Megosztás a következőn keresztül:

IP-szűrők használata

  • Cikk

A biztonság az Azure IoT Hubon alapuló IoT-megoldások fontos eleme. A biztonsági konfiguráció részeként olykor explicit módon meg kell adni, hogy mely IP-címekről kapcsolódhatnak az eszközök. Az IP-szűrési funkció lehetővé teszi a meghatározott IPv4-címekről érkező forgalom elutasítására vagy elfogadására vonatkozó szabályok konfigurálását.

Mikor érdemes használni?

Ip-szűrővel csak meghatározott IP-címtartományból fogadhatja a forgalmat, és minden mást elutasíthat. Például az IoT Hub és az Azure Express Route használatával hoz létre privát kapcsolatokat egy IoT Hub és a helyszíni infrastruktúra között.

Alapértelmezett beállítás

Az IoT Hub IP-szűrési beállításainak lapjára való belépéshez válassza a Biztonsági beállítások>hálózatkezelés>nyilvános hozzáférés lehetőséget, majd válassza a Kiválasztott IP-tartományok lehetőséget:

Képernyőkép az alapértelmezett IP-szűrőbeállítások beállításáról.

Alapértelmezés szerint egy IoT Hub ip-szűrőrácsa üres a portálon. Ez az alapértelmezett beállítás azt jelenti, hogy a központ minden IP-címről letiltja a kapcsolatokat. Ez az alapértelmezett beállítás egyenértékű az IP-címtartományt letiltó 0.0.0.0/0 szabálysal.

IP-szűrési szabály hozzáadása vagy szerkesztése

IP-szűrőszabály hozzáadásához válassza az IP-szűrőszabály hozzáadása lehetőséget. A számítógép IP-címének gyors hozzáadásához válassza az Ügyfél IP-címének hozzáadása lehetőséget.

Az IP-szűrőszabály IoT Hubhoz való hozzáadását bemutató képernyőkép.

Az IP-szűrési szabály hozzáadása lehetőség kiválasztása után töltse ki a mezőket. Ezek a mezők előre kitöltve lesznek, ha az ügyfél IP-címének hozzáadását választotta.

Képernyőkép az IP-szűrőszabály hozzáadása után teendőkről.

  • Adjon nevet az IP-szűrési szabálynak. Ennek a névnek 128 karakter hosszúságú egyedi, kis- és nagybetűket nem megkülönböztető alfanumerikus sztringnek kell lennie. A rendszer csak az ASCII 7 bites alfanumerikus karaktereit és a következő speciális karaktereket fogadja el: - : . + % _ # * ? ! ( ) , = @ ; '.

  • Adjon meg egy egyedi IPv4-címet vagy egy IP-címblokkot CIDR-jelölésrendszer használatával. A CIDR-jelölés szerint például a 192.168.100.0/22 a 192.168.100.0 és a 192.168.103.255 közötti 1024 IPv4-címet jelöli.

A mezők kitöltése után kattintson a Mentés gombra a szabály mentéséhez. Riasztás fog megjelenni, amely tájékoztatja, hogy a frissítés folyamatban van.

A Hozzáadás lehetőség le van tiltva, ha eléri a legfeljebb 100 IP-szűrési szabályt.

Meglévő szabály szerkesztéséhez jelölje ki a módosítani kívánt adatokat, végezze el a módosítást, majd válassza a Mentés lehetőséget a módosítás mentéséhez.

IP-szűrési szabály törlése

IP-szűrőszabály törléséhez válassza a kuka ikont az adott sorban, majd válassza a Mentés lehetőséget. Ezzel törli a szabályt, és menti a módosítást.

Képernyőkép az IoT Hub IP-szűrőszabályának törléséről.

IP-szűrőszabályok alkalmazása a beépített Event Hubs-kompatibilis végpontra

Ha az IP-szűrőszabályokat a beépített Event Hubs-kompatibilis végpontra szeretné alkalmazni, jelölje be az IP-szűrők alkalmazása a beépített végpontra jelölőnégyzetet, majd válassza a Mentés lehetőséget.

A beépített végpont kapcsolójának képernyőképe.

Feljegyzés

Ez a lehetőség nem érhető el az ingyenes (F1) IoT Hubok számára. Ha IP-szűrőszabályokat szeretne alkalmazni a beépített végpontra, használjon fizetős IoT Hubot.

A beállítás engedélyezésével az IP-szűrési szabályok replikálódnak a beépített végpontra, így csak megbízható IP-tartományok férhetnek hozzá.

Ha letiltja ezt a beállítást, a beépített végpont minden IP-címhez elérhető. Ez a viselkedés akkor lehet hasznos, ha forrás IP-címmel rendelkező szolgáltatásokkal szeretne olvasni a végpontról, amelyek idővel változhatnak, például az Azure Stream Analyticsben.

A szűrési szabályok alkalmazásának módja

Az IP-szűrési szabályok az IoT Hub szolgáltatási szintjén vannak alkalmazva. Ezért az IP-szűrési szabályok az eszközök és a háttéralkalmazások minden, bármilyen támogatott protokollt használó kapcsolatára vonatkoznak. Azt is eldöntheti, hogy a beépített Event Hubs-kompatibilis végpont (nem az IoT Hub kapcsolati sztring) kötődik-e ezekhez a szabályokhoz.

A kifejezetten nem engedélyezett IP-címekről érkező csatlakozási kísérletek jogosulatlan 401-állapotkódot és leírást kapnak. A válaszüzenet nem említi az IP-szabályt. Az IP-címek elutasítása megakadályozhatja, hogy más Azure-szolgáltatások, például az Azure Stream Analytics, az Azure Virtual Machines vagy az Azure Portal Eszközkezelője működve használják az IoT Hubot.

Feljegyzés

Ha az Azure Stream Analytics (ASA) használatával szeretne üzeneteket olvasni egy olyan IoT Hubról, amelyen engedélyezve van az IP-szűrő, tiltsa le az IP-szűrők alkalmazását a beépített végpontra, majd használja az IoT Hub eseményközpont-kompatibilis nevét és végpontját az Event Hubs-adatfolyam bemenetének manuális hozzáadásához az ASA-ban.

Azure Portal

Az IP-szűrési szabályok az IoT Hub Azure Portalon keresztüli használatakor is érvényesek. Ennek az az oka, hogy az IoT Hub szolgáltatáshoz intézett API-hívások közvetlenül a böngészőben, a hitelesítő adatokkal történik, ami összhangban van más Azure-szolgáltatásokkal. Ha az IoT Hubot az Azure Portallal szeretné elérni, ha engedélyezve van az IP-szűrés, adja hozzá a számítógép IP-címét az engedélyezési listához.

Rendezés

Az IP-szűrési szabályok engedélyezési szabályok, és rendelés nélkül vannak alkalmazva. Csak a hozzáadott IP-címek csatlakozhatnak az IoT Hubhoz.

Ha például el szeretné fogadni a címeket a tartományban 192.168.100.0/22 , és minden mást elutasít, csak egy szabályt kell hozzáadnia a címtartományt tartalmazó rácshoz 192.168.100.0/22.

IP-szűrők lekérése és frissítése az Azure CLI használatával

Az IoT Hub IP-szűrői lekérhetők és frissíthetők az Azure CLI-vel.

Az IoT Hub aktuális IP-szűrőinek lekéréséhez futtassa a következőt:

az resource show -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs

Ez egy JSON-objektumot ad vissza, amelyben a meglévő IP-szűrők a properties.networkRuleSets kulcs alatt vannak felsorolva:

{
...
    "properties": {
        "networkRuleSets": {
            "defaultAction": "Deny",
            "applyToBuiltInEventHubEndpoint": true,
            "ipRules": [{
                    "filterName": "TrustedFactories",
                    "action": "Allow",
                    "ipMask": "1.2.3.4/5"
                },
                {
                    "filterName": "TrustedDevices",
                    "action": "Allow",
                    "ipMask": "1.1.1.1/1"
                }
            ]
        }
    }
}

Ha új IP-szűrőt szeretne hozzáadni az IoT Hubhoz, futtassa a következőt:

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules "{\"action\":\"Allow\",\"filterName\":\"TrustedIP\",\"ipMask\":\"192.168.0.1\"}"

Ha el szeretne távolítani egy meglévő IP-szűrőt az IoT Hubon, futtassa a következőt:

az resource update -n <iothubName> -g <resourceGroupName> --resource-type Microsoft.Devices/IotHubs --add properties.networkRuleSets.ipRules <ipFilterIndexToRemove>

<ipFilterIndexToRemove> Itt az IoT Hub IP-szűrőinek sorrendjének felel megproperties.networkRuleSets.ipRules.

IP-szűrők lekérése és frissítése az Azure PowerShell használatával

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Az első lépésekhez tekintse meg Az Azure PowerShell telepítése témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Az IoT Hub IP-szűrői lekérhetők és beállíthatók az Azure PowerShell-lel.

# Get your IoT Hub resource using its name and its resource group name
$iothubResource = Get-AzResource -ResourceGroupName <resourceGroupName> -ResourceName <iotHubName> -ExpandProperties

# Access existing IP filter rules
$iothubResource.Properties.networkRuleSets.ipRules |% { Write-host $_ }

# Construct a new IP filter
$filter = @{'filterName'='TrustedIP'; 'action'='Allow'; 'ipMask'='192.168.0.1'}

# Add your new IP filter rule
$iothubResource.Properties.networkRuleSets.ipRules += $filter

# Remove an existing IP filter rule using its name, e.g., 'GoodIP'
$iothubResource.Properties.networkRuleSets.ipRules = @($iothubResource.Properties.networkRuleSets.ipRules | Where 'filterName' -ne 'GoodIP')

# Update your IoT Hub resource with your updated IP filters
$iothubResource | Set-AzResource -Force

IP-szűrési szabályok frissítése REST használatával

Az IoT Hub IP-szűrőjét az Azure-erőforrás-szolgáltató REST-végpontjával is lekérheti és módosíthatja. Lásd: properties.networkRuleSets a createorupdate metódusban.

Következő lépések

Az IoT Hub képességeinek további megismeréséhez lásd: