使用 PowerShell 在 Azure Stack HCI 上設定網路安全組
適用於:Azure Stack HCI 版本 23H2 和 22H2;Windows Server 2022、Windows Server 2019、Windows Server 2016
本文提供使用 Windows PowerShell 在 Azure Stack HCI 中使用軟體定義網路 (SDN) 資料中心防火牆,設定網路安全組 (NSG) 來管理數據流的指示。 您可以建立套用至子網或網路介面的網路安全組,以啟用和設定數據中心防火牆。
本文中的範例腳本會使用從 NetworkController 模組導出的 Windows PowerShell 命令。 您也可以使用 Windows Admin Center 來設定和管理網路安全組。
將資料中心防火牆設定為允許所有流量
部署 SDN 之後,建議測試新環境的基本網路連線能力。 若要完成此動作,請建立不受限制允許所有網路流量的資料中心防火牆規則。
使用下表中的項目建立一組規則,允許所有輸入和輸出的網路流量。
| 來源 IP | 目的地 IP | 通訊協定 | 來源連接埠 | 目的地連接埠 | 方向 | 動作 | 優先順序 |
|---|---|---|---|---|---|---|---|
| * | * | 全部 | * | * | 連入 | 允許 | 100 |
| * | * | 全部 | * | * | 連出 | 允許 | 110 |
在此範例中,您會建立具有兩個規則的網路安全組:
- AllowAll_Inbound - 允許所有網路流量傳入設定此網路安全組的網路介面。
- AllowAllOutbound:允許所有流量傳出網路介面。 此網路安全組,由資源標識碼 「AllowAll-1」 識別,現在已準備好用於虛擬子網和網路介面。
您可以從任何可存取網路控制站 REST 端點的電腦執行此命令。 首先,開啟 PowerShell 會話。 在這裡範例中,使用 Enter-PSSession Cmdlet,並以具有網路控制站 REST 端點的電腦名稱取代 <computer-name> 。
Enter-PSSession <computer-name>
然後,執行下列腳本來建立網路安全組:
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule1 = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule1.Properties = $ruleproperties
$aclrule1.ResourceId = "AllowAll_Inbound"
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "110"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule2 = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule2.Properties = $ruleproperties
$aclrule2.ResourceId = "AllowAll_Outbound"
$acllistproperties = new-object Microsoft.Windows.NetworkController.AccessControlListProperties
$acllistproperties.AclRules = @($aclrule1, $aclrule2)
New-NetworkControllerAccessControlList -ResourceId "AllowAll" -Properties $acllistproperties -ConnectionUri <NC REST FQDN>
注意
網路控制站的 Windows PowerShell 命令參考位於網路控制站 Cmdlet 中。
使用網路安全組來限制子網上的流量
在此範例中,您會建立網路安全組,以防止虛擬機 (VM) 192.168.0.0/24 子網彼此通訊。 這種類型的網路安全組有助於限制攻擊者在子網內橫向散佈的能力,同時仍允許 VM 接收來自子網外部的要求,以及與其他子網上的其他服務通訊。
| 來源 IP | 目的地 IP | 通訊協定 | 來源連接埠 | 目的地連接埠 | 方向 | 動作 | 優先順序 |
|---|---|---|---|---|---|---|---|
| 192.168.0.1 | * | 全部 | * | * | 連入 | 允許 | 100 |
| * | 192.168.0.1 | 全部 | * | * | 連出 | 允許 | 101 |
| 192.168.0.0/24 | * | 全部 | * | * | 連入 | 封鎖 | 102 |
| * | 192.168.0.0/24 | 全部 | * | * | 輸出 | 封鎖 | 103 |
| * | * | 全部 | * | * | 連入 | 允許 | 104 |
| * | * | 全部 | * | * | 連出 | 允許 | 105 |
下列範例腳本所建立的網路安全組,由資源標識碼 Subnet-192-168-0-0 所識別,現在可以套用至使用 “192.168.0.0/24” 子網位址的虛擬網络子網。 連結至該虛擬網路子網的任何網路介面都會自動套用上述網路安全組規則。
以下是使用網路控制站 REST API 建立此網路安全組的範例腳本:
import-module networkcontroller
$ncURI = "https://mync.contoso.local"
$aclrules = @()
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "192.168.0.1"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "100"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.1"
$ruleproperties.Priority = "101"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowRouter_Outbound"
$aclrules += $aclrule
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "192.168.0.0/24"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "102"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Deny"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "192.168.0.0/24"
$ruleproperties.Priority = "103"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "DenySubnet_Outbound"
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "104"
$ruleproperties.Type = "Inbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Inbound"
$aclrules += $aclrule
$ruleproperties = new-object Microsoft.Windows.NetworkController.AclRuleProperties
$ruleproperties.Protocol = "All"
$ruleproperties.SourcePortRange = "0-65535"
$ruleproperties.DestinationPortRange = "0-65535"
$ruleproperties.Action = "Allow"
$ruleproperties.SourceAddressPrefix = "*"
$ruleproperties.DestinationAddressPrefix = "*"
$ruleproperties.Priority = "105"
$ruleproperties.Type = "Outbound"
$ruleproperties.Logging = "Enabled"
$aclrule = new-object Microsoft.Windows.NetworkController.AclRule
$aclrule.Properties = $ruleproperties
$aclrule.ResourceId = "AllowAll_Outbound"
$aclrules += $aclrule
$acllistproperties = new-object Microsoft.Windows.NetworkController.AccessControlListProperties
$acllistproperties.AclRules = $aclrules
New-NetworkControllerAccessControlList -ResourceId "Subnet-192-168-0-0" -Properties $acllistproperties -ConnectionUri $ncURI
將網路安全組新增至網路介面
建立網路安全組並將它指派給虛擬子網之後,您可能會想要覆寫虛擬子網上具有個別網路介面特定網路安全組的默認網路安全組。 從 Windows Server 2019 Datacenter 開始,除了 SDN 虛擬網路之外,您還可以將特定網路安全組直接套用至連結至 SDN 邏輯網路的網路介面。 如果您在連線到網路介面的虛擬子網上設定網路安全組,則會套用這兩個網路安全組,而網路介面網路安全組的優先順序高於虛擬子網網路安全組。
在此範例中,我們會示範如何將網路安全組新增至虛擬網路。
提示
您也可以在建立網路介面的同時新增網路安全組。
取得或建立您要新增網路安全組的網路介面。
$nic = get-networkcontrollernetworkinterface -ConnectionUri $uri -ResourceId "MyVM_Ethernet1"取得或建立您要新增至網路介面的網路安全組。
$acl = get-networkcontrolleraccesscontrollist -ConnectionUri $uri -ResourceId "AllowAllACL"將網路安全組指派給網路介面的 AccessControlList 屬性。
$nic.properties.ipconfigurations[0].properties.AccessControlList = $acl在網路控制器中新增網路介面。
new-networkcontrollernetworkinterface -ConnectionUri $uri -Properties $nic.properties -ResourceId $nic.resourceid
從網路介面移除網路安全組
在此範例中,我們會示範如何從網路介面移除網路安全組。 拿掉網路安全組會將預設規則集套用至網路介面。 預設的規則集允許所有輸出流量,但會封鎖所有輸入流量。 如果您想要允許所有輸入流量,您必須遵循上一個 範例 ,以新增允許所有輸入和輸出流量的網路安全組。
取得您將從中移除網路安全組的網路介面。
$nic = get-networkcontrollernetworkinterface -ConnectionUri $uri -ResourceId "MyVM_Ethernet1"將 $null 指派給 ipConfiguration 的 AccessControlList 屬性。
$nic.properties.ipconfigurations[0].properties.AccessControlList = $null在網路控制器中新增網路介面物件。
new-networkcontrollernetworkinterface -ConnectionUri $uri -Properties $nic.properties -ResourceId $nic.resourceid
防火牆稽核
數據中心防火牆的防火牆稽核功能會記錄 SDN 防火牆規則所處理的任何流程。 所有已啟用記錄的網路安全組都會記錄下來。 記錄檔使用的語法必須與 Azure 網路監看員流程記錄所用語法一致。 這些記錄可用於診斷或封存以供稍後分析。
以下是在主機伺服器上啟用防火牆稽核的範例腳本。 更新開頭處的變數,並在已部署網路控制器的 Azure Stack HCI 叢集上執行:
$logpath = "C:\test\log1"
$servers = @("sa18n22-2", "sa18n22-3", "sa18n22-4")
$uri = "https://sa18n22sdn.sa18.nttest.microsoft.com"
# Create log directories on the hosts
invoke-command -Computername $servers {
param(
$Path
)
mkdir $path -force
} -argumentlist $LogPath
# Set firewall auditing settings on Network Controller
$AuditProperties = new-object Microsoft.Windows.NetworkController.AuditingSettingsProperties
$AuditProperties.OutputDirectory = $logpath
set-networkcontrollerauditingsettingsconfiguration -connectionuri $uri -properties $AuditProperties -force | out-null
# Enable logging on each server
$servers = get-networkcontrollerserver -connectionuri $uri
foreach ($s in $servers) {
$s.properties.AuditingEnabled = @("Firewall")
new-networkcontrollerserver -connectionuri $uri -resourceid $s.resourceid -properties $s.properties -force | out-null
}
啟用之後,每部主機的指定目錄中,每小時都會出現一個新的檔案。 建議定期處理這些檔案,從主機中將其移除。 目前的檔案長度為零,且會在下一個小時標記排清前鎖定:
PS C:\test\log1> dir
Directory: C:\test\log1
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 7/19/2018 6:28 AM 17055 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL122803093.json
-a---- 7/19/2018 7:28 AM 7880 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL132803173.json
-a---- 7/19/2018 8:28 AM 7867 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL142803264.json
-a---- 7/19/2018 9:28 AM 10949 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL152803360.json
-a---- 7/19/2018 9:28 AM 0 SdnFirewallAuditing.d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a.20180719TL162803464.json
這些檔案包含一連串流程事件,例如:
{
"records": [
{
"properties":{
"Version":"1.0",
"flows":[
{
"flows":[
{
"flowTuples":["1531963580,192.122.0.22,192.122.255.255,138,138,U,I,A"],
"portId":"9",
"portName":"7290436D-0422-498A-8EB8-C6CF5115DACE"
}
],
"rule":"Allow_Inbound"
}
]
},
"operationName":"NetworkSecurityGroupFlowEvents",
"resourceId":"394f647d-2ed0-4c31-87c5-389b8c0c8132",
"time":"20180719:L012620622",
"category":"NetworkSecurityGroupFlowEvent",
"systemId":"d8b3b697-5355-40e2-84d2-1bf2f0e0dc4a"
},
請注意,只記錄 [記錄] 設定為 [啟用] 的規則記錄,例如:
{
"Tags": null,
"ResourceRef": "/accessControlLists/AllowAll",
"InstanceId": "4a63e1a5-3264-4986-9a59-4e77a8b107fa",
"Etag": "W/\"1535a780-0fc8-4bba-a15a-093ecac9b88b\"",
"ResourceMetadata": null,
"ResourceId": "AllowAll",
"Properties": {
"ConfigurationState": null,
"ProvisioningState": "Succeeded",
"AclRules": [
{
"ResourceMetadata": null,
"ResourceRef": "/accessControlLists/AllowAll/aclRules/AllowAll_Inbound",
"InstanceId": "ba8710a8-0f01-422b-9038-d1f2390645d7",
"Etag": "W/\"1535a780-0fc8-4bba-a15a-093ecac9b88b\"",
"ResourceId": "AllowAll_Inbound",
"Properties": {
"Protocol": "All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action": "Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority": "101",
"Description": null,
"Type": "Inbound",
"Logging": "Enabled",
"ProvisioningState": "Succeeded"
}
},
{
"ResourceMetadata": null,
"ResourceRef": "/accessControlLists/AllowAll/aclRules/AllowAll_Outbound",
"InstanceId": "068264c6-2186-4dbc-bbe7-f504c6f47fa8",
"Etag": "W/\"1535a780-0fc8-4bba-a15a-093ecac9b88b\"",
"ResourceId": "AllowAll_Outbound",
"Properties": {
"Protocol": "All",
"SourcePortRange": "0-65535",
"DestinationPortRange": "0-65535",
"Action": "Allow",
"SourceAddressPrefix": "*",
"DestinationAddressPrefix": "*",
"Priority": "110",
"Description": null,
"Type": "Outbound",
"Logging": "Enabled",
"ProvisioningState": "Succeeded"
}
}
],
"IpConfigurations": [
],
"Subnets": [
{
"ResourceMetadata": null,
"ResourceRef": "/virtualNetworks/10_0_1_0/subnets/Subnet1",
"InstanceId": "00000000-0000-0000-0000-000000000000",
"Etag": null,
"ResourceId": null,
"Properties": null
}
]
}
}
後續步驟
如需相關資訊,請參閱:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應