تشخيص قواعد أمان الشبكة

يمكنك استخدام مجموعات أمان الشبكة لتصفية حركة مرور الشبكة الواردة والصادرة والتحكم فيها من وإلى موارد Azure. يمكنك أيضا استخدام Azure Virtual Network Manager لتطبيق قواعد أمان المسؤول على موارد Azure للتحكم في حركة مرور الشبكة.

في هذه المقالة، ستتعلم كيفية استخدام تشخيصات NSG ل Azure Network Watcher للتحقق من قواعد الأمان المطبقة على حركة مرور Azure واستكشاف الأخطاء وإصلاحها. تتحقق تشخيصات NSG من السماح بنسبة استخدام الشبكة أو رفضها بواسطة قواعد الأمان المطبقة.

يوضح لك المثال في هذه المقالة كيف يمكن لمجموعة أمان شبكة تم تكوينها بشكل خاطئ منعك من استخدام Azure Bastion للاتصال بجهاز ظاهري.

المتطلبات الأساسية

المدخل

• حساب Azure مع اشتراك نشط. إنشاء حساب مجانا.

• سجل الدخول إلى مدخل Microsoft Azure باستخدام حساب Azure الخاص بك.

بوويرشيل

• حساب Azure مع اشتراك نشط. إنشاء حساب مجانا.

• Azure Cloud Shell أو Azure PowerShell.

  تعمل الخطوات الواردة في هذه المقالة على تشغيل أوامر Cmdlets Azure PowerShell بشكل تفاعلي في Azure Cloud Shell. لتشغيل الأوامر في Cloud Shell، حدد Open Cloud Shell في الزاوية العلوية اليسرى من كتلة التعليمات البرمجية. حدد نسخ لنسخ التعليمات البرمجية ثم لصقها في Cloud Shell لتشغيلها. يمكنك أيضا تشغيل Cloud Shell من داخل مدخل Microsoft Azure.

  يمكنك أيضا تثبيت Azure PowerShell محليا لتشغيل cmdlets. تتطلب هذه المقالة الوحدة النمطية Az PowerShell. لمزيد من المعلومات، راجع كيفية تثبيت Azure PowerShell. للعثور على الإصدار المثبت، قم بتشغيل Get-InstalledModule -Name Az. إذا قمت بتشغيل PowerShell محليا، فقم بتسجيل الدخول إلى Azure باستخدام الاتصال-AzAccount cmdlet.

Azure CLI

• حساب Azure مع اشتراك نشط. إنشاء حساب مجانا.

• Azure Cloud ShellأوAzure CLI.

  تعمل الخطوات الواردة في هذه المقالة على تشغيل أوامر Azure CLI بشكل تفاعلي في Azure Cloud Shell. لتشغيل الأوامر في Cloud Shell، حدد Open Cloud Shell في الزاوية العلوية اليسرى من كتلة التعليمات البرمجية. حدد نسخ لنسخ التعليمات البرمجية، ولصقها في Cloud Shell لتشغيلها. يمكنك أيضا تشغيل Cloud Shell من داخل مدخل Microsoft Azure.

  يمكنك أيضا تثبيت Azure CLI محليا لتشغيل الأوامر. إذا قمت بتشغيل Azure CLI محليا، فقم بتسجيل الدخول إلى Azure باستخدام الأمر az login .

إنشاء شبكة ظاهرية ومضيف Bastion

في هذا القسم، يمكنك إنشاء شبكة ظاهرية مع شبكتين فرعيتين ومضيف Azure Bastion. يتم استخدام الشبكة الفرعية الأولى للجهاز الظاهري، ويتم استخدام الشبكة الفرعية الثانية لمضيف Bastion. يمكنك أيضا إنشاء مجموعة أمان شبكة وتطبيقها على الشبكة الفرعية الأولى.

المدخل

1. في مربع البحث أعلى المدخل، أدخل الشبكات الظاهرية. حدد الشبكات الظاهرية في نتائج البحث.

   

2. حدد + إنشاء. في Create virtual network، أدخل القيم التالية أو حددها في علامة التبويب Basics :

   الإعداد	القيمة‬
   تفاصيل المشروع
   الاشتراك	حدد اشتراك Azure الخاص بك.
   مجموعة الموارد	حدد إنشاء جديد. أدخِل myResourceGroup في الاسم. حدد موافق.
   تفاصيل المثيل
   اسم الشبكة الظاهرية	أدخل «myVNet»
   المنطقة	حدد (US) East US.

3. حدد علامة التبويب الأمان، أو حدد الزر التالي في أسفل الصفحة.

4. ضمن Azure Bastion، حدد Enable Azure Bastion واقبل القيم الافتراضية:

   الإعداد	القيمة‬
   اسم مضيف Azure Bastion	myVNet-Bastion.
   عنوان IP العام ل Azure Bastion	(جديد) myVNet-bastion-publicIpAddress.

5. حدد علامة التبويب عناوين IP، أو حدد الزر التالي في أسفل الصفحة.

6. اقبل مساحة عنوان IP الافتراضية 10.0.0.0/16 وقم بتحرير الشبكة الفرعية الافتراضية عن طريق تحديد أيقونة القلم الرصاص. في صفحة تحرير الشبكة الفرعية، أدخل القيم التالية:

   الإعداد	القيمة‬
   تفاصيل الشبكة الفرعية
   الاسم	أدخل mySubnet.
   الأمان
   مجموعة أمان الشبكة	حدد إنشاء جديد. أدخل mySubnet-nsg في Name. حدد موافق.

7. حدد Review + create.

8. راجع الإعدادات، ثم حدّد "إنشاء".

بوويرشيل

1. أنشئ مجموعة موارد باستخدام New-AzResourceGroup. مجموعة موارد Azure هي حاوية منطقية يتم بها نشر موارد Azure وإدارتها.

   # Create a resource group.
   New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'
   

2. إنشاء مجموعة أمان شبكة افتراضية باستخدام New-AzNetworkSecurityGroup.

   # Create a network security group.
   $networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'
   

3. إنشاء تكوين شبكة فرعية للشبكة الفرعية للجهاز الظاهري والشبكة الفرعية لمضيف Bastion باستخدام New-AzVirtualNetworkSubnetConfig.

   # Create subnets configuration.
   $firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
   $secondSubnet  = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet'  -AddressPrefix '10.0.1.0/26'
   

4. إنشاء شبكة ظاهرية باستخدام New-AzVirtualNetwork.

   # Create a virtual network.
   $vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet
   

5. إنشاء مورد عنوان IP العام المطلوب لمضيف Bastion باستخدام New-AzPublicIpAddress.

   # Create a public IP address for Azure Bastion.
   New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'
   

6. إنشاء مضيف Bastion باستخدام New-AzBastion.

   # Create an Azure Bastion host.
   New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' --PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet
   

Azure CLI

1. قم بإنشاء مجموعة موارد باستخدام az group create. مجموعة موارد Azure هي حاوية منطقية يتم بها نشر موارد Azure وإدارتها.

   # Create a resource group.
   az group create --name 'myResourceGroup' --location 'eastus'
   

2. إنشاء مجموعة أمان شبكة افتراضية باستخدام az network nsg create.

   # Create a network security group.
   az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

3. أنشئ شبكة ظاهرية باستخدام az network vnet create.

   az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg' 
   

4. إنشاء شبكة فرعية ل Azure Bastion باستخدام az network vnet subnet create.

   # Create AzureBastionSubnet.
   az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'
   

5. إنشاء عنوان IP عام لمضيف Bastion باستخدام az network public-ip create.

   # Create a public IP address resource.
   az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard
   

6. إنشاء مضيف Bastion باستخدام az network bastion create.

   az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'
   

هام

يبدأ التسعير بالساعة من لحظة نشر مضيف Bastion، بغض النظر عن استخدام البيانات الصادرة. لمزيد من المعلومات، راجع الأسعار. نوصي بحذف هذا المورد بمجرد الانتهاء من استخدامه.

إنشاء جهاز ظاهري

في هذا القسم، يمكنك إنشاء جهاز ظاهري ومجموعة أمان شبكة مطبقة على واجهة الشبكة الخاصة به.

المدخل

1. في مربع البحث أعلى المدخل، أدخل الأجهزة الظاهرية. حدد "Virtual machines" في نتائج البحث.

2. حدد + Create ثم حدد Azure virtual machine.

3. في إنشاء جهاز ظاهري، أدخل القيم التالية في علامة التبويب الأساسيات أو حدّدها:

   الإعداد	القيمة‬
   تفاصيل المشروع
   الاشتراك	حدد اشتراك Azure الخاص بك.
   مجموعة الموارد	حدّد myResourceGroup.
   تفاصيل المثيل
   اسم الجهاز الظاهري	أدخل myVM .
   المنطقة	حدد (US) East US.
   خيارات التوفر	حدد No infrastructure redundancy required.
   نوع الأمان	حدد قياسي.
   الصورة	حدد Windows Server 2022 Datacenter: Azure Edition - x64 Gen2.
   الحجم	اختر حجما أو اترك الإعداد الافتراضي.
   حساب المسؤول
   اسم مستخدم	أدخل username.
   كلمة المرور	إدخال «password».
   تأكيد كلمة المرور	اعادة ادخال كلمة السر.

4. حدد علامة التبويب Networking، أو حدد Next: Disks، ثم Next: Networking.

5. في علامة التبويب Networking، حدد القيم التالية:

   الإعداد	القيمة‬
   واجهة الشبكة
   الشبكة الظاهرية	حدّد «myVNet».
   الشبكة الفرعية	حدد Default.
   عنوان IP عام	حدد لا شيء.
   المجموعة الأمنية للشبكة NIC	حدد أساسي.
   المنافذ العامة الواردة	حدد لا شيء.

6. حدد "Review + create".

7. راجع الإعدادات، ثم حدّد "إنشاء".

بوويرشيل

1. إنشاء مجموعة أمان شبكة افتراضية باستخدام New-AzNetworkSecurityGroup.

   # Create a default network security group.
   New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus
   

2. إنشاء جهاز ظاهري باستخدام New-AzVM. عند المطالبة، أدخل اسم مستخدم وكلمة مرور.

   # Create a virtual machine using the latest Windows Server 2022 image.
   New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'
   

Azure CLI

1. إنشاء مجموعة أمان شبكة افتراضية باستخدام az network nsg create.

   # Create a default network security group.
   az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'
   

2. إنشاء جهاز ظاهري باستخدام az vm create. عند المطالبة، أدخل اسم مستخدم وكلمة مرور.

   # Create a virtual machine using the latest Windows Server 2022 image.
   az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'
   

إضافة قاعدة أمان إلى مجموعة أمان الشبكة

في هذا القسم، يمكنك إضافة قاعدة أمان إلى مجموعة أمان الشبكة المقترنة بواجهة شبكة myVM. ترفض القاعدة أي حركة مرور واردة من الشبكة الظاهرية.

المدخل

1. في مربع البحث أعلى المدخل، أدخل مجموعات أمان الشبكة. حدد "Network security group" في نتائج البحث.

2. من قائمة مجموعات أمان الشبكة، حدد myVM-nsg.

3. ضمن الإعدادات، حدد قواعد الأمان الواردة.

4. حدد + إضافة. في علامة التبويب Networking، أدخل القيم التالية أو حددها:

   الإعداد	القيمة‬
   Source	حدد علامة الخدمة.
   علامة خدمة المصدر	حدد VirtualNetwork.
   نطاقات منافذ المصادر	ادخل*.
   الوجهة	حدد "Any".
   الخدمة	حدد مخصص.
   نطاقات المنفذ الوجهات	ادخل*.
   البروتوكول	حدد "Any".
   الإجراء	حدد Deny.
   أولوية	أدخل 1000.
   الاسم	أدخل DenyVnetInBound.

5. حدد إضافة.

   

بوويرشيل

استخدم Add-AzNetworkSecurityRuleConfig لإنشاء قاعدة أمان ترفض نسبة استخدام الشبكة من الشبكة الظاهرية. ثم استخدم Set-AzNetworkSecurityGroup لتحديث مجموعة أمان الشبكة بقاعدة الأمان الجديدة.

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure CLI

استخدم az network nsg rule create لإضافة قاعدة أمان إلى مجموعة أمان الشبكة التي ترفض نسبة استخدام الشبكة من الشبكة الظاهرية.

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

إشعار

تمثل علامة خدمة VirtualNetwork مساحة عنوان الشبكة الظاهرية، وجميع مساحات العناوين المحلية المتصلة، والشبكات الظاهرية النظيرة، والشبكات الظاهرية المتصلة ببوابة شبكة ظاهرية، وعنوان IP الظاهري للمضيف، وبادئات العناوين المستخدمة في المسارات المعرفة من قبل المستخدم. لمزيد من المعلومات، راجع علامات الخدمة.

التحقق من قواعد الأمان المطبقة على حركة مرور الجهاز الظاهري

استخدم تشخيصات NSG للتحقق من قواعد الأمان المطبقة على حركة المرور التي نشأت من الشبكة الفرعية Bastion إلى الجهاز الظاهري.

المدخل

1. في مربع البحث أعلى المدخل، ابحث عن Network Watcher وحدده.

2. ضمن أدوات تشخيص الشبكة، حدد تشخيصات NSG.

3. في صفحة تشخيصات NSG، أدخل القيم التالية أو حددها:

   الإعداد	القيمة‬
   المورد الهدف
   نوع المورد المستهدف	حدد الأجهزة الظاهرية.
   الجهاز الظاهري	حدد الجهاز الظاهري myVM .
   تفاصيل حركة المرور
   البروتوكول	حدد TCP. الخيارات الأخرى المتاحة هي: أي، UDP وICMP.
   الاتجاه	حدد الوارد. الخيار المتوفر الآخر هو: الصادر.
   نوع المصدر	حدد عنوان IPv4/CIDR. الخيار الآخر المتاح هو: علامة الخدمة.
   عنوان IPv4/CIDR	أدخل 10.0.1.0/26، وهو نطاق عناوين IP للشبكة الفرعية Bastion. القيم المقبولة هي: عنوان IP واحد، وعناوين IP متعددة، وبادئة IP واحدة، وبادئات IP متعددة.
   عنوان IP الوجهة	اترك الإعداد الافتراضي 10.0.0.4، وهو عنوان IP الخاص ب myVM.
   منفذ الوجهة	أدخل * لتضمين جميع المنافذ.

   

4. حدد Run NSG diagnostics لتشغيل الاختبار. بمجرد اكتمال تشخيص NSG للتحقق من جميع قواعد الأمان، فإنه يعرض النتيجة.

   

   تظهر النتيجة أن هناك ثلاث قواعد أمان تم تقييمها للاتصال الوارد من الشبكة الفرعية Bastion:

   • GlobalRules: يتم تطبيق قاعدة مسؤول الأمان هذه على مستوى الشبكة الظاهرية باستخدام Azure Virtual Network Manage. تسمح القاعدة بنسبة استخدام الشبكة TCP الواردة من الشبكة الفرعية Bastion إلى الجهاز الظاهري.
   • mySubnet-nsg: يتم تطبيق مجموعة أمان الشبكة هذه على مستوى الشبكة الفرعية (الشبكة الفرعية للجهاز الظاهري). تسمح القاعدة بنسبة استخدام الشبكة TCP الواردة من الشبكة الفرعية Bastion إلى الجهاز الظاهري.
   • myVM-nsg: يتم تطبيق مجموعة أمان الشبكة هذه على مستوى واجهة الشبكة (NIC). ترفض القاعدة حركة مرور TCP الواردة من الشبكة الفرعية Bastion إلى الجهاز الظاهري.

5. حدد عرض تفاصيلmyVM-nsg للاطلاع على تفاصيل حول قواعد الأمان التي تحتوي عليها مجموعة أمان الشبكة هذه والقاعدة التي ترفض حركة المرور.

   

   في مجموعة أمان شبكة myVM-nsg ، ترفض قاعدة الأمان DenyVnetInBound أي حركة مرور قادمة من مساحة العنوان لعلامة خدمة VirtualNetwork إلى الجهاز الظاهري. يستخدم مضيف Bastion عناوين IP من نطاق العنوان: 10.0.1.0/26، المضمنة في علامة خدمة VirtualNetwork ، للاتصال بالجهاز الظاهري. لذلك، يتم رفض الاتصال من مضيف Bastion بواسطة قاعدة الأمان DenyVnetInBound .

بوويرشيل

استخدم Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic لبدء جلسة تشخيص NSG.

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

يتم عرض إخراج مشابه لإخراج المثال التالي:

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

تظهر النتيجة أن هناك ثلاث قواعد أمان تم تقييمها للاتصال الوارد من الشبكة الفرعية Bastion:

• GlobalRules: يتم تطبيق قاعدة مسؤول الأمان هذه على مستوى الشبكة الظاهرية باستخدام Azure Virtual Network Manage. تسمح القاعدة بنسبة استخدام الشبكة TCP الواردة من الشبكة الفرعية Bastion إلى الجهاز الظاهري.
• mySubnet-nsg: يتم تطبيق مجموعة أمان الشبكة هذه على مستوى الشبكة الفرعية (الشبكة الفرعية للجهاز الظاهري). تسمح القاعدة بنسبة استخدام الشبكة TCP الواردة من الشبكة الفرعية Bastion إلى الجهاز الظاهري.
• myVM-nsg: يتم تطبيق مجموعة أمان الشبكة هذه على مستوى واجهة الشبكة (NIC). ترفض القاعدة حركة مرور TCP الواردة من الشبكة الفرعية Bastion إلى الجهاز الظاهري.

في مجموعة أمان شبكة myVM-nsg ، ترفض قاعدة الأمان DenyVnetInBound أي حركة مرور قادمة من مساحة العنوان لعلامة خدمة VirtualNetwork إلى الجهاز الظاهري. يستخدم مضيف Bastion عناوين IP من 10.0.1.0/26، والتي تم تضمينها علامة خدمة VirtualNetwork ، للاتصال بالجهاز الظاهري. لذلك، يتم رفض الاتصال من مضيف Bastion بواسطة قاعدة الأمان DenyVnetInBound .

Azure CLI

استخدم az network watcher run-configuration-diagnostic لبدء جلسة تشخيص NSG.

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

يتم عرض إخراج مشابه لإخراج المثال التالي:

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

تظهر النتيجة أن هناك ثلاث قواعد أمان تم تقييمها للاتصال الوارد من الشبكة الفرعية Bastion:

• GlobalRules: يتم تطبيق قاعدة مسؤول الأمان هذه على مستوى الشبكة الظاهرية باستخدام Azure Virtual Network Manage. تسمح القاعدة بنسبة استخدام الشبكة TCP الواردة من الشبكة الفرعية Bastion إلى الجهاز الظاهري.
• mySubnet-nsg: يتم تطبيق مجموعة أمان الشبكة هذه على مستوى الشبكة الفرعية (الشبكة الفرعية للجهاز الظاهري). تسمح القاعدة بنسبة استخدام الشبكة TCP الواردة من الشبكة الفرعية Bastion إلى الجهاز الظاهري.
• myVM-nsg: يتم تطبيق مجموعة أمان الشبكة هذه على مستوى واجهة الشبكة (NIC). ترفض القاعدة حركة مرور TCP الواردة من الشبكة الفرعية Bastion إلى الجهاز الظاهري.

في مجموعة أمان شبكة myVM-nsg ، ترفض قاعدة الأمان DenyVnetInBound أي حركة مرور قادمة من مساحة العنوان لعلامة خدمة VirtualNetwork إلى الجهاز الظاهري. يستخدم مضيف Bastion عناوين IP من 10.0.1.0/26، والتي تم تضمينها علامة خدمة VirtualNetwork ، للاتصال بالجهاز الظاهري. لذلك، يتم رفض الاتصال من مضيف Bastion بواسطة قاعدة الأمان DenyVnetInBound .

إضافة قاعدة أمان للسماح بنسبة استخدام الشبكة من الشبكة الفرعية Bastion

للاتصال ب myVM باستخدام Azure Bastion، يجب السماح بنسبة استخدام الشبكة من الشبكة الفرعية Bastion بواسطة مجموعة أمان الشبكة. للسماح بنسبة استخدام الشبكة من 10.0.1.0/26، أضف قاعدة أمان ذات أولوية أعلى (رقم أولوية أقل) من قاعدة DenyVnetInBound أو قم بتحرير قاعدة DenyVnetInBound للسماح بنسبة استخدام الشبكة من الشبكة الفرعية Bastion.

المدخل

يمكنك إضافة قاعدة الأمان إلى مجموعة أمان الشبكة من صفحة Network Watcher التي أظهرت لك تفاصيل حول قاعدة الأمان التي ترفض حركة المرور إلى الجهاز الظاهري.

1. لإضافة قاعدة الأمان من داخل Network Watcher، حدد + Add security rule، ثم أدخل القيم التالية أو حددها:

   الإعداد	القيمة‬
   Source	حدد IP Addresses.
   عناوين IP المصدر/نطاقات CIDR	أدخل 10.0.1.0/26، وهو نطاق عناوين IP للشبكة الفرعية Bastion.
   نطاقات منافذ المصادر	ادخل*.
   الوجهة	حدد "Any".
   الخدمة	حدد مخصص.
   نطاقات المنفذ الوجهات	ادخل*.
   البروتوكول	حدد "Any".
   الإجراء	حدد السماح.
   أولوية	أدخل 900، وهو أولوية أعلى من 1000 مستخدم لقاعدة DenyVnetInBound.
   الاسم	أدخل AllowBastion الاتصال ions.

   

2. حدد إعادة التحقق لتشغيل جلسة التشخيص مرة أخرى. يجب أن تظهر جلسة التشخيص الآن أن نسبة استخدام الشبكة من الشبكة الفرعية Bastion مسموح بها.

   

   تسمح قاعدة الأمان AllowBastion الاتصال ions بنسبة استخدام الشبكة من أي عنوان IP في 10.0.1.0/26 إلى الجهاز الظاهري. نظرا لأن مضيف Bastion يستخدم عناوين IP من 10.0.1.0/26، يسمح باتصاله بالجهاز الظاهري بواسطة قاعدة أمان AllowBastion الاتصال ions.

بوويرشيل

1. استخدم Add-AzNetworkSecurityRuleConfig لإنشاء قاعدة أمان تسمح بحركة المرور من الشبكة الفرعية Bastion. ثم استخدم Set-AzNetworkSecurityGroup لتحديث مجموعة أمان الشبكة بقاعدة الأمان الجديدة.

   # Place the network security group configuration into a variable.
   $networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
   # Create a security rule.
   Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
   -Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
   # Updates the network security group.
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup 
   

2. استخدم Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic لإعادة التحقق باستخدام جلسة تشخيص NSG جديدة.

   # Create a profile for the diagnostic session.
   $profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
   # Place the virtual machine configuration into a variable.
   $vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
   # Start the diagnostic session.
   Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List
   

   يتم عرض إخراج مشابه لإخراج المثال التالي:

   Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
   ResultsText : [
                   {
                     "Profile": {
                       "Direction": "Inbound",
                       "Protocol": "Tcp",
                       "Source": "10.0.1.0/26",
                       "Destination": "10.0.0.4",
                       "DestinationPort": "*"
                     },
                     "NetworkSecurityGroupResult": {
                       "SecurityRuleAccessResult": "Allow",
                       "EvaluatedNetworkSecurityGroups": [
                         {
                           "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                           "MatchedRule": {
                             "RuleName": "VirtualNetwork",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "VirtualNetwork",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                           "MatchedRule": {
                             "RuleName": "DefaultRule_AllowVnetInBound",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "DefaultRule_AllowVnetInBound",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         },
                         {
                           "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                           "MatchedRule": {
                             "RuleName": "UserRule_AllowBastionConnections",
                             "Action": "Allow"
                           },
                           "RulesEvaluationResult": [
                             {
                               "Name": "UserRule_AllowBastionConnections",
                               "ProtocolMatched": true,
                               "SourceMatched": true,
                               "SourcePortMatched": true,
                               "DestinationMatched": true,
                               "DestinationPortMatched": true
                             }
                           ]
                         }
                       ]
                     }
                   }
                 ]
   

   تسمح قاعدة الأمان AllowBastion الاتصال ions بنسبة استخدام الشبكة من أي عنوان IP في 10.0.1.0/26 إلى الجهاز الظاهري. نظرا لأن مضيف Bastion يستخدم عناوين IP من 10.0.1.0/26، يسمح باتصاله بالجهاز الظاهري بواسطة قاعدة أمان AllowBastion الاتصال ions.

Azure CLI

1. استخدم az network nsg rule create لإضافة قاعدة أمان إلى مجموعة أمان الشبكة تسمح بحركة المرور من الشبكة الفرعية Bastion.

   # Add a security rule to the network security group.
   az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
   --access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
   --destination-address-prefixes '*' --destination-port-ranges '*'
   

2. استخدم az network watcher run-configuration-diagnostic لإعادة التحقق باستخدام جلسة تشخيص NSG جديدة.

   # Start the the NSG diagnostics session.
   az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'
   

   يتم عرض إخراج مشابه لإخراج المثال التالي:

   {
     "results": [
       {
         "networkSecurityGroupResult": {
           "evaluatedNetworkSecurityGroups": [
             {
               "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "VirtualNetwork"
               },
               "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "VirtualNetwork",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "DefaultRule_AllowVnetInBound"
               },
               "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "DefaultRule_AllowVnetInBound",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             },
             {
               "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
               "matchedRule": {
                 "action": "Allow",
                 "ruleName": "UserRule_AllowBastionConnections"
               },
               "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
               "rulesEvaluationResult": [
                 {
                   "destinationMatched": true,
                   "destinationPortMatched": true,
                   "name": "UserRule_AllowBastionConnections",
                   "protocolMatched": true,
                   "sourceMatched": true,
                   "sourcePortMatched": true
                 }
               ]
             }
           ],
           "securityRuleAccessResult": "Allow"
         },
         "profile": {
           "destination": "10.0.0.4",
           "destinationPort": "*",
           "direction": "Inbound",
           "protocol": "TCP",
           "source": "10.0.1.0/26"
         }
       }
     ]
   }
   

   تسمح قاعدة الأمان AllowBastion الاتصال ions بنسبة استخدام الشبكة من أي عنوان IP في 10.0.1.0/26 إلى الجهاز الظاهري. نظرا لأن مضيف Bastion يستخدم عناوين IP من 10.0.1.0/26، يسمح باتصاله بالجهاز الظاهري بواسطة قاعدة أمان AllowBastion الاتصال ions.

تنظيف الموارد

عندما لم تعد هناك حاجة، احذف مجموعة الموارد وجميع الموارد التي تحتوي عليها:

المدخل

1. في مربع البحث أعلى المدخل، أدخل myResourceGroup. حدد myResourceGroup من نتائج البحث.

2. حدد Delete resource group.

3. في حذف مجموعة موارد، أدخل myResourceGroup، ثم حدد حذف.

4. حدد حذف لتأكيد حذف مجموعة الموارد وجميع مواردها.

بوويرشيل

استخدم Remove-AzResourceGroup لحذف مجموعة الموارد وجميع الموارد التي تحتوي عليها.

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

Azure CLI

استخدام az group delete لإزالة مجموعة الموارد وجميع الموارد التي تحتوي عليها

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

الخطوات التالية

• للتعرف على أدوات Network Watcher الأخرى، راجع ما هو Azure Network Watcher؟
• لمعرفة كيفية استكشاف مشكلات توجيه الجهاز الظاهري وإصلاحها، راجع تشخيص مشكلة توجيه شبكة الجهاز الظاهري.