Usare i filtri IPUse IP filters

La sicurezza è un aspetto importante di qualsiasi soluzione IoT basata su un hub IoT di Azure.Security is an important aspect of any IoT solution based on Azure IoT Hub. Talvolta è necessario specificare in modo esplicito gli indirizzi IP da cui possono connettersi i dispositivi come parte della configurazione di sicurezza.Sometimes you need to explicitly specify the IP addresses from which devices can connect as part of your security configuration. La funzionalità Filtro IP consente di configurare regole per rifiutare o accettare il traffico da specifici indirizzi IPv4.The IP filter feature enables you to configure rules for rejecting or accepting traffic from specific IPv4 addresses.

Quando usare le autorizzazioniWhen to use

Esistono due casi d'uso specifici in cui è utile bloccare gli endpoint dell'hub IoT per determinati indirizzi IP:There are two specific use-cases when it is useful to block the IoT Hub endpoints for certain IP addresses:

  • L'hub IoT deve ricevere il traffico solo da un intervallo di indirizzi IP specificato e rifiutare tutto il resto.Your IoT hub should receive traffic only from a specified range of IP addresses and reject everything else. Si usa ad esempio l'hub IoT con Azure ExpressRoute per creare connessioni private tra un hub IoT e l'infrastruttura locale.For example, you are using your IoT hub with [Azure Express Route] to create private connections between an IoT hub and your on-premises infrastructure.
  • È necessario rifiutare il traffico proveniente da indirizzi IP identificati come sospetti dall'amministratore dell'hub IoT.You need to reject traffic from IP addresses that have been identified as suspicious by the IoT hub administrator.

Come vengono applicate le regole di filtroHow filter rules are applied

Le regole del filtro IP vengono applicate a livello del servizio dell'hub IoT.The IP filter rules are applied at the IoT Hub service level. Le regole del filtro IP vengono quindi applicate a tutte le connessioni provenienti dai dispositivi e dalle app back-end con qualsiasi protocollo supportato.Therefore the IP filter rules apply to all connections from devices and back-end apps using any supported protocol.

Qualsiasi tentativo di connessione da un indirizzo IP corrispondente a una regola di rifiuto nell'hub IoT riceve un codice di stato 401 - Non autorizzato e la descrizione.Any connection attempt from an IP address that matches a rejecting IP rule in your IoT hub receives an unauthorized 401 status code and description. Il messaggio di risposta non indica la regola IP.The response message does not mention the IP rule.

Impostazione predefinitaDefault setting

Per impostazione predefinita, la griglia Filtro IP nel portale di un hub IoT è vuota.By default, the IP Filter grid in the portal for an IoT hub is empty. Questa impostazione predefinita indica che l'hub accetta connessioni da qualsiasi indirizzo IP.This default setting means that your hub accepts connections any IP address. Questa impostazione predefinita equivale a una regola che accetta l'intervallo di indirizzi IP 0.0.0.0/0.This default setting is equivalent to a rule that accepts the 0.0.0.0/0 IP address range.

Impostazioni predefinite del filtro IP dell'hub IoT

Aggiungere o modificare una regola del filtro IPAdd or edit an IP filter rule

Quando si aggiunge una regola del filtro IP, vengono richiesti i valori seguenti:When you add an IP filter rule, you are prompted for the following values:

  • Un nome della regola del filtro IP che deve essere una stringa univoca, senza distinzione tra maiuscole e minuscole e alfanumerica con un massimo di 128 caratteri.An IP filter rule name that must be a unique, case-insensitive, alphanumeric string up to 128 characters long. Sono ammessi solo caratteri alfanumerici ASCII a 7 bit più {'-', ':', '/', '\', '.', '+', '%', '_', '#', '*', '?', '!', '(', ')', ',', '=', '@', ';', '''}.Only the ASCII 7-bit alphanumeric characters plus {'-', ':', '/', '\', '.', '+', '%', '_', '#', '*', '?', '!', '(', ')', ',', '=', '@', ';', '''} are accepted.
  • Selezionare il rifiuto o l'accettazione come azione per la regola del filtro IP.Select a reject or accept as the action for the IP filter rule.
  • Specificare un singolo indirizzo IPv4 o un blocco di indirizzi IP in notazione CIDR.Provide a single IPv4 address or a block of IP addresses in CIDR notation. In notazione CIDR, ad esempio, 192.168.100.0/22 rappresenta gli indirizzi IPv4 1024 da 192.168.100.0 a 192.168.103.255.For example, in CIDR notation 192.168.100.0/22 represents the 1024 IPv4 addresses from 192.168.100.0 to 192.168.103.255.

Aggiungere una regola di filtro IP a un hub IoT

Dopo aver salvato la regola viene visualizzato un avviso che informa che l'aggiornamento è in corso.After you save the rule, you see an alert notifying you that the update is in progress.

Notifica sul salvataggio di una regola di filtro IP

L'opzione Aggiungi è disabilitata quando si raggiunge il numero massimo di dieci regole del filtro IP.The Add option is disabled when you reach the maximum of 10 IP filter rules.

È possibile modificare una regola esistente facendo doppio clic sulla riga corrispondente.You can edit an existing rule by double-clicking the row that contains the rule.

Nota

Il rifiuto di indirizzi IP può impedire l'interazione di altri servizi di Azure (ad esempio Analisi di flusso di Azure, Macchine virtuali di Azure o Device Explorer nel portale) con l'hub IoT.Rejecting IP addresses can prevent other Azure Services (such as Azure Stream Analytics, Azure Virtual Machines, or the Device Explorer in the portal) from interacting with the IoT hub.

Avviso

Se si usa Analisi di flusso di Azure (ASA) per leggere i messaggi da un hub IoT con i filtri IP abilitati, usare il nome e l'endpoint compatibile con l'hub eventi dell'hub IoT nella stringa di connessione ASA.If you use Azure Stream Analytics (ASA) to read messages from an IoT hub with IP filtering enabled, use the Event Hub-compatible name and endpoint of your IoT Hub in the ASA connection string.

Eliminare una regola del filtro IPDelete an IP filter rule

Selezionare una o più regole del filtro IP nella griglia e fare clic su Elimina.To delete an IP filter rule, select one or more rules in the grid and click Delete.

Eliminare una regola del filtro IP dell'hub IoT

Valutazione delle regole del filtro IPIP filter rule evaluation

Le regole del filtro IP vengono applicate in ordine e la prima regola corrispondente all'indirizzo IP determina l'azione di accettazione o rifiuto.IP filter rules are applied in order and the first rule that matches the IP address determines the accept or reject action.

Se ad esempio si vogliono accettare gli indirizzi nell'intervallo 192.168.100.0/22 e rifiutare tutti gli altri, la prima regola nella griglia dovrà accettare l'intervallo di indirizzi 192.168.100.0/22.For example, if you want to accept addresses in the range 192.168.100.0/22 and reject everything else, the first rule in the grid should accept the address range 192.168.100.0/22. La regola successiva dovrà rifiutare tutti gli indirizzi usando l'intervallo 0.0.0.0/0.The next rule should reject all addresses by using the range 0.0.0.0/0.

È possibile modificare l'ordine delle regole del filtro IP nella griglia facendo clic sui tre punti verticali all'inizio di una riga e trascinando la selezione.You can change the order of your IP filter rules in the grid by clicking the three vertical dots at the start of a row and using drag and drop.

Per salvare il nuovo ordine delle regole del filtro IP, fare clic su Salva.To save your new IP filter rule order, click Save.

Modificare l'ordine delle regole del filtro IP dell'hub IoT

Passaggi successiviNext steps

Per altre informazioni sulle funzionalità dell'hub IoT, vedere:To further explore the capabilities of IoT Hub, see: