Controllare se il traffico da o verso una macchina virtuale è consentito o negato con la verifica del flusso IP, una funzionalità di Network Watcher di AzureCheck if traffic is allowed or denied to or from a VM with IP Flow Verify a component of Azure Network Watcher

La verifica del flusso IP è una funzionalità di Network Watcher che consente di verificare se il traffico da o verso una macchina virtuale è consentito o negato.IP flow verify is a feature of Network Watcher that allows you to verify if traffic is allowed to or from a virtual machine. La convalida può essere eseguita per il traffico in ingresso o in uscita.The validation can be run for incoming or outgoing traffic. Questo scenario è utile per stabilire se una macchina virtuale può comunicare con una risorsa esterna o un'altra risorsa.This scenario is useful to get a current state of whether a virtual machine can talk to an external resource or another resource. La funzionalità può essere usata per verificare se le regole del gruppo di sicurezza di rete sono configurate correttamente e per risolvere i problemi dei flussi bloccati da tali regole.IP flow verify can be used to verify if your Network Security Group (NSG) rules are properly configured and troubleshoot flows that are being blocked by NSG rules. La verifica del flusso IP consente inoltre di verificare che il traffico che si vuole bloccare sia correttamente bloccato dal gruppo di sicurezza di rete.Another reason for using IP flow verify is to ensure traffic that you want blocked is being blocked properly by the NSG.

Prima di iniziareBefore you begin

Questo scenario presuppone il completamento dei passaggi descritti in Creare un servizio Network Watcher per creare un servizio Network Watcher o aprire un'istanza esistente di Network Watcher.This scenario assumes you have already followed the steps in Create a Network Watcher to create a Network Watcher or have an existing instance of Network Watcher. Lo scenario presuppone inoltre che esista e possa essere usato un gruppo di risorse con una macchina virtuale valida.The scenario also assumes that a Resource Group with a valid virtual machine exists to be used.

ScenarioScenario

Questo scenario usa la verifica del flusso IP per verificare se una macchina virtuale può comunicare con un altro computer sulla porta 443.This scenario uses IP Flow Verify to verify if a virtual machine can talk to another machine over port 443. Se il traffico viene negato, restituisce la regola di sicurezza che nega il traffico.If the traffic is denied, it returns the security rule that is denying that traffic. Per altre informazioni sulla verifica del flusso IP, leggere la panoramica sulla verifica del flusso IPTo learn more about IP Flow Verify, visit IP Flow Verify Overview

Eseguire la verifica del flusso IPRun IP flow verify

Passare a Network Watcher e fare clic su Verifica del flusso IP.Navigate to your Network Watcher and click IP flow verify. Selezionare la macchina virtuale e l'interfaccia di rete da cui si desidera verificare il traffico.Select the virtual machine and network interface you want to verify traffic from. Immettere le eventuali informazioni di filtro aggiuntive e fare clic su Controlla.Enter any additional filtering information and click Check.

Dopo avere fatto clic Controlla, viene controllato il flusso in base ai criteri forniti.Once you click Check, the flow based on the criteria you provided is checked. Il risultato è Accesso consentito o Accesso negato.The result is either Access allowed or Access denied. Se l'accesso è negato, vengono forniti il gruppo di sicurezza di rete (NSG) e la regola di sicurezza che bloccano il traffico.If access is denied, the Network Security Group (NSG) and security rule that block traffic is provided. Se il comportamento atteso era la negazione del traffico, la regola ha funzionato.If the denial of traffic is expected behavior, then the rule was successful.

Nota

La verifica del flusso IP richiede che la risorsa VM sia allocata.IP flow verify requires that the VM resource is allocated.

Come si può notare dalla figura seguente, il traffico HTTPS in uscita era consentito.As you can see from the following image, the outbound HTTPS traffic was allowed.

Panoramica della verifica del flusso IP

Come illustrato nella figura seguente, il traffico diventa in ingresso e la porta di ingresso a la 123.As seen in the following image, traffic is changed to inbound and the inbound port changed to 123. Il traffico ora è negato, viene fornito il messaggio "Accesso negato" insieme al gruppo di sicurezza di rete e alla regola di sicurezza che negano il traffico.Traffic is now denied, the message "Access denied" is provided along with the network security group and security rule that deny the traffic.

Risultati del flusso di IP

Passaggi successiviNext steps

Se il traffico risulta bloccato e non dovrebbe esserlo, vedere Gestire i gruppi di sicurezza di rete per individuare il gruppo di sicurezza di rete e le relative regole di sicurezza definite.If traffic is being blocked and it should not be, see Manage Network Security Groups to track down the network security group and security rules that are defined.