IP 流验证和 NSG 诊断

IP 流验证和 NSG 诊断都允许诊断网络配置对网络流量的限制。

IP 流验证

“IP 流验证”检查是允许还是拒绝进出虚拟机的数据包。 这些信息包括方向、协议、本地 IP、远程 IP、本地端口和远程端口。 如果数据包被安全组拒绝，则返回拒绝数据包的规则的名称。 虽然可以选择任何源或目标 IP，“IP 流验证”功能可帮助管理员快速诊断与 Internet 的连接问题，以及与本地环境的连接问题。

IP 流验证查看应用于网络接口的所有网络安全组 (NSG) 的规则，例如子网或虚拟机 NIC。 然后，将基于网络接口的配置设置验证流量流。 “IP 流验证”功能可用于确认网络安全组中的规则是否正在阻止进出虚拟机的入口或出口流量。 除了 NSG 规则评估，现在还会评估 Azure 虚拟网络管理器规则。

Azure Virtual Network Manager (AVNM) 是一个管理服务，可让用户跨订阅对虚拟网络进行全局分组、配置、部署和管理。 AVNM 安全配置允许用户定义一组规则，这些规则可以应用于全局级别的一个或多个网络组。 这些安全规则的优先级高于网络安全组 (NSG) 规则。 此处要注意的一个重要区别是，管理规则是由 AVNM 在由治理和安全团队控制的中心位置提供的资源，向下延伸到每个 VNet。 NSG 是由 VNet 所有者控制的资源，适用于每个子网或 NIC 级别。

需要在计划运行“IP 流验证”的所有区域中创建网络观察程序实例。 网络观察程序是一个区域性服务，只能针对同一区域中的资源运行。 所使用的实例不会影响“IP 流验证”的结果，因为仍将返回与 NIC 或子网关联的任何路由。

NSG 诊断

NSG（网络安全组）诊断是一个 Azure 网络观察程序工具，可帮助你了解 Azure 虚拟网络中允许或拒绝的网络流量以及调试的详细信息。 NSG 诊断可以帮助你验证网络安全组规则是否已正确设置。 NSG 诊断与 IP 流验证具有某些相同的功能。

NSG 诊断工具可以根据提供的源和目标模拟给定流。 它返回是允许流还是拒绝流的结果，并提供有关允许或拒绝流的安全规则的详细信息。

要针对 NSG 运行诊断，请执行以下步骤：

1. 在门户顶部的搜索框中，搜索并选择 “网络观察程序”。
2. 在 “网络诊断工具”下，选择 “NSG 诊断”。
3. 在 NSG 诊断 页上，输入或选择以下值：
   • 目标资源
     • 目标资源类型。 选择要诊断其连接的资源。
     • 虚拟机。 选择要从中运行诊断的 VM。
   • 流量详细信息
     • 协议。 选择 TCP、UDP 和/或 ICMP。
     • 方向。 选择入站或出站。
     • 源类型。 选择 IPv4 地址/CIDR 或服务标记。
     • Ipv4 地址/CIDR。 可接受的值为：单个 IP 地址、多个 IP 地址、单个 IP 前缀和多个 IP 前缀。
     • 目标 IP 地址。 可接受的值包括：单个 IP 地址、多个 IP 地址、单个 IP 前缀、多个 IP 前缀。
     • 目标端口。 输入 * 以包含所有端口。
4. 选择“ 运行 NSG 诊断 ”以运行测试。 当 NSG 诊断完成对所有安全规则的检查后，它会显示结果。 此结果将指示 NSG 具有的规则以及拒绝流量的规则。