你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

诊断网络安全规则

项目
08/15/2023

可以使用网络安全组来筛选和控制进出 Azure 资源的入站和出站网络流量。你还可以使用 Azure Virtual Network Manager 将管理安全规则应用于 Azure 资源，以便控制网络流量。

本文介绍如何使用 Azure 网络观察程序 NSG 诊断来检查和排查应用于 Azure 流量的安全规则问题。 NSG 诊断可检查应用的安全规则是允许还是拒绝流量。

本文中的示例演示了配置错误的网络安全组如何阻止你使用 Azure Bastion 连接到虚拟机。

先决条件

具有活动订阅的 Azure 帐户。免费创建帐户。
使用 Azure 帐户登录到 Azure 门户。

具有活动订阅的 Azure 帐户。免费创建帐户。
Azure Cloud Shell 或 Azure PowerShell。

本文中的步骤在 Azure Cloud Shell 中以交互方式运行 Azure PowerShell cmdlet 命令。要在 Cloud Shell 中运行命令，请选择代码块右上角的“打开 Cloud Shell”。选择“复制”以复制代码，并将其粘贴到 Cloud Shell 以运行。也可以从 Azure 门户中运行 Cloud Shell。

也可以在本地安装 Azure PowerShell 以运行 cmdlet。本文需要 Az PowerShell 模块。有关详细信息，请参阅如何安装 Azure PowerShell。要查找已安装的版本，请运行 Get-InstalledModule -Name Az。如果在本地运行 PowerShell，请使用 Connect-AzAccount cmdlet 登录到 Azure。

创建虚拟网络和堡垒主机

在本部分，将创建包含两个子网和一个 Azure Bastion 主机的虚拟网络。第一个子网用于虚拟机，第二个子网用于 Bastion 主机。你还可以创建网络安全组并将其应用于第一个子网。

在门户顶部的搜索框中，输入“虚拟网络”。在搜索结果中，选择“虚拟网络”。

选择“+ 新建”。在“创建虚拟网络”的“基本信息”选项卡中，输入或选择以下值：

设置	值
项目详细信息
订阅	选择 Azure 订阅。
资源组	选择“新建”。在“名称”中输入“myResourceGroup”。选择“确定”。
实例详细信息
虚拟网络名称	输入“myVNet”。
区域	选择“(US)美国东部”。

选择“安全性”选项卡，或者选择页面底部的“下一步”按钮。
在“Azure Bastion”下，选择“启用 Azure Bastion”并接受默认值：

设置值

Azure Bastion 主机名 myVNet-Bastion。

Azure Bastion 公共 IP 地址（新）myVNet-bastion-publicIpAddress。
选择“IP 地址”选项卡，或者选择页面底部的“下一步”按钮。
接受默认 IP 地址空间 10.0.0.0/16，并通过选择铅笔图标编辑默认子网。在“编辑子网”页中，输入以下值：

设置值

子网详细信息

名称输入“mySubnet”。

安全性

网络安全组选择“新建”。
在“名称”中，输入“mySubnet-nsg”。
选择“确定”。
选择“查看 + 创建”。
检查设置，然后选择“创建”。

设置	值
Azure Bastion 主机名	myVNet-Bastion。
Azure Bastion 公共 IP 地址	（新）myVNet-bastion-publicIpAddress。

设置	值
子网详细信息
名称	输入“mySubnet”。
安全性
网络安全组	选择“新建”。在“名称”中，输入“mySubnet-nsg”。选择“确定”。

使用 New-AzResourceGroup 创建资源组。 Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。
```
# Create a resource group.
New-AzResourceGroup -Name 'myResourceGroup' -Location 'eastus'
```

使用 New-AzNetworkSecurityGroup 创建默认网络安全组。

# Create a network security group.
$networkSecurityGroup = New-AzNetworkSecurityGroup -Name 'mySubnet-nsg' -ResourceGroupName 'myResourceGroup' -Location 'eastus'

使用 New-AzVirtualNetworkSubnetConfig 为虚拟机子网和 Bastion 主机子网创建子网配置。

# Create subnets configuration.
$firstSubnet = New-AzVirtualNetworkSubnetConfig -Name 'mySubnet' -AddressPrefix '10.0.0.0/24' -NetworkSecurityGroup $networkSecurityGroup
$secondSubnet  = New-AzVirtualNetworkSubnetConfig -Name 'AzureBastionSubnet'  -AddressPrefix '10.0.1.0/26'

使用 New-AzVirtualNetwork 创建虚拟网络。

# Create a virtual network.
$vnet = New-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup' -Location 'eastus' -AddressPrefix '10.0.0.0/16' -Subnet $firstSubnet, $secondSubnet

使用 New-AzPublicIpAddress 创建 Bastion 主机所需的公共 IP 地址资源。

# Create a public IP address for Azure Bastion.
New-AzPublicIpAddress -ResourceGroupName 'myResourceGroup' -Name 'myBastionIp' -Location 'eastus' -AllocationMethod 'Static' -Sku 'Standard'

使用 New-AzBastion 创建 Bastion 主机。

# Create an Azure Bastion host.
New-AzBastion -ResourceGroupName 'myResourceGroup' -Name 'myVNet-Bastion' --PublicIpAddressRgName 'myResourceGroup' -PublicIpAddressName 'myBastionIp' -VirtualNetwork $vnet

使用 az group create 创建资源组。 Azure 资源组是在其中部署和管理 Azure 资源的逻辑容器。
```
# Create a resource group.
az group create --name 'myResourceGroup' --location 'eastus'
```

使用 az network nsg create 创建默认网络安全组。

# Create a network security group.
az network nsg create --name 'mySubnet-nsg' --resource-group 'myResourceGroup' --location 'eastus'

使用 az network vnet create 创建虚拟网络。

az network vnet create --resource-group 'myResourceGroup' --name 'myVNet' --subnet-name 'mySubnet' --subnet-prefixes 10.0.0.0/24 --network-security-group 'mySubnet-nsg'

使用 az network vnet subnet create 为 Azure Bastion 创建子网。

# Create AzureBastionSubnet.
az network vnet subnet create --name 'AzureBastionSubnet' --resource-group 'myResourceGroup' --vnet-name 'myVNet' --address-prefixes '10.0.1.0/26'

使用 az network public-ip create 为 Bastion 主机创建公共 IP 地址。

# Create a public IP address resource.
az network public-ip create --resource-group 'myResourceGroup' --name 'myBastionIp' --sku Standard

使用 az network bastion create 创建 Bastion 主机。

az network bastion create --name 'myVNet-Bastion' --public-ip-address 'myBastionIp' --resource-group 'myResourceGroup' --vnet-name 'myVNet'

重要

无论出站数据使用情况如何，小时定价都从部署 Bastion 的时刻开始计算。有关详细信息，请参阅定价。我们建议在使用完该资源后将其删除。

创建虚拟机

在本部分，将创建应用于其网络接口的虚拟机和网络安全组。

在门户顶部的搜索框中，输入“虚拟机”。在搜索结果中，选择“虚拟机”。
选择“+ 创建”，然后选择“Azure 虚拟机”。

在“创建虚拟机”中，在“基本信息”选项卡中输入或选择以下值：

设置	值
项目详细信息
订阅	选择 Azure 订阅。
资源组	选择“myResourceGroup”。
实例详细信息
虚拟机名称	输入myVM。
区域	选择(US)美国东部。
可用性选项	选择“无需基础结构冗余”。
安全类型	选择“标准”。
映像	选择“Windows Server 2022 Datacenter: Azure Edition - x64 Gen2”。
大小	选择大小或保留默认设置。
管理员帐户
用户名	输入用户名。
Password	输入密码。
确认密码	重新输入密码。

选择“网络”选项卡，或选择“下一步: 磁盘”，然后选择“下一步: 网络”。

在“网络”选项卡上，选择以下值：

设置	值
网络接口
虚拟网络	选择“myVNet”。
子网	选择“默认值”。
公共 IP	选择无。
NIC 网络安全组	选择基本。
公共入站端口	选择无。

选择“查看 + 创建”。
检查设置，然后选择“创建”。

使用 New-AzNetworkSecurityGroup 创建默认网络安全组。

# Create a default network security group.
New-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup' -Location  eastus

使用 New-AzVM 创建虚拟机。出现提示时，输入用户名和密码。

# Create a virtual machine using the latest Windows Server 2022 image.
New-AzVm -ResourceGroupName 'myResourceGroup' -Name 'myVM' -Location 'eastus' -VirtualNetworkName 'myVNet' -SubnetName 'mySubnet' -SecurityGroupName 'myVM-nsg' -ImageName 'MicrosoftWindowsServer:WindowsServer:2022-Datacenter-azure-edition:latest'

使用 az network nsg create 创建默认网络安全组。

# Create a default network security group.
az network nsg create --name 'myVM-nsg' --resource-group 'myResourceGroup' --location 'eastus'

使用 az vm create 创建虚拟机。出现提示时，输入用户名和密码。

# Create a virtual machine using the latest Windows Server 2022 image.
az vm create --resource-group 'myResourceGroup' --name 'myVM' --location 'eastus' --vnet-name 'myVNet' --subnet 'mySubnet' --public-ip-address '' --nsg 'myVM-nsg' --image 'Win2022AzureEditionCore'

将安全规则添加到网络安全组

在本部分，将安全规则添加到与 myVM 的网络接口关联的网络安全组。该规则将拒绝来自虚拟网络的任何入站流量。

在门户顶部的搜索框中，输入“网络安全组”。在搜索结果中选择“网络安全组”。
在网络安全组列表中，选择“myVM-nsg”。
在“设置”下，选择“入站安全规则”。

选择“+ 添加”。在“网络”选项卡中，输入或选择以下值：

设置	值
源	选择“服务标记”。
源服务标记	选择“VirtualNetwork”。
源端口范围	输入 *。
目标	选择“任何”。
服务	选择“自定义”。
目标端口范围	输入 *。
协议	选择“任何”。
操作	选择“拒绝”。
优先级	输入“1000”。
名称	输入“DenyVnetInBound”。

选择添加。

使用 Add-AzNetworkSecurityRuleConfig 创建用于拒绝来自虚拟网络的流量的安全规则。然后使用 Set-AzNetworkSecurityGroup 和新的安全规则来更新网络安全组。

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule that denies inbound traffic from the virtual network service tag.
Add-AzNetworkSecurityRuleConfig -Name 'DenyVnetInBound' -NetworkSecurityGroup $networkSecurityGroup `
-Access 'Deny' -Protocol '*' -Direction 'Inbound' -Priority '1000' `
-SourceAddressPrefix 'virtualNetwork' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

使用 az network nsg rule create 向网络安全组添加用于拒绝来自虚拟网络的流量的安全规则。

# Add to the network security group a security rule that denies inbound traffic from the virtual network service tag.
az network nsg rule create --name 'DenyVnetInBound' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '1000' \
--access 'Deny' --protocol '*' --direction 'Inbound' --source-address-prefixes 'virtualNetwork' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

注意

VirtualNetwork 服务标记代表虚拟网络的地址空间、所有连接的本地地址空间、对等互连的虚拟网络、已连接到虚拟网络网关的虚拟网络、主机的虚拟 IP 地址，以及用户定义的路由上使用的地址前缀。有关详细信息，请参阅服务标记。

检查应用于虚拟机流量的安全规则

使用 NSG 诊断检查应用于从 Bastion 子网传输到虚拟机的流量的安全规则。

在门户顶部的搜索栏中，搜索并选择“网络观察程序”。
在“网络诊断工具”下，选择“NSG 诊断”。

在“NSG 诊断”页上，输入或选择以下值：

设置	值
目标资源
目标资源类型	选择“虚拟机”。
虚拟机	选择 myVM 虚拟机。
流量详细信息
协议	选择“TCP”。其他可用选项包括：“任何”、“UDP”和“ICMP”。
方向	选择“入站”。其他可用选项为“出站”。
源类型	选择“IPv4 地址/CIDR”。其他可用选项为“服务标记”。
IPv4 地址/CIDR	输入“10.0.1.0/26”，这是 Bastion 子网的 IP 地址范围。可接受的值包括：单个 IP 地址、多个 IP 地址、单个 IP 前缀、多个 IP 前缀。
目标 IP 地址	保留默认值 10.0.0.4，它是 myVM 的 IP 地址。
目标端口	输入 * 以包含所有端口。

选择“运行 NSG 诊断”以运行测试。当 NSG 诊断完成对所有安全规则的检查后，它会显示结果。

结果显示有三个安全规则评估了来自 Bastion 子网的入站连接：
- GlobalRules：此安全管理规则使用 Azure Virtual Network Manage 在虚拟网络级别进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。
- mySubnet-nsg：此网络安全组在子网级别（虚拟机子网）进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。
- myVM-nsg：此网络安全组在网络接口 (NIC) 级别进行应用。该规则拒绝从 Bastion 子网到虚拟机的入站 TCP 流量。
选择“myVM-nsg”的“查看详细信息”，以详细了解此网络安全组包含的安全规则以及哪些规则拒绝了流量。

在 myVM-nsg 网络安全组中，安全规则 DenyVnetInBound 拒绝了从 VirtualNetwork 服务标记的地址空间流向虚拟机的任何流量。 Bastion 主机使用地址范围 10.0.1.0/26 中的 IP 地址（包含在 VirtualNetwork 服务标记中）连接到虚拟机。因此，来自 Bastion 主机的连接将被 DenyVnetInBound 安全规则拒绝。

使用 Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic 启动 NSG 诊断会话。

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction Inbound -Protocol Tcp -Source 10.0.1.0/26 -Destination 10.0.0.4 -DestinationPort *
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the the NSG diagnostics session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

将返回类似于以下示例输出的输出：

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Deny",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_DenyVnetInBound",
                          "Action": "Deny"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_DenyVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

结果显示有三个安全规则评估了来自 Bastion 子网的入站连接：

GlobalRules：此安全管理规则使用 Azure Virtual Network Manage 在虚拟网络级别进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。
mySubnet-nsg：此网络安全组在子网级别（虚拟机子网）进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。
myVM-nsg：此网络安全组在网络接口 (NIC) 级别进行应用。该规则拒绝从 Bastion 子网到虚拟机的入站 TCP 流量。

在 myVM-nsg 网络安全组中，安全规则 DenyVnetInBound 拒绝了从 VirtualNetwork 服务标记的地址空间流向虚拟机的任何流量。 Bastion 主机使用 10.0.1.0/26 中的 IP 地址（包含在 VirtualNetwork 服务标记中）连接到虚拟机。因此，来自 Bastion 主机的连接将被 DenyVnetInBound 安全规则拒绝。

使用 az network watcher run-configuration-diagnostic 启动 NSG 诊断会话。

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

将返回类似于以下示例输出的输出：

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Deny",
              "ruleName": "UserRule_DenyVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_DenyVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Deny"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

结果显示有三个安全规则评估了来自 Bastion 子网的入站连接：

GlobalRules：此安全管理规则使用 Azure Virtual Network Manage 在虚拟网络级别进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。
mySubnet-nsg：此网络安全组在子网级别（虚拟机子网）进行应用。该规则允许从 Bastion 子网到虚拟机的入站 TCP 流量。
myVM-nsg：此网络安全组在网络接口 (NIC) 级别进行应用。该规则拒绝从 Bastion 子网到虚拟机的入站 TCP 流量。

添加安全规则以允许来自 Bastion 子网的流量

若要使用 Azure Bastion 连接到 myVM，网络安全组必须允许来自 Bastion 子网的流量。若要允许来自 10.0.1.0/26 的流量，请添加比 DenyVnetInBound 规则优先级更高（优先级数字更低）的安全规则，或编辑 DenyVnetInBound 规则以允许来自 Bastion 子网的流量。

可从“网络观察程序”页将安全规则添加到网络安全组，该页显示了拒绝虚拟机流量的安全规则的相关详细信息。

若要从网络观察程序中添加安全规则，请选择“+ 添加安全规则”，然后输入或选择以下值：

设置	值
源	选择“IP 地址”。
源 IP 地址/CIDR 范围	输入“10.0.1.0/26”，这是 Bastion 子网的 IP 地址范围。
源端口范围	输入 *。
目标	选择“任何”。
服务	选择“自定义”。
目标端口范围	输入 *。
协议	选择“任何”。
操作	选择“允许”。
优先级	输入“900”，其优先级高于用于 DenyVnetInBound 规则的 1000。
名称	输入“AllowBastionConnections”。

选择“重新检查”以再次运行诊断会话。诊断会话现在应该会显示允许来自 Bastion 子网的流量。

安全规则 AllowBastionConnections 允许从 10.0.1.0/26 中的任何 IP 地址到虚拟机的流量。由于 Bastion 主机使用 10.0.1.0/26 中的 IP 地址，因此，AllowBastionConnections 安全规则允许其与虚拟机的连接。

使用 Add-AzNetworkSecurityRuleConfig 创建用于允许来自 Bastion 子网的流量的安全规则。然后使用 Set-AzNetworkSecurityGroup 和新的安全规则来更新网络安全组。

# Place the network security group configuration into a variable.
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name 'myVM-nsg' -ResourceGroupName 'myResourceGroup'
# Create a security rule.
Add-AzNetworkSecurityRuleConfig -Name 'AllowBastionConnections' -NetworkSecurityGroup $networkSecurityGroup -Priority '900' -Access 'Allow' `
-Protocol '*' -Direction 'Inbound' -SourceAddressPrefix '10.0.1.0/26' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*'
# Updates the network security group.
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

使用 Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic 通过新的 NSG 诊断会话重新进行检查。

# Create a profile for the diagnostic session.
$profile = New-AzNetworkWatcherNetworkConfigurationDiagnosticProfile -Direction 'Inbound' -Protocol 'Tcp' -Source '10.0.1.0/26' -Destination '10.0.0.4' -DestinationPort '*'
# Place the virtual machine configuration into a variable.
$vm = Get-AzVM -Name 'myVM' -ResourceGroupName 'myResourceGroup'
# Start the diagnostic session.
Invoke-AzNetworkWatcherNetworkConfigurationDiagnostic -Location 'eastus' -TargetResourceId $vm.Id -Profile $profile | Format-List

将返回类似于以下示例输出的输出：

Results     : {Microsoft.Azure.Commands.Network.Models.PSNetworkConfigurationDiagnosticResult}
ResultsText : [
                {
                  "Profile": {
                    "Direction": "Inbound",
                    "Protocol": "Tcp",
                    "Source": "10.0.1.0/26",
                    "Destination": "10.0.0.4",
                    "DestinationPort": "*"
                  },
                  "NetworkSecurityGroupResult": {
                    "SecurityRuleAccessResult": "Allow",
                    "EvaluatedNetworkSecurityGroups": [
                      {
                        "NetworkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
                        "MatchedRule": {
                          "RuleName": "VirtualNetwork",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "VirtualNetwork",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
                        "MatchedRule": {
                          "RuleName": "DefaultRule_AllowVnetInBound",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "DefaultRule_AllowVnetInBound",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      },
                      {
                        "NetworkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
                        "MatchedRule": {
                          "RuleName": "UserRule_AllowBastionConnections",
                          "Action": "Allow"
                        },
                        "RulesEvaluationResult": [
                          {
                            "Name": "UserRule_AllowBastionConnections",
                            "ProtocolMatched": true,
                            "SourceMatched": true,
                            "SourcePortMatched": true,
                            "DestinationMatched": true,
                            "DestinationPortMatched": true
                          }
                        ]
                      }
                    ]
                  }
                }
              ]

安全规则 AllowBastionConnections 允许从 10.0.1.0/26 中的任何 IP 地址到虚拟机的流量。由于 Bastion 主机使用 10.0.1.0/26 中的 IP 地址，因此，AllowBastionConnections 安全规则允许其与虚拟机的连接。

使用 az network nsg rule create 向网络安全组添加用于允许来自 Bastion 子网的流量的安全规则。

# Add a security rule to the network security group.
az network nsg rule create --name 'AllowBastionConnections' --resource-group 'myResourceGroup' --nsg-name 'myVM-nsg' --priority '900' \
--access 'Allow' --protocol '*' --direction 'Inbound' --source-address-prefixes '10.0.1.0/26' --source-port-ranges '*' \
--destination-address-prefixes '*' --destination-port-ranges '*'

使用 az network watcher run-configuration-diagnostic 通过新的 NSG 诊断会话重新进行检查。

# Start the the NSG diagnostics session.
az network watcher run-configuration-diagnostic --resource 'myVM' --resource-group 'myResourceGroup' --resource-type 'virtualMachines' --direction 'Inbound' --protocol 'TCP' --source '10.0.1.0/26' --destination '10.0.0.4' --port '*'

将返回类似于以下示例输出的输出：

{
  "results": [
    {
      "networkSecurityGroupResult": {
        "evaluatedNetworkSecurityGroups": [
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "VirtualNetwork"
            },
            "networkSecurityGroupId": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/NetworkAdmin/providers/Microsoft.Network/networkManagers/GlobalRules",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "VirtualNetwork",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVNet/subnets/mySubnet",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "DefaultRule_AllowVnetInBound"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/mySubnet-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "DefaultRule_AllowVnetInBound",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          },
          {
            "appliedTo": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkInterfaces/myvm36",
            "matchedRule": {
              "action": "Allow",
              "ruleName": "UserRule_AllowBastionConnections"
            },
            "networkSecurityGroupId": "/subscriptions/abcdef01-2345-6789-0abc-def012345678/resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/myVM-nsg",
            "rulesEvaluationResult": [
              {
                "destinationMatched": true,
                "destinationPortMatched": true,
                "name": "UserRule_AllowBastionConnections",
                "protocolMatched": true,
                "sourceMatched": true,
                "sourcePortMatched": true
              }
            ]
          }
        ],
        "securityRuleAccessResult": "Allow"
      },
      "profile": {
        "destination": "10.0.0.4",
        "destinationPort": "*",
        "direction": "Inbound",
        "protocol": "TCP",
        "source": "10.0.1.0/26"
      }
    }
  ]
}

清理资源

不再需要资源组时，可将资源组及其包含的所有资源一并删除：

在门户顶部的搜索框中输入 myResourceGroup。从搜索结果中选择“myResourceGroup”。
选择“删除资源组” 。
在“删除资源组”中，输入 myResourceGroup，然后选择“删除”。
选择“删除”以确认删除资源组及其所有资源。

使用 Remove-AzResourceGroup 删除资源组以及其包含的所有资源。

# Delete the resource group and all the resources it contains. 
Remove-AzResourceGroup -Name 'myResourceGroup' -Force

使用 az group delete 删除资源组及其包含的所有资源

# Delete the resource group and all the resources it contains. 
az group delete --name 'myResourceGroup' --yes --no-wait

后续步骤

若要了解其他网络观察程序工具，请参阅什么是 Azure 网络观察程序?。
若要了解如何排查虚拟机路由问题，请参阅诊断虚拟机网络路由问题。

Share via

诊断网络安全规则

先决条件

创建虚拟网络和堡垒主机

创建虚拟机

将安全规则添加到网络安全组

检查应用于虚拟机流量的安全规则

添加安全规则以允许来自 Bastion 子网的流量

清理资源

后续步骤

其他资源