Introduktion till verifiering av IP-flöde i Azure Network Watcher

  • Artikel
  • 2 minuter för att läsa

Kontrollera IP-flöde kontrollerar om ett paket tillåts eller nekas till eller från en virtuell dator. Informationen består av riktning, protokoll, lokal IP, fjärr-IP, lokal port och fjärrport. Om paketet nekas av en säkerhetsgrupp returneras namnet på regeln som nekade paketet. Även om du kan välja en käll- eller mål-IP-adress hjälper kontrollera IP-flöde administratörer att snabbt diagnostisera anslutningsproblem från eller till Internet och från eller till den lokala miljön.

Kontrollera IP-flöde tittar på reglerna för alla nätverkssäkerhetsgrupper (NSG:er) som tillämpas på nätverksgränssnittet, till exempel ett undernät eller ett nätverkskort för virtuella datorer. Trafikflödet verifieras sedan baserat på de konfigurerade inställningarna till eller från det nätverksgränssnittet. Kontrollera IP-flöde är användbart för att bekräfta om en regel i en nätverkssäkerhetsgrupp blockerar in- eller utgående trafik till eller från en virtuell dator. Nu, tillsammans med utvärderingen av NSG-regler, kommer även Azure Virtual Network Manager-reglerna att utvärderas.

Azure Virtual Network Manager (AVNM) är en hanteringstjänst som gör det möjligt för användare att gruppera, konfigurera, distribuera och hantera virtuella nätverk globalt över prenumerationer. Med säkerhetskonfigurationen för AVNM kan användarna definiera en samling regler som kan tillämpas på en eller flera nätverkssäkerhetsgrupper på global nivå. Dessa säkerhetsregler har högre prioritet än regler för nätverkssäkerhetsgrupp (NSG). En viktig skillnad här är att administratörsregler är en resurs som levereras av ANM på en central plats som styrs av styrnings- och säkerhetsteam, som bubblar ned till varje vnet. NSG:er är en resurs som styrs av vnet-ägare, som gäller på varje undernäts- eller NIC-nivå.

En instans av Network Watcher måste skapas i alla regioner som du planerar att köra kontrollera IP-flöde. Network Watcher är en regional tjänst och kan bara kördes mot resurser i samma region. Den instans som används påverkar inte resultatet av verifiering av IP-flöde eftersom alla flöden som är associerade med nätverkskortet eller undernätet fortfarande returneras.

1

Nästa steg

Gå till följande artikel om du vill veta om ett paket tillåts eller nekas för en specifik virtuell dator via portalen. Kontrollera om trafik tillåts på en virtuell dator med IP-Flow Verifiera med hjälp av portalen