Диагностика правил безопасности сети

В этой статье вы узнаете, как использовать azure Наблюдатель за сетями NSG диагностика для проверки и устранения неполадок правил безопасности, применяемых к трафику Azure через группы безопасности сети и Диспетчер виртуальная сеть Azure. NSG диагностика проверяет, разрешен ли трафик или запрещен примененными правилами безопасности.

В примере в этой статье показано, как неправильно настроенная группа безопасности сети может запретить использовать Бастион Azure для подключения к виртуальной машине.

Необходимые компоненты

Портал

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Войдите на портал Azure с помощью своей учетной записи Azure.

PowerShell

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Azure Cloud Shell или Azure PowerShell.

  Действия, описанные в этой статье, выполняют командлеты Azure PowerShell в интерактивном режиме в Azure Cloud Shell. Чтобы выполнить команды в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать", чтобы скопировать код, а затем вставьте его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портал Azure.

  Вы также можете установить Azure PowerShell локально для выполнения командлетов. Для этой статьи требуется модуль Az PowerShell. Дополнительные сведения см. в статье "Установка Azure PowerShell". Выполните командлет Get-InstalledModule -Name Az, чтобы узнать установленную версию. При локальном запуске PowerShell войдите в Azure с помощью командлета Connect-AzAccount .

Azure CLI

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Azure Cloud Shell или Azure CLI

  Действия, описанные в этой статье, выполняют команды Azure CLI интерактивно в Azure Cloud Shell. Чтобы выполнить команды в Cloud Shell, выберите Open Cloud Shell в правом верхнем углу блока кода. Выберите "Копировать ", чтобы скопировать код и вставить его в Cloud Shell, чтобы запустить его. Вы также можете запустить Cloud Shell из портал Azure.

  Вы также можете установить Azure CLI локально для выполнения команд. При локальном запуске Azure CLI войдите в Azure с помощью команды az login .

Создание виртуальной сети и узла Бастиона

В этом разделе описано, как создать виртуальную сеть с двумя подсетями и узлом Бастиона Azure. Первая подсеть используется для виртуальной машины, а вторая подсеть используется для узла Бастиона. Вы также создадите группу безопасности сети и примените ее к первой подсети.

Портал

1. В поле поиска в верхней части портала введите виртуальные сети. Выберите виртуальные сети из результатов поиска.

   

2. Выберите + Создать. В разделе "Создание виртуальной сети" введите или выберите следующие значения на вкладке "Основные сведения".

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку Azure.
   Группа ресурсов	Выберите Создать. Введите myResourceGroup в поле Имя. Нажмите кнопку ОК.
   Сведения об экземпляре
   имя виртуальной сети;	Введите myVNet.
   Область/регион	Выберите регион (США) Восточная часть США.

3. Выберите вкладку "Безопасность" или нажмите кнопку "Далее" в нижней части страницы.

4. В разделе Бастион Azure выберите "Включить Бастион Azure" и примите значения по умолчанию:

   Параметр	Значение
   Имя узла Бастиона Azure	myVNet-Бастион.
   Общедоступный IP-адрес Бастиона Azure	(Новое) myVNet-бастион-publicIpAddress.

5. Перейдите на вкладку "IP-адреса" или нажмите кнопку "Далее" в нижней части страницы.

6. Примите пространство IP-адресов по умолчанию 10.0.0.0/16 и измените подсеть по умолчанию, выбрав значок карандаша. На странице "Изменить подсеть" введите следующие значения:

   Параметр	Значение
   Сведения о подсети
   Имя.	Введите mySubnet.
   Безопасность
   группу безопасности сети;	Выберите Создать. Введите mySubnet-nsg в name. Нажмите кнопку ОК.

7. Перейдите на вкладку Просмотр и создание.

8. Проверьте параметры, а затем нажмите кнопку Создать.

PowerShell

1. Создайте группу ресурсов с помощью командлета New-AzResourceGroup. Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими.

   # Create a resource group.
   New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'
   

2. Создайте группу безопасности сети по умолчанию с помощью New-AzNetworkSecurityGroup.

   # Create a network security group.
   $networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. Создайте конфигурацию подсети виртуальной машины и подсети узла Бастиона с помощью New-AzVirtualNetworkSubnetConfig.

   # Create subnets configuration.
   $firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
   $secondSubnet  = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet'  -AddressPrefix '10.0.1.0/26'
   

4. Создайте виртуальную сеть с помощью New-AzVirtualNetwork.

   # Create a virtual network.
   $vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet
   

5. Создайте ресурс общедоступного IP-адреса, необходимый для узла Бастиона с помощью New-AzPublicIpAddress.

   # Create a public IP address for Azure Bastion.
   New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'
   

6. Создайте узел Бастиона с помощью New-AzBastion.

   # Create an Azure Bastion host.
   New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' -PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet
   

Azure CLI

1. Создайте группу ресурсов, используя команду az group create. Группа ресурсов Azure является логическим контейнером, в котором происходит развертывание ресурсов Azure и управление ими.

   # Create a resource group.
   az group create --name 'myResourceGroup' --location 'eastus'
   

2. Создайте группу безопасности сети по умолчанию с помощью az network nsg create.

   # Create a network security group.
   az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

3. Создайте виртуальную сеть с помощью команды az network vnet create.

   az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg' 
   

4. Создайте подсеть для Бастиона Azure с помощью az network vnet subnet create.

   # Create AzureBastionSubnet.
   az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'
   

5. Создайте общедоступный IP-адрес узла Бастиона с помощью az network public-ip create.

   # Create a public IP address resource.
   az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard
   

6. Создайте узел Бастиона с помощью az network бастиона create.

   az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'
   

Внимание

Почасовая цена начинается с момента развертывания узла Бастиона независимо от использования исходящих данных. Дополнительные сведения см. на странице цен. Рекомендуется удалить этот ресурс после завершения работы с ним.

Создание виртуальной машины

В этом разделе описано, как создать виртуальную машину и группу безопасности сети, примененную к сетевому интерфейсу.

Портал

1. В поле поиска в верхней части портала введите виртуальные машины. Выберите виртуальные машины из результатов поиска.

2. Нажмите кнопку "+ Создать ", а затем выберите виртуальную машину Azure.

3. В окне Создание виртуальной машины введите или выберите следующие значения на вкладке Основные сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку Azure.
   Группа ресурсов	Выберите myResourceGroup.
   Сведения об экземпляре
   Virtual machine name	Введите myVM.
   Область/регион	Выберите регион (США) Восточная часть США.
   Параметры доступности	Выберите Избыточность инфраструктуры не требуется.
   Тип безопасности	Выберите Стандартное.
   Изображения	Выберите Windows Server 2022 Datacenter: Azure Edition — x64-го поколения 2-го поколения.
   Размер	Выберите размер или оставьте параметр по умолчанию.
   Учетная запись администратора
   Username	Введите имя пользователя.
   Пароль	Введите пароль.
   Подтверждение пароля	Введите пароль еще раз.

4. Выберите вкладку Сети или Next: Disks (Далее: диски), а затем Next: Networking (Далее: сеть).

5. На вкладке "Сеть" выберите следующие значения:

   Параметр	Значение
   Сетевой интерфейс
   Виртуальная сеть	Выберите myVNet.
   Подсеть	Выберите По умолчанию.
   Общедоступный IP-адрес	Выберите Отсутствует.
   Группа безопасности сети сетевого адаптера	Выберите Базовый.
   Общедоступные входящие порты	Выберите Отсутствует.

6. Выберите Review + create (Просмотреть и создать).

7. Проверьте параметры, а затем нажмите кнопку Создать.

PowerShell

1. Создайте группу безопасности сети по умолчанию с помощью New-AzNetworkSecurityGroup.

   # Create a default network security group.
   New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus
   

2. Создайте виртуальную машину с помощью New-AzVM. При появлении запроса введите имя пользователя и пароль.

   # Create a virtual machine using the latest Windows Server 2022 image.
   New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'
   

Azure CLI

1. Создайте группу безопасности сети по умолчанию с помощью az network nsg create.

   # Create a default network security group.
   az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

2. Создайте виртуальную машину с помощью команды az vm create. При появлении запроса введите имя пользователя и пароль.

   # Create a virtual machine using the latest Windows Server 2022 image.
   az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'
   

Добавление правила безопасности в группу безопасности сети

В этом разделе описано, как добавить правило безопасности в группу безопасности сети, связанную с сетевым интерфейсом myVM. Правило запрещает любой входящий трафик из виртуальной сети.

Портал

1. В поле поиска в верхней части портала введите группы безопасности сети. Выберите группы безопасности сети из результатов поиска.

2. В списке групп безопасности сети выберите myVM-nsg.

3. В разделе Параметры выберите Правила безопасности для входящего трафика.

4. Выберите Добавить. На вкладке "Сеть" введите или выберите следующие значения:

   Параметр	Значение
   Оригинал	Выберите Service Tag (Тег службы).
   Тег службы источника	Выберите VirtualNetwork.
   Диапазоны исходных портов	Входить*.
   Назначение	Выберите Любые.
   Service	Выберите Пользовательский.
   Диапазоны портов назначения	Входить*.
   Протокол	Выберите Любые.
   Действие	Выберите Отклонить.
   Приоритет	Введите 1000.
   Имя.	Введите DenyVnetInBound.

5. Выберите Добавить.

   

PowerShell

Используйте Add-AzNetworkSecurityRuleConfig , чтобы создать правило безопасности, которое запрещает трафик из виртуальной сети. Затем используйте Set-AzNetworkSecurityGroup , чтобы обновить группу безопасности сети с новым правилом безопасности.

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure CLI

Используйте az network nsg rule create , чтобы добавить в группу безопасности сети правило безопасности, которое запрещает трафик из виртуальной сети.

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

Примечание.

Тег службы VirtualNetwork представляет адресное пространство виртуальной сети, все подключенные локальные адресные пространства, пиринговые виртуальные сети, виртуальные сети, подключенные к шлюзу виртуальной сети, виртуальные IP-адреса узла и префиксы адресов, используемые в определяемых пользователем маршрутах. Дополнительные сведения см. в разделе "Теги службы".

Проверка правил безопасности, применяемых к трафику виртуальной машины

Используйте NSG диагностика для проверки правил безопасности, применяемых к трафику, полученному из подсети Бастиона на виртуальную машину.

Портал

1. В поле поиска в верхней части портала найдите и выберите Наблюдатель за сетями.

2. В разделе "Средства диагностики сети" выберите NSG диагностика.

3. На странице диагностика NSG введите или выберите следующие значения:

   Параметр	Значение
   Целевой ресурс
   Тип целевого ресурса	Выберите Виртуальная машина.
   Виртуальная машина	Выберите виртуальную машину myVM .
   Сведения о трафике
   Протокол	Выберите TCP. Другие доступные варианты: Any, UDP и ICMP.
   Направление	Выберите Входящие. Другой доступный вариант: исходящий трафик.
   Тип источника	Выберите IPv4-адрес или CIDR. Другой доступный вариант: тег службы.
   IPv4-адрес/CIDR	Введите 10.0.1.0/26, который является диапазоном IP-адресов подсети Бастиона. Допустимые значения: один IP-адрес, несколько IP-адресов, префикс одного IP-адреса, несколько префиксов IP.
   IP-адрес назначения	Оставьте значение по умолчанию 10.0.0.4, которое является IP-адресом myVM.
   Порт назначения	Введите * для включения всех портов.

   

4. Выберите "Запустить группу безопасности сети" диагностика, чтобы запустить тест. После завершения проверки всех правил безопасности NSG диагностика отображается результат.

   

   В результате показано, что для входящего подключения из подсети Бастиона оценивается три правила безопасности:

   • GlobalRules: это правило администратора безопасности применяется на уровне виртуальной сети с помощью Azure виртуальная сеть Manage. Правило разрешает входящий TCP-трафик из подсети Бастиона на виртуальную машину.
   • mySubnet-nsg: эта группа безопасности сети применяется на уровне подсети (подсети виртуальной машины). Правило разрешает входящий TCP-трафик из подсети Бастиона на виртуальную машину.
   • myVM-nsg: эта группа безопасности сети применяется на уровне сетевого интерфейса (сетевого адаптера). Правило запрещает входящий TCP-трафик из подсети Бастиона на виртуальную машину.

5. Выберите "Просмотреть сведения о myVM-nsg", чтобы просмотреть сведения о правилах безопасности, имеющихся в этой группе безопасности сети, и о том, какое правило запрещает трафик.

   

   В группе безопасности сети myVM-nsg правило безопасности DenyVnetInBound запрещает любой трафик, поступающий из адресного пространства тега службы VirtualNetwork на виртуальную машину. Узел Бастиона использует IP-адреса из диапазона адресов: 10.0.1.0/26, который входит в тег службы VirtualNetwork для подключения к виртуальной машине. Поэтому подключение от узла Бастиона запрещено правилом безопасности DenyVnetInBound .

PowerShell

Используйте Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic, чтобы запустить сеанс NSG диагностика.

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

Будут возвращены выходные данные, как показано ниже.

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

В результате показано, что для входящего подключения из подсети Бастиона оценивается три правила безопасности:

• GlobalRules: это правило администратора безопасности применяется на уровне виртуальной сети с помощью Azure виртуальная сеть Manage. Правило разрешает входящий TCP-трафик из подсети Бастиона на виртуальную машину.
• mySubnet-nsg: эта группа безопасности сети применяется на уровне подсети (подсети виртуальной машины). Правило разрешает входящий TCP-трафик из подсети Бастиона на виртуальную машину.
• myVM-nsg: эта группа безопасности сети применяется на уровне сетевого интерфейса (сетевого адаптера). Правило запрещает входящий TCP-трафик из подсети Бастиона на виртуальную машину.

В группе безопасности сети myVM-nsg правило безопасности DenyVnetInBound запрещает любой трафик, поступающий из адресного пространства тега службы VirtualNetwork на виртуальную машину. Узел Бастиона использует IP-адреса от 10.0.1.0/26, которые включают тег службы VirtualNetwork для подключения к виртуальной машине. Поэтому подключение от узла Бастиона запрещено правилом безопасности DenyVnetInBound .

Azure CLI

Используйте az network watcher run-configuration-diagnostic, чтобы запустить сеанс NSG диагностика.

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

Будут возвращены выходные данные, как показано ниже.

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

В результате показано, что для входящего подключения из подсети Бастиона оценивается три правила безопасности:

• GlobalRules: это правило администратора безопасности применяется на уровне виртуальной сети с помощью Azure виртуальная сеть Manage. Правило разрешает входящий TCP-трафик из подсети Бастиона на виртуальную машину.
• mySubnet-nsg: эта группа безопасности сети применяется на уровне подсети (подсети виртуальной машины). Правило разрешает входящий TCP-трафик из подсети Бастиона на виртуальную машину.
• myVM-nsg: эта группа безопасности сети применяется на уровне сетевого интерфейса (сетевого адаптера). Правило запрещает входящий TCP-трафик из подсети Бастиона на виртуальную машину.

В группе безопасности сети myVM-nsg правило безопасности DenyVnetInBound запрещает любой трафик, поступающий из адресного пространства тега службы VirtualNetwork на виртуальную машину. Узел Бастиона использует IP-адреса от 10.0.1.0/26, которые включают тег службы VirtualNetwork для подключения к виртуальной машине. Поэтому подключение от узла Бастиона запрещено правилом безопасности DenyVnetInBound .

Добавление правила безопасности для разрешения трафика из подсети Бастиона

Чтобы подключиться к myVM с помощью Бастиона Azure, трафик из подсети Бастиона должен быть разрешен группой безопасности сети. Чтобы разрешить трафик от 10.0.1.0/26, добавьте правило безопасности с более высоким приоритетом (более низкий номер приоритета), чем правило DenyVnetInBound или измените правило DenyVnetInBound, чтобы разрешить трафик из подсети Бастиона.

Портал

Вы можете добавить правило безопасности в группу безопасности сети на странице Наблюдатель за сетями, которая показала сведения о правиле безопасности, запрещающем трафик виртуальной машине.

1. Чтобы добавить правило безопасности из Наблюдатель за сетями, выберите +Добавить правило безопасности, а затем введите или выберите следующие значения:

   Параметр	Значение
   Оригинал	Выберите IP-адреса.
   Диапазоны или CIDR исходных IP-адресов	Введите 10.0.1.0/26, который является диапазоном IP-адресов подсети Бастиона.
   Диапазоны исходных портов	Входить*.
   Назначение	Выберите Любые.
   Service	Выберите Пользовательский.
   Диапазоны портов назначения	Входить*.
   Протокол	Выберите Любые.
   Действие	Выберите Разрешить.
   Приоритет	Введите 900, который является более высоким приоритетом, чем 1000, используемый для правила DenyVnetInBound.
   Имя.	Введите AllowBastionConnections.

   

2. Нажмите кнопку "Повторно проверить ", чтобы снова запустить сеанс диагностики. Теперь сеанс диагностики должен показать, что трафик из подсети Бастиона разрешен.

   

   Правило безопасности AllowBastionConnections разрешает трафик с любого IP-адреса в версии 10.0.1.0/26 на виртуальную машину. Так как узел Бастиона использует IP-адреса от 10.0.1.0/26, его подключение к виртуальной машине разрешено правилом безопасности AllowBastionConnections .

PowerShell

1. Используйте Add-AzNetworkSecurityRuleConfig для создания правила безопасности, разрешающего трафик из подсети Бастиона. Затем используйте Set-AzNetworkSecurityGroup , чтобы обновить группу безопасности сети с новым правилом безопасности.

   # Place the network security group configuration into a variable.
   $networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
   # Create a security rule.
   Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
   -Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
   # Updates the network security group.
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup 
   

2. Используйте Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic для повторной проверки с помощью нового сеанса NSG диагностика.

   # Create a profile for the diagnostic session.
   $profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
   # Place the virtual machine configuration into a variable.
   $vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
   # Start the diagnostic session.
   Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List
   

   Будут возвращены выходные данные, как показано ниже.

   Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
   ResultsText : [
                   {
                     "Profile": {
                       "Direction": "Inbound",
                       "Protocol": "Tcp",
                       "Source": "10.0.1.0/26",
                       "Destination": "10.0.0.4",
                       "DestinationPort": "*"
                     },
                     "NetworkSecurityGroupResult": {
                       "SecurityRuleAccessResult": "Allow",
                       "EvaluatedNetworkSecurityGroups": [
                         {
                           "NetworkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                           "MatchedRule": {
                             "RuleName": "VirtualNetwork",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "VirtualNetwork",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                           "MatchedRule": {
                             "RuleName": "DefaultRule_AllowVnetInBound",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "DefaultRule_AllowVnetInBound",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                           "MatchedRule": {
                             "RuleName": "UserRule_AllowBastionConnections",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "UserRule_AllowBastionConnections",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         }
                       ]
                     }
                   }
                 ]
   

   Правило безопасности AllowBastionConnections разрешает трафик с любого IP-адреса в версии 10.0.1.0/26 на виртуальную машину. Так как узел Бастиона использует IP-адреса от 10.0.1.0/26, его подключение к виртуальной машине разрешено правилом безопасности AllowBastionConnections .

Azure CLI

1. Используйте az network nsg rule create, чтобы добавить в группу безопасности сети правило безопасности, которое разрешает трафик из подсети Бастиона.

   # Add a security rule to the network security group.
   az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
   --access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
   --destination-address-prefixes '*' --destination-port-ranges '*'
   

2. Используйте az network watcher run-configuration-diagnostic для повторной проверки с помощью нового сеанса NSG диагностика.

   # Start the the NSG diagnostics session.
   az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'
   

   Будут возвращены выходные данные, как показано ниже.

   {
     "results": [
       {
         "networkSecurityGroupResult": {
           "evaluatedNetworkSecurityGroups": [
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "VirtualNetwork"
               },
               "networkSecurityGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "VirtualNetwork",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "DefaultRule_AllowVnetInBound"
               },
               "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "DefaultRule_AllowVnetInBound",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "UserRule_AllowBastionConnections"
               },
               "networkSecurityGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "UserRule_AllowBastionConnections",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             }
           ],
           "securityRuleAccessResult": "Allow"
         },
         "profile": {
           "destination": "10.0.0.4",
           "destinationPort": "*",
           "direction": "Inbound",
           "protocol": "TCP",
           "source": "10.0.1.0/26"
         }
       }
     ]
   }
   

   Правило безопасности AllowBastionConnections разрешает трафик с любого IP-адреса в версии 10.0.1.0/26 на виртуальную машину. Так как узел Бастиона использует IP-адреса от 10.0.1.0/26, его подключение к виртуальной машине разрешено правилом безопасности AllowBastionConnections .

Очистка ресурсов

Удалите группу ресурсов и все содержащиеся в ней ресурсы, когда она станет не нужна.

Портал

1. В поле поиска в верхней части портала введите myResourceGroup. Выберите myResourceGroup из результатов поиска.

2. Выберите команду Удалить группу ресурсов.

3. В разделе "Удалить группу ресурсов" введите myResourceGroup и нажмите кнопку "Удалить".

4. Выберите "Удалить ", чтобы подтвердить удаление группы ресурсов и всех его ресурсов.

PowerShell

Используйте Remove-AzResourceGroup , чтобы удалить группу ресурсов и все содержащиеся в ней ресурсы.

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

Azure CLI

Использование az group delete для удаления группы ресурсов и всех ресурсов, содержащихся в ней.

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

Связанный контент

• Дополнительные сведения о других средствах Наблюдатель за сетями см. в статье "Что такое Azure Наблюдатель за сетями?"
• Сведения об устранении неполадок маршрутизации виртуальных машин см. в статье "Диагностика проблемы маршрутизации сети виртуальных машин".