网络安全组测试

可以使用网络安全组来筛选和控制进出虚拟机 (VM) 的入站和出站网络流量。

本文介绍如何使用网络安全组测试来检查安全规则是否阻止传入或传出虚拟机的流量,方法是检查哪些安全规则应用于 VM 流量。

先决条件

测试入站连接

在本部分中,将测试是否允许从远程 IP 地址与 VM 建立 RDP 连接。

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

    在 Azure 门户中搜索“虚拟机”的屏幕截图。

  2. 选择要进行测试的 VM。

  3. 在“设置”下,选择“连接”

    备注

    虚拟机必须处于运行状态。

  4. 在“故障排除”下,选择“测试网络安全组”

  5. 选择“入站连接”。 下列选项可用于入站测试:

    设置
    源类型 - 我的 IP 地址:用于访问 Azure 门户的公共 IP 地址。
    - 任何 IP 地址:任何源 IP 地址。
    - 其他 IP 地址/CIDR:源 IP 地址或地址前缀。
    - 服务标记:源服务标记
    IP 地址/CIDR 要用作源的 IP 地址或地址前缀。

    注意:如果为“源类型”选择“其他 IP 地址/CIDR”,则会显示此选项。
    服务标记 要用作源的服务标记。

    注意:如果为“源类型”选择“服务标记”,则会显示此选项。
    服务类型 可用于测试的预定义服务列表。

    注释
    - 如果选择预定义服务,则会自动选择服务端口号和协议。
    - 如果未看到所需的端口和协议信息,请选择“自定义”,然后输入端口号并选择所需的协议。
    端口 VM 端口号。

    注意:如果选择其中一个预定义服务,则会自动选择正确的端口号。
    为“服务类型”选择“自定义”时,请手动输入端口号。
    协议 连接协议。 可用选项包括:“任何”、“TCP”和“UDP”。

    注意:如果选择其中一个预定义服务,则会自动选择该服务使用的正确协议。
    为“服务类型”选择“自定义”时,请手动选择协议。
  6. 若要测试是否允许从远程 IP 地址与 VM 建立 RDP 连接,请选择以下值:

    设置
    源类型 选择“我的 IP 地址”。
    服务类型 选择 RDP
    端口 保留默认值“3389”。
    协议 保留默认值 TCP。

    Azure 门户中入站网络安全组测试的屏幕截图。

  7. 选择“运行测试”。

    几秒钟后,你将看到测试的详细信息:

    • 如果允许从远程 IP 地址与 VM 建立 RDP 连接,则会显示“流量状态: 允许”。
    • 如果 RDP 连接被阻止,则会显示“流量状态: 拒绝”。 在“摘要”部分中,可以看到阻止流量的安全规则。

    入站网络安全组测试结果的屏幕截图。

    若要允许从远程 IP 地址与 VM 建立 RDP 连接,请向网络安全组添加允许从远程 IP 地址建立 RDP 连接的安全规则。 此安全规则的优先级必须高于阻止流量的安全规则。 有关详细信息,请参阅创建、更改或删除网络安全组

测试出站连接

在本部分中,将测试 VM 是否已连接到 Internet。

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

    在 Azure 门户中搜索“虚拟机”的屏幕截图。

  2. 选择要进行测试的 VM。

  3. 在“设置”下,选择“连接”

    备注

    虚拟机必须处于运行状态。

  4. 在“故障排除”下,选择“测试网络安全组”

  5. 选择“出站连接”。 下列选项可用于出站测试:

    设置
    服务类型 可用于测试的预定义服务列表。

    注释
    - 如果选择预定义服务,则会自动选择服务端口号和协议。
    - 如果未看到所需的端口和协议信息,请选择“自定义”,然后输入端口号并选择所需的协议。
    端口 VM 端口号。

    注意:如果选择其中一个预定义服务,则会自动选择正确的端口号。
    为“服务类型”选择“自定义”时,请手动输入端口号。
    协议 连接协议。 可用选项包括:“任何”、“TCP”和“UDP”。

    注意:如果选择其中一个预定义服务,则会自动选择该服务使用的正确协议。
    为“服务类型”选择“自定义”时,请手动选择协议。
    目标类型 - 我的 IP 地址:用于访问 Azure 门户的公共 IP 地址。
    - 任何 IP 地址:任何源 IP 地址。
    - 其他 IP 地址/CIDR:源 IP 地址或地址前缀。
    - 服务标记:源服务标记
    IP 地址/CIDR 要用作目标的 IP 地址或地址前缀。

    注意:如果为“源类型”选择“其他 IP 地址/CIDR”,则会显示此选项。
    服务标记 要用作目标的服务标记。

    注意:如果为“源类型”选择“服务标记”,则会显示此选项。
  6. 若要测试 VM 是否可以连接到 Internet,请选择以下值:

    设置
    服务类型 选择“自定义”。
    端口 保留默认值“50000”。
    协议 保留默认值“任意”。
    目标类型 选择“任何 IP 地址”。

    Azure 门户中出站网络安全组测试的屏幕截图。

  7. 选择“运行测试”。

    几秒钟后,你将看到测试的详细信息:

    • 如果允许从 VM 连接到 Internet,则会显示“流量状态: 允许”。
    • 如果与 Internet 的连接被阻止,则会显示“流量状态: 拒绝”。 在“摘要”部分中,可以看到阻止流量的安全规则。

    出站网络安全组测试结果的屏幕截图。

    若要允许来自 VM 的 Internet 连接,请向网络安全组添加允许连接到 Internet 服务标记的安全规则。 此安全规则的优先级必须高于阻止流量的安全规则。 有关详细信息,请参阅创建、更改或删除网络安全组