Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Säkerhet är en viktig aspekt av alla IoT-lösningar baserade på Azure IoT Hub. Ibland måste du uttryckligen ange de IP-adresser som enheter kan ansluta till som en del av din säkerhetskonfiguration. Med funktionen IP-filter kan du konfigurera regler för att avvisa eller acceptera trafik från specifika IPv4-adresser.
Användningsområde för
Använd IP-filter för att endast ta emot trafik från ett angivet intervall med IP-adresser och avvisa allt annat. Du använder till exempel din IoT-hubb med Azure Express Route för att skapa privata anslutningar mellan en IoT-hubb och din lokala infrastruktur.
Standardinställning
Om du vill komma till sidan INSTÄLLNINGAR för IP-filter i din IoT-hubb väljer du Säkerhetsinställningar>Nätverksåtkomst>offentlig åtkomst och väljer sedan Valda IP-intervall:
Ip-filterrutnätet i portalen för en IoT-hubb är som standard tomt. Den här standardinställningen innebär att hubben blockerar anslutningar från alla IP-adresser. Den här standardinställningen motsvarar en regel som blockerar 0.0.0.0/0 IP-adressintervallet.
Lägga till eller redigera en IP-filterregel
Om du vill lägga till en IP-filterregel väljer du Lägg till IP-filterregel. Om du snabbt vill lägga till datorns IP-adress väljer du Lägg till klientens IP-adress.
Fyll i fälten när du har valt Lägg till IP-filterregel. De här fälten är förfyllda om du har valt att lägga till klientens IP-adress.
Ange ett namn för IP-filterregeln. Det här namnet måste vara en unik, skiftlägeskänslig, alfanumerisk sträng på upp till 128 tecken lång. Endast 7-bitars alfanumeriska ASCII-tecken plus följande specialtecken accepteras:
- : . + % _ # * ? ! ( ) , = @ ; '.Ange en enskild IPv4-adress eller ett block med IP-adresser i CIDR-notation. I CIDR-notation representerar exempelvis 192.168.100.0/22 de 1 024 IPv4-adresserna från 192.168.100.0 till 192.168.103.255.
När du har fyllt i fälten sparar du regeln genom att välja Spara. Ett meddelande visas som anger att uppdateringen pågår.
Alternativet Lägg till är inaktiverat när du når maximalt 100 IP-filterregler.
Om du vill redigera en befintlig regel väljer du de data som du vill ändra, gör ändringen och sparar sedan ändringen genom att välja Spara.
Ta bort en IP-filterregel
Om du vill ta bort en IP-filterregel väljer du papperskorgsikonen på raden och väljer sedan Spara. Regeln tas bort och ändringen sparas.
Tillämpa IP-filterregler på den inbyggda Event Hubs-kompatibla slutpunkten
Om du vill tillämpa IP-filterreglerna på den inbyggda Event Hubs-kompatibla slutpunkten markerar du kryssrutan bredvid Tillämpa IP-filter på den inbyggda slutpunkten? och väljer sedan Spara.
Kommentar
Det här alternativet är inte tillgängligt för kostnadsfria (F1) IoT-hubbar. Om du vill tillämpa IP-filterregler på den inbyggda slutpunkten använder du en betald IoT-hubb.
Genom att aktivera det här alternativet replikeras dina IP-filterregler till den inbyggda slutpunkten, så att endast betrodda IP-intervall kan komma åt det.
Om du inaktiverar det här alternativet är den inbyggda slutpunkten tillgänglig för alla IP-adresser. Det här beteendet kan vara användbart om du vill läsa från slutpunkten med tjänster med käll-IP-adresser som kan ändras över tid som Azure Stream Analytics.
Så här tillämpas filterregler
IP-filterreglerna tillämpas på IoT Hub-tjänstnivå. Ip-filterreglerna gäller därför för alla anslutningar från enheter och backend-appar som använder alla protokoll som stöds. Du kan också välja om den inbyggda Event Hubs-kompatibla slutpunkten (inte via IoT Hub-anslutningssträng) är bunden till dessa regler.
Alla anslutningsförsök från en IP-adress som inte uttryckligen tillåts tar emot en otillåten 401-statuskod och beskrivning. I svarsmeddelandet nämns inte IP-regeln. Om du avvisar IP-adresser kan du förhindra att andra Azure-tjänster som Azure Stream Analytics, Azure Virtual Machines eller Device Explorer i Azure Portal interagerar med IoT-hubben.
Kommentar
Om du vill använda Azure Stream Analytics (ASA) för att läsa meddelanden från en IoT-hubb med IP-filtret aktiverat inaktiverar du alternativet Tillämpa IP-filter på den inbyggda slutpunkten och använder sedan det händelsehubbkompatibla namnet och slutpunkten för din IoT-hubb för att manuellt lägga till en Event Hubs-indataström i ASA.
Azure Portal
IP-filterregler tillämpas också när du använder IoT Hub via Azure Portal. Detta beror på att API-anrop till IoT Hub-tjänsten görs direkt med webbläsaren med dina autentiseringsuppgifter, vilket är förenligt med andra Azure-tjänster. Om du vill komma åt IoT Hub med hjälp av Azure Portal när IP-filtret är aktiverat lägger du till datorns IP-adress i listan över tillåtna.
Ordna profiler
IP-filterregler är tillåtna regler och tillämpas utan ordning. Endast IP-adresser som du lägger till får ansluta till IoT Hub.
Om du till exempel vill acceptera adresser i intervallet 192.168.100.0/22 och avvisa allt annat behöver du bara lägga till en regel i rutnätet med adressintervallet 192.168.100.0/22.
Hämta och uppdatera IP-filter med Hjälp av Azure CLI
Ip-filtren för din IoT-hubb kan hämtas och uppdateras via Azure CLI.
Om du vill hämta aktuella IP-filter för din IoT Hub kör du:
az resource show -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs
Detta returnerar ett JSON-objekt där dina befintliga IP-filter visas under properties.networkRuleSets nyckeln:
{
...
"properties": {
"networkRuleSets": {
"defaultAction": "Deny",
"applyToBuiltInEventHubEndpoint": true,
"ipRules": [{
"filterName": "TrustedFactories",
"action": "Allow",
"ipMask": "1.2.3.4/5"
},
{
"filterName": "TrustedDevices",
"action": "Allow",
"ipMask": "1.1.1.1/1"
}
]
}
}
}
Om du vill lägga till ett nytt IP-filter för din IoT Hub kör du:
az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules "{\"action\":\"Allow\",\"filterName\":\"TrustedIP\",\"ipMask\":\"192.168.0.1\"}"
Om du vill ta bort ett befintligt IP-filter i din IoT Hub kör du:
az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules <ipFilterIndexToRemove>
<ipFilterIndexToRemove> Här motsvarar ordningen på IP-filter i IoT-hubbens properties.networkRuleSets.ipRules.
Hämta och uppdatera IP-filter med Hjälp av Azure PowerShell
Kommentar
Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
IoT Hubs IP-filter kan hämtas och ställas in via Azure PowerShell.
# Get your IoT Hub resource using its name and its resource group name
$iothubResource = Get-AzResource -ResourceGroupName <resourceGroupName> -ResourceName <iotHubName> -ExpandProperties
# Access existing IP filter rules
$iothubResource.Properties.networkRuleSets.ipRules |% { Write-host $_ }
# Construct a new IP filter
$filter = @{'filterName'='TrustedIP'; 'action'='Allow'; 'ipMask'='192.168.0.1'}
# Add your new IP filter rule
$iothubResource.Properties.networkRuleSets.ipRules += $filter
# Remove an existing IP filter rule using its name, e.g., 'GoodIP'
$iothubResource.Properties.networkRuleSets.ipRules = @($iothubResource.Properties.networkRuleSets.ipRules | Where 'filterName' -ne 'GoodIP')
# Update your IoT Hub resource with your updated IP filters
$iothubResource | Set-AzResource -Force
Uppdatera IP-filterregler med hjälp av REST
Du kan också hämta och ändra IoT Hubs IP-filter med hjälp av Azure-resursproviderns REST-slutpunkt. Mer information finns i properties.networkRuleSets i createorupdate-metoden.
Nästa steg
Mer information om funktionerna i IoT Hub finns i: