Diagnosticar regras de segurança de rede

Neste artigo, você aprenderá a usar o diagnóstico NSG do Azure Network Watcher para verificar e solucionar problemas de regras de segurança aplicadas ao seu tráfego do Azure por meio de grupos de segurança de rede e do Azure Virtual Network Manager. O diagnóstico NSG verifica se o tráfego é permitido ou negado pelas regras de segurança aplicadas.

O exemplo neste artigo mostra como um grupo de segurança de rede mal configurado pode impedir que você use o Azure Bastion para se conectar a uma máquina virtual.

Pré-requisitos

Portal

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

• Inicie sessão no portal do Azure com a sua conta do Azure.

PowerShell

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

• Azure Cloud Shell ou Azure PowerShell.

  As etapas neste artigo executam os cmdlets do Azure PowerShell interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

  Você também pode instalar o Azure PowerShell localmente para executar os cmdlets. Este artigo requer o módulo Az PowerShell. Para obter mais informações, consulte Como instalar o Azure PowerShell. Para localizar a versão instalada, execute Get-InstalledModule -Name Az. Se você executar o PowerShell localmente, entre no Azure usando o cmdlet Connect-AzAccount .

CLI do Azure

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

• Azure Cloud Shell ou CLI do Azure.

  As etapas neste artigo executam os comandos da CLI do Azure interativamente no Azure Cloud Shell. Para executar os comandos no Cloud Shell, selecione Open Cloud Shell no canto superior direito de um bloco de código. Selecione Copiar para copiar o código e cole-o no Cloud Shell para executá-lo. Você também pode executar o Cloud Shell de dentro do portal do Azure.

  Você também pode instalar a CLI do Azure localmente para executar os comandos. Se você executar a CLI do Azure localmente, entre no Azure usando o comando az login .

Criar uma rede virtual e um host Bastion

Nesta seção, você cria uma rede virtual com duas sub-redes e um host do Azure Bastion. A primeira sub-rede é usada para a máquina virtual e a segunda sub-rede é usada para o host Bastion. Você também cria um grupo de segurança de rede e o aplica à primeira sub-rede.

Portal

1. Na caixa de pesquisa na parte superior do portal, insira redes virtuais. Selecione Redes virtuais nos resultados da pesquisa.

   

2. Selecione + Criar. Em Criar rede virtual, insira ou selecione os seguintes valores na guia Noções básicas :

   Definição	Value
   Detalhes do Projeto
   Subscrição	Selecione a subscrição do Azure.
   Grupo de Recursos	Selecione Criar novo. Digite myResourceGroup em Name. Selecione OK.
   Detalhes da instância
   Nome da rede virtual	Introduza myVNet.
   País/Região	Selecione (EUA) Leste dos EUA.

3. Selecione a guia Segurança ou selecione o botão Avançar na parte inferior da página.

4. Em Azure Bastion, selecione Habilitar Azure Bastion e aceite os valores padrão:

   Definição	Value
   Nome do host do Azure Bastion	myVNet-Bastion.
   Endereço IP público do Azure Bastion	(Novo) myVNet-bastion-publicIpAddress.

5. Selecione a guia Endereços IP ou selecione o botão Avançar na parte inferior da página.

6. Aceite o espaço de endereço IP padrão 10.0.0.0/16 e edite a sub-rede padrão selecionando o ícone de lápis. Na página Editar sub-rede , insira os seguintes valores:

   Definição	Value
   Detalhes da sub-rede
   Nome	Digite mySubnet.
   Segurança
   Grupo de segurança de rede	Selecione Criar novo. Digite mySubnet-nsg em Nome. Selecione OK.

7. Selecione Rever + criar.

8. Reveja as definições e, em seguida, selecione Criar.

PowerShell

1. Crie um grupo de recursos usando New-AzResourceGroup. Um grupo de recursos do Azure é um contentor lógico no qual os recursos do Azure são implementados e geridos.

   # Create a resource group.
   New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'
   

2. Crie um grupo de segurança de rede padrão usando New-AzNetworkSecurityGroup.

   # Create a network security group.
   $networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. Crie uma configuração de sub-rede para a sub-rede da máquina virtual e a sub-rede do host Bastion usando New-AzVirtualNetworkSubnetConfig.

   # Create subnets configuration.
   $firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
   $secondSubnet  = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet'  -AddressPrefix '10.0.1.0/26'
   

4. Crie uma rede virtual usando New-AzVirtualNetwork.

   # Create a virtual network.
   $vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet
   

5. Crie o recurso de endereço IP público necessário para o host Bastion usando New-AzPublicIpAddress.

   # Create a public IP address for Azure Bastion.
   New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'
   

6. Crie o host Bastion usando New-AzBastion.

   # Create an Azure Bastion host.
   New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' -PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet
   

CLI do Azure

1. Crie um grupo de recursos com az group create. Um grupo de recursos do Azure é um contentor lógico no qual os recursos do Azure são implementados e geridos.

   # Create a resource group.
   az group create --name 'myResourceGroup' --location 'eastus'
   

2. Crie um grupo de segurança de rede padrão usando az network nsg create.

   # Create a network security group.
   az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

3. Crie uma rede virtual usando az network vnet create.

   az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg' 
   

4. Crie uma sub-rede para o Azure Bastion usando az network vnet subnet create.

   # Create AzureBastionSubnet.
   az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'
   

5. Crie um endereço IP público para o host Bastion usando az network public-ip create.

   # Create a public IP address resource.
   az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard
   

6. Crie um host Bastion usando az network bastion create.

   az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'
   

Importante

O preço por hora começa a partir do momento em que o host Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, veja os Preços. Recomendamos que elimine este recurso assim que terminar de o utilizar.

Criar uma máquina virtual

Nesta seção, você cria uma máquina virtual e um grupo de segurança de rede aplicado à sua interface de rede.

Portal

1. Na caixa de pesquisa na parte superior do portal, insira máquinas virtuais. Selecione Máquinas virtuais nos resultados da pesquisa.

2. Selecione + Criar e, em seguida, selecione Máquina virtual do Azure.

3. Em Criar uma máquina virtual, insira ou selecione os seguintes valores na guia Noções básicas :

   Definição	Value
   Detalhes do Projeto
   Subscrição	Selecione a subscrição do Azure.
   Grupo de Recursos	Selecione myResourceGroup.
   Detalhes da instância
   Virtual machine name	Digite myVM.
   País/Região	Selecione (EUA) Leste dos EUA.
   Opções de disponibilidade	Selecione Sem necessidade de redundância de infraestrutura.
   Tipo de segurança	selecione Standard.
   Image	Selecione Windows Server 2022 Datacenter: Azure Edition - x64 Gen2.
   Tamanho	Escolha um tamanho ou deixe a configuração padrão.
   Conta de administrador
   Username	Introduza um nome de utilizador.
   Palavra-passe	Introduza uma palavra-passe.
   Confirme a palavra-passe	Reintroduza a palavra-passe.

4. Selecione a guia Rede ou selecione Avançar: Discos e, em seguida, Avançar: Rede.

5. Na guia Rede, selecione os seguintes valores:

   Definição	Value
   Interface de Rede
   Rede virtual	Selecione myVNet.
   Sub-rede	Selecione o padrão.
   IP público	Selecione Nenhuma.
   Grupo de segurança de rede NIC	Selecione Básico.
   Portas de entrada públicas	Selecione Nenhuma.

6. Selecione Rever + criar.

7. Reveja as definições e, em seguida, selecione Criar.

PowerShell

1. Crie um grupo de segurança de rede padrão usando New-AzNetworkSecurityGroup.

   # Create a default network security group.
   New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus
   

2. Crie uma máquina virtual usando New-AzVM. Quando solicitado, digite um nome de usuário e senha.

   # Create a virtual machine using the latest Windows Server 2022 image.
   New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'
   

CLI do Azure

1. Crie um grupo de segurança de rede padrão usando az network nsg create.

   # Create a default network security group.
   az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

2. Crie uma máquina virtual usando az vm create. Quando solicitado, digite um nome de usuário e senha.

   # Create a virtual machine using the latest Windows Server 2022 image.
   az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'
   

Adicionar uma regra de segurança ao grupo de segurança de rede

Nesta seção, você adiciona uma regra de segurança ao grupo de segurança de rede associado à interface de rede de myVM. A regra nega qualquer tráfego de entrada da rede virtual.

Portal

1. Na caixa de pesquisa na parte superior do portal, insira grupos de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

2. Na lista de grupos de segurança de rede, selecione myVM-nsg.

3. Em Definições, selecione Regras de segurança de entrada.

4. Selecione + Adicionar. Na guia Rede, insira ou selecione os seguintes valores:

   Definição	Value
   Source	Selecione Etiqueta de serviço.
   Etiqueta de serviço de origem	Selecione VirtualNetwork.
   Intervalo de portas de origem	Digite *.
   Destino	Selecione Qualquer.
   Serviço	Selecione Personalizado.
   Intervalos de portas de destino	Digite *.
   Protocolo	Selecione Qualquer.
   Ação	Selecione Negar.
   Prioridade	Digite 1000.
   Nome	Digite DenyVnetInBound.

5. Selecione Adicionar.

   

PowerShell

Use Add-AzNetworkSecurityRuleConfig para criar uma regra de segurança que negue o tráfego da rede virtual. Em seguida, use Set-AzNetworkSecurityGroup para atualizar o grupo de segurança de rede com a nova regra de segurança.

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

CLI do Azure

Use az network nsg rule create para adicionar ao grupo de segurança de rede uma regra de segurança que negue o tráfego da rede virtual.

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

Nota

A marca de serviço VirtualNetwork representa o espaço de endereço da rede virtual, todos os espaços de endereço locais conectados, redes virtuais emparelhadas, redes virtuais conectadas a um gateway de rede virtual, o endereço IP virtual do host e prefixos de endereço usados em rotas definidas pelo usuário. Para obter mais informações, consulte Tags de serviço.

Verificar as regras de segurança aplicadas ao tráfego de uma máquina virtual

Use o diagnóstico NSG para verificar as regras de segurança aplicadas ao tráfego originado da sub-rede Bastion para a máquina virtual.

Portal

1. Na caixa de pesquisa na parte superior do portal, procure e selecione Observador de Rede.

2. Em Ferramentas de diagnóstico de rede, selecione Diagnóstico NSG.

3. Na página Diagnóstico NSG, insira ou selecione os seguintes valores:

   Definição	Value
   Recurso de Destino
   Tipo de recurso de destino	Selecione Máquina virtual.
   Máquina virtual	Selecione myVM virtual machine.
   Detalhes do trânsito
   Protocolo	Selecione TCP. Outras opções disponíveis são: Any, UDP e ICMP.
   Direção	Selecione Entrada. Outra opção disponível é: Outbound.
   Source type	Selecione Endereço IPv4/CIDR. Outra opção disponível é: Service Tag.
   Endereço IPv4/CIDR	Digite 10.0.1.0/26, que é o intervalo de endereços IP da sub-rede Bastion. Os valores aceitáveis são: endereço IP único, vários endereços IP, prefixo IP único, vários prefixos IP.
   Endereço IP de destino	Deixe o padrão de 10.0.0.4, que é o endereço IP de myVM.
   Porta de destino	Digite * para incluir todas as portas.

   

4. Selecione Executar diagnóstico NSG para executar o teste. Assim que o diagnóstico NSG concluir a verificação de todas as regras de segurança, ele exibirá o resultado.

   

   O resultado mostra que há três regras de segurança avaliadas para a conexão de entrada da sub-rede Bastion:

   • GlobalRules: esta regra de administração de segurança é aplicada no nível da rede virtual usando o Azure Virtual Network Manage. A regra permite o tráfego TCP de entrada da sub-rede Bastion para a máquina virtual.
   • mySubnet-nsg: este grupo de segurança de rede é aplicado no nível da sub-rede (sub-rede da máquina virtual). A regra permite o tráfego TCP de entrada da sub-rede Bastion para a máquina virtual.
   • myVM-nsg: este grupo de segurança de rede é aplicado ao nível da interface de rede (NIC). A regra nega o tráfego TCP de entrada da sub-rede Bastion para a máquina virtual.

5. Selecione Exibir detalhes de myVM-nsg para ver detalhes sobre as regras de segurança que esse grupo de segurança de rede tem e qual regra está negando o tráfego.

   

   No grupo de segurança de rede myVM-nsg, a regra de segurança DenyVnetInBound nega qualquer tráfego proveniente do espaço de endereço da marca de serviço VirtualNetwork para a máquina virtual. O host Bastion usa endereços IP do intervalo de endereços: 10.0.1.0/26, que está incluído na tag de serviço VirtualNetwork , para se conectar à máquina virtual. Portanto, a conexão do host Bastion é negada pela regra de segurança DenyVnetInBound .

PowerShell

Use Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic para iniciar a sessão de diagnóstico do NSG.

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

Devolve resultados semelhantes à seguinte saída de exemplo:

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

O resultado mostra que há três regras de segurança avaliadas para a conexão de entrada da sub-rede Bastion:

• GlobalRules: esta regra de administração de segurança é aplicada no nível da rede virtual usando o Azure Virtual Network Manage. A regra permite o tráfego TCP de entrada da sub-rede Bastion para a máquina virtual.
• mySubnet-nsg: este grupo de segurança de rede é aplicado no nível da sub-rede (sub-rede da máquina virtual). A regra permite o tráfego TCP de entrada da sub-rede Bastion para a máquina virtual.
• myVM-nsg: este grupo de segurança de rede é aplicado ao nível da interface de rede (NIC). A regra nega o tráfego TCP de entrada da sub-rede Bastion para a máquina virtual.

No grupo de segurança de rede myVM-nsg, a regra de segurança DenyVnetInBound nega qualquer tráfego proveniente do espaço de endereço da marca de serviço VirtualNetwork para a máquina virtual. O host Bastion usa endereços IP de 10.0.1.0/26, que estão incluídos na tag de serviço VirtualNetwork , para se conectar à máquina virtual. Portanto, a conexão do host Bastion é negada pela regra de segurança DenyVnetInBound .

CLI do Azure

Use az network watcher run-configuration-diagnostic para iniciar a sessão de diagnóstico do NSG.

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

Devolve resultados semelhantes à seguinte saída de exemplo:

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

O resultado mostra que há três regras de segurança avaliadas para a conexão de entrada da sub-rede Bastion:

• GlobalRules: esta regra de administração de segurança é aplicada no nível da rede virtual usando o Azure Virtual Network Manage. A regra permite o tráfego TCP de entrada da sub-rede Bastion para a máquina virtual.
• mySubnet-nsg: este grupo de segurança de rede é aplicado no nível da sub-rede (sub-rede da máquina virtual). A regra permite o tráfego TCP de entrada da sub-rede Bastion para a máquina virtual.
• myVM-nsg: este grupo de segurança de rede é aplicado ao nível da interface de rede (NIC). A regra nega o tráfego TCP de entrada da sub-rede Bastion para a máquina virtual.

No grupo de segurança de rede myVM-nsg, a regra de segurança DenyVnetInBound nega qualquer tráfego proveniente do espaço de endereço da marca de serviço VirtualNetwork para a máquina virtual. O host Bastion usa endereços IP de 10.0.1.0/26, que estão incluídos na tag de serviço VirtualNetwork , para se conectar à máquina virtual. Portanto, a conexão do host Bastion é negada pela regra de segurança DenyVnetInBound .

Adicionar uma regra de segurança para permitir o tráfego da sub-rede Bastion

Para se conectar a myVM usando o Azure Bastion, o tráfego da sub-rede Bastion deve ser permitido pelo grupo de segurança de rede. Para permitir o tráfego a partir de 10.0.1.0/26, adicione uma regra de segurança com uma prioridade mais alta (número de prioridade mais baixo) do que a regra DenyVnetInBound ou edite a regra DenyVnetInBound para permitir o tráfego da sub-rede Bastion.

Portal

Você pode adicionar a regra de segurança ao grupo de segurança de rede na página Inspetor de Rede que mostrou os detalhes sobre a regra de segurança que nega o tráfego para a máquina virtual.

1. Para adicionar a regra de segurança a partir do Observador de Rede, selecione + Adicionar regra de segurança e, em seguida, introduza ou selecione os seguintes valores:

   Definição	Value
   Source	Selecione Endereços IP.
   Intervalos CIDR/Endereços IP de origem	Digite 10.0.1.0/26, que é o intervalo de endereços IP da sub-rede Bastion.
   Intervalo de portas de origem	Digite *.
   Destino	Selecione Qualquer.
   Serviço	Selecione Personalizado.
   Intervalos de portas de destino	Digite *.
   Protocolo	Selecione Qualquer.
   Ação	Selecione Permitir.
   Prioridade	Digite 900, que é uma prioridade maior do que 1000 usada para a regra DenyVnetInBound .
   Nome	Digite AllowBastionConnections.

   

2. Selecione Verificar novamente para executar a sessão de diagnóstico novamente. A sessão de diagnóstico agora deve mostrar que o tráfego da sub-rede Bastion é permitido.

   

   A regra de segurança AllowBastionConnections permite o tráfego de qualquer endereço IP em 10.0.1.0/26 para a máquina virtual. Como o host Bastion usa endereços IP de 10.0.1.0/26, sua conexão com a máquina virtual é permitida pela regra de segurança AllowBastionConnections.

PowerShell

1. Use Add-AzNetworkSecurityRuleConfig para criar uma regra de segurança que permita o tráfego da sub-rede Bastion. Em seguida, use Set-AzNetworkSecurityGroup para atualizar o grupo de segurança de rede com a nova regra de segurança.

   # Place the network security group configuration into a variable.
   $networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
   # Create a security rule.
   Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
   -Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
   # Updates the network security group.
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup 
   

2. Use Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic para verificar novamente usando uma nova sessão de diagnóstico do NSG.

   # Create a profile for the diagnostic session.
   $profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
   # Place the virtual machine configuration into a variable.
   $vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
   # Start the diagnostic session.
   Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List
   

   Devolve resultados semelhantes à seguinte saída de exemplo:

   Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
   ResultsText : [
                   {
                     "Profile": {
                       "Direction": "Inbound",
                       "Protocol": "Tcp",
                       "Source": "10.0.1.0/26",
                       "Destination": "10.0.0.4",
                       "DestinationPort": "*"
                     },
                     "NetworkSecurityGroupResult": {
                       "SecurityRuleAccessResult": "Allow",
                       "EvaluatedNetworkSecurityGroups": [
                         {
                           "NetworkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                           "MatchedRule": {
                             "RuleName": "VirtualNetwork",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "VirtualNetwork",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                           "MatchedRule": {
                             "RuleName": "DefaultRule_AllowVnetInBound",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "DefaultRule_AllowVnetInBound",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                           "MatchedRule": {
                             "RuleName": "UserRule_AllowBastionConnections",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "UserRule_AllowBastionConnections",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         }
                       ]
                     }
                   }
                 ]
   

   A regra de segurança AllowBastionConnections permite o tráfego de qualquer endereço IP em 10.0.1.0/26 para a máquina virtual. Como o host Bastion usa endereços IP de 10.0.1.0/26, sua conexão com a máquina virtual é permitida pela regra de segurança AllowBastionConnections.

CLI do Azure

1. Use az network nsg rule create para adicionar ao grupo de segurança de rede uma regra de segurança que permita o tráfego da sub-rede Bastion.

   # Add a security rule to the network security group.
   az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
   --access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
   --destination-address-prefixes '*' --destination-port-ranges '*'
   

2. Use az network watcher run-configuration-diagnostic para verificar novamente usando uma nova sessão de diagnóstico NSG.

   # Start the the NSG diagnostics session.
   az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'
   

   Devolve resultados semelhantes à seguinte saída de exemplo:

   {
     "results": [
       {
         "networkSecurityGroupResult": {
           "evaluatedNetworkSecurityGroups": [
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "VirtualNetwork"
               },
               "networkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "VirtualNetwork",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "DefaultRule_AllowVnetInBound"
               },
               "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "DefaultRule_AllowVnetInBound",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "UserRule_AllowBastionConnections"
               },
               "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "UserRule_AllowBastionConnections",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             }
           ],
           "securityRuleAccessResult": "Allow"
         },
         "profile": {
           "destination": "10.0.0.4",
           "destinationPort": "*",
           "direction": "Inbound",
           "protocol": "TCP",
           "source": "10.0.1.0/26"
         }
       }
     ]
   }
   

   A regra de segurança AllowBastionConnections permite o tráfego de qualquer endereço IP em 10.0.1.0/26 para a máquina virtual. Como o host Bastion usa endereços IP de 10.0.1.0/26, sua conexão com a máquina virtual é permitida pela regra de segurança AllowBastionConnections.

Clean up resources (Limpar recursos)

Quando já não for necessário, elimine o grupo de recursos e todos os recursos contidos no mesmo:

Portal

1. Na caixa de pesquisa que se encontra na parte superior do portal, introduza myResourceGroup. Selecione myResourceGroup nos resultados da pesquisa.

2. Selecione Eliminar grupo de recursos.

3. Em Excluir um grupo de recursos, digite myResourceGroup e selecione Excluir.

4. Selecione Excluir para confirmar a exclusão do grupo de recursos e de todos os seus recursos.

PowerShell

Use Remove-AzResourceGroup para excluir o grupo de recursos e todos os recursos que ele contém.

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

CLI do Azure

Use az group delete para remover o grupo de recursos e todos os recursos que ele contém

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

Conteúdos relacionados

• Para saber mais sobre outras ferramentas do Observador de Rede, consulte O que é o Observador de Rede do Azure?
• Para saber como solucionar problemas de roteamento de máquina virtual, consulte Diagnosticar um problema de roteamento de rede de máquina virtual.