使用 PowerShell 在 Azure 本機上設定網路安全組
適用於:Azure Local 2311.2 和更新版本;Windows Server 2022、Windows Server 2019、Windows Server 2016
本文提供在 Azure 本機使用 Windows PowerShell,透過 資料中心防火牆,設定軟體定義網路(SDN)的網路安全群組(NSG),以管理數據流量的指示。 您可以建立套用至子網或網路介面的網路安全組,以啟用及設定數據中心防火牆。
本文中的範例腳本會使用從 NetworkController 模組導出的 Windows PowerShell 命令。 您也可以 使用 Windows Admin Center 來設定和管理網路安全組。
設定數據中心防火牆以允許所有流量
部署 SDN 之後,您應該測試新環境中的基本網路連線能力。 若要達成此目的,請為數據中心防火牆建立規則,以允許所有網路流量,而不受限制。
使用下表中的項目來建立一系列規則,以允許所有進出入的網路流量。
| 來源 IP | 目的地 IP | 通訊協定 | 來源連接埠 | 目的地連接埠 | 方向 | 動作 | 優先順序 |
|---|---|---|---|---|---|---|---|
| * | * | 全部 | * | * | 傳入 | 允許 | 100 |
| * | * | 全部 | * | * | 外發 | 允許 | 110 |
在此範例中,您會使用兩個規則建立網路安全組:
- AllowAll_Inbound - 允許所有網路流量傳入設定此網路安全組的網路介面。
- AllowAllOutbound - 允許所有流量從網路介面傳出。 此網路安全組,由資源標識碼 「AllowAll-1」 識別,現在已準備好用於虛擬子網和網路介面。
您可以從任何可存取網路控制站 REST 端點的電腦執行此命令。 首先,開啟 PowerShell 會話。 在此範例中,使用 Enter-PSSession Cmdlet,接著用具有網路控制站 REST 端點的電腦名稱取代 <computer-name>。
Enter-PSSession <computer-name>
然後,執行下列腳本來建立網路安全組:
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule1 = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule1.Properties = $ruleproperties
$aclrule1.ResourceId = "AllowAll_Inbound"
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "110"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule2 = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule2.Properties = $ruleproperties
$aclrule2.ResourceId = "AllowAll_Outbound"
$acllistproperties = new-object Microsoft.Windows.NetworkController.AccessControlListProperties
$acllistproperties.AclRules = @($aclrule1, $aclrule2)
New-NetworkControllerAccessControlList -ResourceId "AllowAll" -Properties $acllistproperties -ConnectionUri <NC REST FQDN>
註
使用網路安全組來限制子網上的流量
在此範例中,您會建立網路安全組,以防止 192.168.0.0/24 子網內的虛擬機彼此通訊。 這種類型的網路安全組有助於限制攻擊者在子網中橫向傳播的能力,同時仍允許 VM 從子網外部接收要求,並與其他子網上的其他服務通訊。
| 來源 IP | 目的地 IP | 通訊協定 | 來源連接埠 | 目標端口 | 方向 | 動作 | 優先順序 |
|---|---|---|---|---|---|---|---|
| 192.168.0.1 | * | 全部 | * | * | 入境 | 允許 | 100 |
| * | 192.168.0.1 | 全部 | * | * | 輸出 | 允許 | 101 |
| 192.168.0.0/24 | * | 全部 | * | * | 入境 | 封鎖 | 102 |
| * | 192.168.0.0/24 | 全部 | * | * | 外出 | 封鎖 | 103 |
| * | * | 全部 | * | * | 傳入 | 允許 | 104 |
| * | * | 全部 | * | * | 出站 | 允許 | 105 |
下列範例腳本所建立的網路安全組,由資源標識碼 Subnet-192-168-0-0 識別,現在可以套用至使用 “192.168.0.0/24” 子網位址的虛擬網络子網。 連結至該虛擬網路子網的任何網路介面都會自動套用上述網路安全組規則。
以下是使用網路控制站 REST API 建立此網路安全組的範例腳本:
import-module networkcontroller
$ncURI = "https://mync.contoso.local"
$aclrules = @()
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "192.168.0.1"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.1"
$ruleproperties.Priority = "101"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Outbound"
$aclrules += $aclrule
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "192.168.0.0/24"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "102"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.0/24"
$ruleproperties.Priority = "103"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Outbound"
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "104"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "105"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Outbound"
$aclrules += $aclrule
$acllistproperties = new-object Microsoft.Windows.NetworkController.AccessControlListProperties
$acllistproperties.AclRules = $aclrules
New-NetworkControllerAccessControlList -ResourceId "Subnet-192-168-0-0" -Properties $acllistproperties -ConnectionUri $ncURI
將網路安全組新增至網路介面
建立網路安全群組並將其指派至虛擬子網後,您可能會想要使用個別網路介面的特定網路安全群組來取代虛擬子網上的預設網路安全群組。 從 Windows Server 2019 Datacenter 開始,除了 SDN 虛擬網路之外,您還可以將特定網路安全組直接套用至連接至 SDN 邏輯網路的網路介面。 如果您在連線到網路介面的虛擬子網上設定網路安全組,則會套用這兩個網路安全組,而網路介面網路安全組會優先於虛擬子網網路安全組。
在此範例中,我們會示範如何將網路安全組新增至虛擬網路。
提示
您也可以在建立網路介面的同時新增網路安全組。
取得或建立您要新增網路安全組的網路介面。
$nic = get-networkcontrollernetworkinterface -ConnectionUri $uri -ResourceId "MyVM_Ethernet1"取得或建立您要新增至網路介面的網路安全組。
$acl = get-networkcontrolleraccesscontrollist -ConnectionUri $uri -ResourceId "AllowAllACL"將網路安全組指派給網路介面的 AccessControlList 屬性。
$nic.properties.ipconfigurations[0].properties.AccessControlList = $acl在網路控制站中新增網路介面。
new-networkcontrollernetworkinterface -ConnectionUri $uri -Properties $nic.properties -ResourceId $nic.resourceid
從網路介面移除網路安全組
在此範例中,我們會示範如何從網路介面移除網路安全組。 拿掉網路安全組會將預設的規則集套用至網路介面。 默認的規則集允許所有輸出流量,但封鎖所有輸入流量。 如果您想要允許所有輸入流量,您必須遵循上 一個範例 ,以新增允許所有輸入和所有輸出流量的網路安全組。
取得您要從中移除網路安全組的網路介面。
$nic = get-networkcontrollernetworkinterface -ConnectionUri $uri -ResourceId "MyVM_Ethernet1"將$null指派給 ipConfiguration 的 AccessControlList 屬性。
$nic.properties.ipconfigurations[0].properties.AccessControlList = $null在網路控制站中新增網路介面物件。
new-networkcontrollernetworkinterface -ConnectionUri $uri -Properties $nic.properties -ResourceId $nic.resourceid
防火牆稽核
數據中心防火牆的防火牆稽核功能會記錄 SDN 防火牆規則所處理的任何流程。 所有啟用記錄功能的網路安全組都會被紀錄下來。 記錄檔必須採用與 Azure 網路監看員 流量記錄一致的語法。 這些記錄可用於診斷或封存以供稍後分析。
以下是在主計算機上啟用防火牆稽核的範例腳本。 更新開頭的變數,然後在已部署網路控制器的 Azure 本機實例上執行它。
$logpath = "C:\test\log1"
$servers = @("sa18n22-2", "sa18n22-3", "sa18n22-4")
$uri = "https://sa18n22sdn.sa18.nttest.microsoft.com"
# Create log directories on the hosts
invoke-command -Computername $servers {
param(
$Path
)
mkdir $path -force
} -argumentlist $LogPath
# Set firewall auditing settings on Network Controller
$AuditProperties = new-object Microsoft.Windows.NetworkController.AuditingSettingsProperties
$AuditProperties.OutputDirectory = $logpath
set-networkcontrollerauditingsettingsconfiguration -connectionuri $uri -properties $AuditProperties -force | out-null
# Enable logging on each server
$servers = get-networkcontrollerserver -connectionuri $uri
foreach ($s in $servers) {
$s.properties.AuditingEnabled = @("Firewall")
new-networkcontrollerserver -connectionuri $uri -resourceid $s.resourceid -properties $s.properties -force | out-null
}
啟用之後,每個主機上的指定目錄中會出現一個新的檔案,大約每小時一次。 您應該定期處理這些檔案,並從主機中移除它們。 目前的檔案長度為零,並鎖定,直到排清到下一小時標記為止:
PS C:\test\log1> dir
Directory: C:\test\log1
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 7/19/2018 6:28 AM 17055 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL122803093.json
-a---- 7/19/2018 7:28 AM 7880 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL132803173.json
-a---- 7/19/2018 8:28 AM 7867 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL142803264.json
-a---- 7/19/2018 9:28 AM 10949 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL152803360.json
-a---- 7/19/2018 9:28 AM 0 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL162803464.json
這些檔案包含一連串的流程事件,例如:
{
"records": [
{
"properties":{
"Version":"1.0",
"flows":[
{
"flows":[
{
"flowTuples":["1531963580,192.122.0.22,192.122.255.255,138,138,U,I,A"],
"portId":"9",
"portName":"7290436D-0422-498A-8EB8-C6CF5115DACE"
}
],
"rule":"Allow_Inbound"
}
]
},
"operationName":"NetworkSecurityGroupFlowEvents",
"resourceId":"a0a0a0a0-bbbb-cccc-dddd-e1e1e1e1e1e1",
"time":"20180719:L012620622",
"category":"NetworkSecurityGroupFlowEvent",
"systemId":"d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a"
},
請注意,只有那些將日誌設為已啟用的規則,才會進行記錄,例如:
{
"Tags": null,
"ResourceRef": "/accessControlLists/AllowAll",
"InstanceId": "4a63e1a5-3264-4986-9a59-4e77a8b107fa",
"Etag": "W/\"1535a780-0fc8-4bba-a15a-093ecac9b88b\"",
"ResourceMetadata": null,
"ResourceId": "AllowAll",
"Properties": {
"ConfigurationState": null,
"ProvisioningState": "Succeeded",
"AclRules": [
{
"ResourceMetadata": null,
"ResourceRef": "/accessControlLists/AllowAll/aclRules/AllowAll_Inbound",
"InstanceId": "ba8710a8-0f01-422b-9038-d1f2390645d7",
"Etag": "W/\"1535a780-0fc8-4bba-a15a-093ecac9b88b\"",
"ResourceId": "AllowAll_Inbound",
"Properties": {
"Protocol": "All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action": "Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority": "101",
"Description": null,
"Type": "Inbound",
"Logging": "Enabled",
"ProvisioningState": "Succeeded"
}
},
{
"ResourceMetadata": null,
"ResourceRef": "/accessControlLists/AllowAll/aclRules/AllowAll_Outbound",
"InstanceId": "068264c6-2186-4dbc-bbe7-f504c6f47fa8",
"Etag": "W/\"1535a780-0fc8-4bba-a15a-093ecac9b88b\"",
"ResourceId": "AllowAll_Outbound",
"Properties": {
"Protocol": "All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action": "Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority": "110",
"Description": null,
"Type": "Outbound",
"Logging": "Enabled",
"ProvisioningState": "Succeeded"
}
}
],
"IpConfigurations": [
],
"Subnets": [
{
"ResourceMetadata": null,
"ResourceRef": "/virtualNetworks/10_0_1_0/subnets/Subnet1",
"InstanceId": "00000000-0000-0000-0000-000000000000",
"Etag": null,
"ResourceId": null,
"Properties": null
}
]
}
}
下一步
如需相關資訊,請參閱:
- 數據中心防火牆概觀。
- 網路控制站概觀。
- Azure 本機和 Windows Server 中的 SDN。