Monitorare la sicurezza di rete usando Network Watcher
Azure Network Watcher offre una suite di strumenti per monitorare, diagnosticare, visualizzare le metriche e abilitare o disabilitare i log per le risorse IaaS di Azure (Infrastructure-as-a-Service). Network Watcher consente di monitorare e riparare lo stato di integrità della rete di prodotti IaaS come macchine virtuali, reti virtuali, gateway applicazione e servizi di bilanciamento del carico e così via. Network Watcher non è destinato all'analisi Web o al monitoraggio di PaaS.
Network Watcher è costituito da tre set principali di strumenti e funzionalità:
- Monitoraggio
- Strumenti di diagnostica di rete
- Traffico
Annotazioni
Quando si crea o si aggiorna una rete virtuale nella sottoscrizione, Network Watcher viene abilitato automaticamente nell'area della rete virtuale. Non è previsto alcun impatto sulle risorse o alcun addebito associato per l'abilitazione automatica di Network Watcher.
Monitoraggio
Network Watcher offre due strumenti di monitoraggio che consentono di visualizzare e monitorare le risorse:
- Topologia
- Monitor di connessione
Topologia
La topologia fornisce una visualizzazione dell'intera rete per comprendere la configurazione di rete. Offre un'interfaccia interattiva per visualizzare le risorse e le relative relazioni in Azure che si estendono su più sottoscrizioni, gruppi di risorse e posizioni.
Monitor di connessione
Connection Monitor fornisce il monitoraggio della connessione end-to-end per gli endpoint di Azure e ibridi. Consente di comprendere le prestazioni di rete tra vari endpoint nell'infrastruttura di rete.
Strumenti di diagnostica di rete
Network Watcher offre sette strumenti di diagnostica di rete che consentono di risolvere e diagnosticare i problemi di rete:
- Verifica flusso IP
- Diagnostica del gruppo di sicurezza di rete
- Hop successivo
- Regole di sicurezza valide
- Risoluzione dei problemi di connessione
- Acquisizione pacchetti
- Risoluzione dei problemi relativi alla VPN
Verifica flusso IP
La verifica del flusso IP consente di rilevare i problemi di filtro del traffico a livello di macchina virtuale. Controlla se un pacchetto è consentito o negato verso o da un indirizzo IP (indirizzo IPv4 o IPv6). Indica anche quale regola di sicurezza ha consentito o negato il traffico.
Diagnostica del Gruppo di Sicurezza di Rete (NSG)
La diagnostica NSG consente di rilevare i problemi di filtro del traffico a livello di macchina virtuale, set di scalabilità delle macchine virtuali o gateway di applicazione. Controlla se un pacchetto è consentito o negato a o da un indirizzo IP, un prefisso IP o un tag di servizio. Indica anche quale regola di sicurezza ha consentito o negato il traffico. Consente inoltre di aggiungere una nuova regola di sicurezza con una priorità più alta per consentire o negare il traffico.
Hop successivo
L'hop successivo consente di rilevare i problemi di routing. Controlla se il traffico viene instradato correttamente alla destinazione desiderata. Fornisce informazioni sul tipo di hop successivo, l'indirizzo IP e l'ID tabella di route per un indirizzo IP di destinazione specifico.
Regole di sicurezza valide
Le regole di sicurezza valide consentono di visualizzare le regole di sicurezza effettive applicate a un'interfaccia di rete. Mostra tutte le regole di sicurezza applicate all'interfaccia di rete, la subnet in cui si trova l'interfaccia di rete e l'aggregazione di entrambi.
Risoluzione dei problemi di connessione
La risoluzione dei problemi di connessione consente di testare una connessione tra una macchina virtuale, un set di scalabilità per macchine virtuali, un gateway applicativo, o un host Bastion e una macchina virtuale, un FQDN, un URI o un indirizzo IPv4. Il test restituisce informazioni simili restituite quando si usa la funzionalità di monitoraggio connessione, ma testa la connessione in un determinato momento invece di monitorarla nel tempo, come fa il monitoraggio della connessione.
Acquisizione pacchetti
L'acquisizione pacchetti consente di creare sessioni di acquisizione pacchetti da remoto per monitorare il traffico da e verso una macchina virtuale (VM) o un insieme di scalabilità di macchine virtuali.
Risoluzione dei problemi relativi alla VPN
La risoluzione dei problemi vpn consente di risolvere i problemi relativi ai gateway di rete virtuale e alle relative connessioni
Traffico
Network Watcher offre due strumenti di traffico che consentono di registrare e visualizzare il traffico di rete:
- Log dei flussi
- Analisi del traffico
Log dei flussi
I log dei flussi consentono di registrare informazioni sul traffico IP di Azure e di archiviare i dati in Archiviazione di Azure.
La registrazione dei flussi dei gruppi di sicurezza di rete è una funzionalità di Azure Network Watcher che consente di registrare informazioni sul traffico IP che scorre attraverso un gruppo di sicurezza di rete. I dati del flusso vengono inviati ad Archiviazione di Azure da cui è possibile accedervi ed esportarli in qualsiasi strumento di visualizzazione, soluzione SIEM (Security Information and Event Management) o sistema di rilevamento delle intrusioni (IDS) preferito.
Analisi del traffico
Analisi del traffico offre visualizzazioni avanzate dei dati dei log di flusso.
Utilizzo e quote
La funzionalità Utilizzo e quote di Network Watcher fornisce un riepilogo delle risorse di rete distribuite all'interno di una sottoscrizione e di un'area, inclusi l'utilizzo corrente e i limiti corrispondenti per ogni risorsa. Per altre informazioni, vedere Limiti di networking per conoscere i limiti di ogni risorsa di rete di Azure per area geografica e per sottoscrizione. Queste informazioni sono utili per pianificare le distribuzioni di risorse future, poiché non è possibile creare altre risorse se si raggiungono i limiti all'interno della sottoscrizione o dell'area.
Limiti relativi a Network Watcher
Network Watcher presenta i limiti seguenti:
Espandi la tabella
| risorsa | Limite |
|---|---|
| Istanze di Network Watcher per regione per sottoscrizione | 1 (un'istanza in un'area per abilitare l'accesso al servizio nell'area) |
| Monitoraggi delle connessioni per regione per sottoscrizione | 100 |
| Numero massimo di gruppi di test per ogni monitoraggio della connessione | 20 |
| Numero massimo di origini e destinazioni per ogni monitor di connessione | 100 |
| Numero massimo di configurazioni di test per ogni monitoraggio della connessione | 20 |
| Sessioni di acquisizione pacchetti per area per sottoscrizione | 10.000 (solo numero di sessioni, acquisizioni non salvate) |
| Operazioni di risoluzione dei problemi VPN per sottoscrizione | 1 (Numero di operazioni contemporaneamente) |
Tariffazione
Per informazioni dettagliate sui prezzi, vedere Prezzi di Network Watcher.
Contratto di servizio (SLA)
Per informazioni dettagliate sul contratto di servizio, vedere Contratti di servizio (SLA) per i servizi online.
Domande frequenti
Per risposte alle domande frequenti su Network Watcher, vedere Network Watcher (domande frequenti).
Novità
Per visualizzare gli aggiornamenti delle funzionalità più recenti di Network Watcher, vedere Aggiornamenti del servizio.
Contenuti correlati
- Per iniziare a usare gli strumenti di diagnostica di Network Watcher, vedere Avvio rapido: Diagnosticare un problema di filtro del traffico di rete di una macchina virtuale.
- Per altre informazioni su Network Watcher, vedere Modulo di training: Introduzione ad Azure Network Watcher.