele machine. De Bastion-host maakt gebruik van IP-adressen van 10.0.1.0/26, die zijn opgenomen virtualNetwork-servicetag , om verbinding te maken met de virtuele machine. Daarom wordt de verbinding van de Bastion-host geweigerd door de beveiligingsregel DenyVnetInBound .

Een beveiligingsregel toevoegen om verkeer van het Bastion-subnet toe te staan

Als u verbinding wilt maken met myVM met behulp van Azure Bastion, moet verkeer van het Bastion-subnet worden toegestaan door de netwerkbeveiligingsgroep. Als u verkeer wilt toestaan vanaf 10.0.1.0/26, voegt u een beveiligingsregel toe met een hogere prioriteit (lager prioriteitsnummer) dan DenyVnetInBound-regel of bewerkt u de regel DenyVnetInBound om verkeer van het Bastion-subnet toe te staan.

Portal

U kunt de beveiligingsregel toevoegen aan de netwerkbeveiligingsgroep op de pagina Network Watcher waarop u de details hebt getoond over de beveiligingsregel die het verkeer naar de virtuele machine weigert.

1. Als u de beveiligingsregel vanuit Network Watcher wilt toevoegen, selecteert u + Beveiligingsregel toevoegen en voert u de volgende waarden in of selecteert u deze:

   Instelling	Waarde
   Bron	Selecteer IP-adressen.
   IP-adressen/CIDR-bereiken van bron	Voer 10.0.1.0/26 in. Dit is het IP-adresbereik van het Bastion-subnet.
   Poortbereiken van bron	Binnenkomen*.
   Bestemming	Selecteer Een.
   Service	Selecteer Aangepast.
   Poortbereiken van doel	Binnenkomen*.
   Protocol	Selecteer Een.
   Actie	Selecteer Toestaan.
   Prioriteit	Voer 900 in. Dit is een hogere prioriteit dan 1000 die wordt gebruikt voor de regel DenyVnetInBound .
   Naam	Voer AllowBastionConnections in.

   

2. Selecteer Opnieuw controleren om de diagnostische sessie opnieuw uit te voeren. In de diagnostische sessie moet nu worden aangegeven dat het verkeer van het Bastion-subnet is toegestaan.

   

   Met de beveiligingsregel AllowBastionConnections kan het verkeer van elk IP-adres in 10.0.1.0/26 naar de virtuele machine worden toegestaan. Omdat de Bastion-host IP-adressen van 10.0.1.0/26 gebruikt, wordt de verbinding met de virtuele machine toegestaan door de beveiligingsregel AllowBastionConnections .

PowerShell

1. Gebruik Add-AzNetworkSecurityRuleConfig om een beveiligingsregel te maken waarmee verkeer van het Bastion-subnet wordt toegestaan. Gebruik Vervolgens Set-AzNetworkSecurityGroup om de netwerkbeveiligingsgroep bij te werken met de nieuwe beveiligingsregel.

   # Place the network security group configuration into a variable.
   $networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
   # Create a security rule.
   Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
   -Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
   # Updates the network security group.
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup 
   

2. Gebruik Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic om opnieuw te controleren met behulp van een nieuwe NSG-diagnostische sessie.

   # Create a profile for the diagnostic session.
   $profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
   # Place the virtual machine configuration into a variable.
   $vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
   # Start the diagnostic session.
   Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List
   

   Er wordt uitvoer geretourneerd die er ongeveer zo uitziet als in dit voorbeeld:

   Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
   ResultsText : [
                   {
                     "Profile": {
                       "Direction": "Inbound",
                       "Protocol": "Tcp",
                       "Source": "10.0.1.0/26",
                       "Destination": "10.0.0.4",
                       "DestinationPort": "*"
                     },
                     "NetworkSecurityGroupResult": {
                       "SecurityRuleAccessResult": "Allow",
                       "EvaluatedNetworkSecurityGroups": [
                         {
                           "NetworkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                           "MatchedRule": {
                             "RuleName": "VirtualNetwork",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "VirtualNetwork",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                           "MatchedRule": {
                             "RuleName": "DefaultRule_AllowVnetInBound",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "DefaultRule_AllowVnetInBound",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                           "MatchedRule": {
                             "RuleName": "UserRule_AllowBastionConnections",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "UserRule_AllowBastionConnections",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         }
                       ]
                     }
                   }
                 ]
   

   Met de beveiligingsregel AllowBastionConnections kan het verkeer van elk IP-adres in 10.0.1.0/26 naar de virtuele machine worden toegestaan. Omdat de Bastion-host IP-adressen van 10.0.1.0/26 gebruikt, wordt de verbinding met de virtuele machine toegestaan door de beveiligingsregel AllowBastionConnections .

Azure-CLI

1. Gebruik az network nsg rule create om toe te voegen aan de netwerkbeveiligingsgroep een beveiligingsregel die verkeer van het Bastion-subnet toestaat.

   # Add a security rule to the network security group.
   az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
   --access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
   --destination-address-prefixes '*' --destination-port-ranges '*'
   

2. Gebruik az network watcher run-configuration-diagnostic om opnieuw te controleren met behulp van een nieuwe NSG diagnostics-sessie.

   # Start the the NSG diagnostics session.
   az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'
   

   Er wordt uitvoer geretourneerd die er ongeveer zo uitziet als in dit voorbeeld:

   {
     "results": [
       {
         "networkSecurityGroupResult": {
           "evaluatedNetworkSecurityGroups": [
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "VirtualNetwork"
               },
               "networkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "VirtualNetwork",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "DefaultRule_AllowVnetInBound"
               },
               "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "DefaultRule_AllowVnetInBound",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "UserRule_AllowBastionConnections"
               },
               "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "UserRule_AllowBastionConnections",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             }
           ],
           "securityRuleAccessResult": "Allow"
         },
         "profile": {
           "destination": "10.0.0.4",
           "destinationPort": "*",
           "direction": "Inbound",
           "protocol": "TCP",
           "source": "10.0.1.0/26"
         }
       }
     ]
   }
   

   Met de beveiligingsregel AllowBastionConnections kan het verkeer van elk IP-adres in 10.0.1.0/26 naar de virtuele machine worden toegestaan. Omdat de Bastion-host IP-adressen van 10.0.1.0/26 gebruikt, wordt de verbinding met de virtuele machine toegestaan door de beveiligingsregel AllowBastionConnections .

Resources opschonen

U kunt de resourcegroep en alle gerelateerde resources die deze bevat verwijderen wanneer u deze niet meer nodig hebt:

Portal

1. Voer myResourceGroup in het zoekvak bovenin de portal in. Selecteer myResourceGroup in de zoekresultaten.

2. Selecteer Resourcegroep verwijderen.

3. Voer in Een resourcegroep verwijderen myResourceGroup in en selecteer Vervolgens Verwijderen.

4. Selecteer Verwijderen om het verwijderen van de resourcegroep en alle bijbehorende resources te bevestigen.

PowerShell

Gebruik Remove-AzResourceGroup om de resourcegroep en alle resources die deze bevat te verwijderen.

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

Azure-CLI

Az group delete gebruiken om de resourcegroep en alle resources die deze bevat te verwijderen

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

Gerelateerde inhoud

• Zie Wat is Azure Network Watcher voor meer informatie over andere Hulpprogramma's van Network Watcher?
• Zie Diagnose van een routeringsprobleem voor virtuele machines voor meer informatie over het oplossen van routeringsproblemen met virtuele machines.