Samouczek: filtrowanie ruchu sieciowego przy użyciu sieciowej grupy zabezpieczeń przy użyciu witryny Azure Portal
Sieciową grupę zabezpieczeń można używać do filtrowania przychodzącego i wychodzącego ruchu sieciowego do i z zasobów platformy Azure w sieci wirtualnej platformy Azure.
Sieciowe grupy zabezpieczeń zawierają reguły zabezpieczeń, które filtrują ruch sieciowy według adresów IP, portów i protokołów. Gdy sieciowa grupa zabezpieczeń jest skojarzona z podsiecią, reguły zabezpieczeń są stosowane do zasobów wdrożonych w tej podsieci.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Tworzenie sieciowej grupy zabezpieczeń i reguł zabezpieczeń
- Tworzenie grup zabezpieczeń aplikacji
- Tworzenie sieci wirtualnej i kojarzenie sieciowej grupy zabezpieczeń z podsiecią
- Wdrażanie maszyn wirtualnych i kojarzenie ich interfejsów sieciowych z grupami zabezpieczeń aplikacji
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.
Logowanie się do platformy Azure
Zaloguj się w witrynie Azure Portal.
Tworzenie sieci wirtualnej
Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów.
W portalu wyszukaj i wybierz pozycję Sieci wirtualne.
Na stronie Sieci wirtualne wybierz pozycję + Utwórz.
Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycjęUtwórz nowy. Wprowadź ciąg test-rg w polu Nazwa. Wybierz przycisk OK. Szczegóły wystąpienia Nazwisko Wprowadź wartość vnet-1. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). 
Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
Wybierz przycisk Dalej , aby przejść do karty Adresy IP.
W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.
W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły podsieci Szablon podsieci Pozostaw wartość domyślną Domyślna. Nazwisko Wprowadź podsieć-1. Adres początkowy Pozostaw wartość domyślną 10.0.0.0. Rozmiar podsieci Pozostaw wartość domyślną /24(256 adresów). 
Wybierz pozycję Zapisz.
Wybierz pozycję Przejrzyj i utwórz w dolnej części ekranu, a po zakończeniu walidacji wybierz pozycję Utwórz.
Tworzenie grup zabezpieczeń aplikacji
Grupa zabezpieczeń aplikacji (ASG) umożliwia grupowanie serwerów z podobnymi funkcjami, takimi jak serwery internetowe.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Grupa zabezpieczeń aplikacji. Wybierz pozycję Grupy zabezpieczeń aplikacji w wynikach wyszukiwania.
Wybierz + Utwórz.
Na karcie Podstawy tworzenia grupy zabezpieczeń aplikacji wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Nazwisko Wprowadź ciąg asg-web. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Wybierz pozycję Przejrzyj i utwórz.
Wybierz + Utwórz.
Powtórz poprzednie kroki, określając następujące wartości:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Nazwisko Wprowadź ciąg asg-mgmt. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Tworzenie sieciowej grupy zabezpieczeń
Sieciowa grupa zabezpieczeń zabezpiecza ruch sieciowy w sieci wirtualnej.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.
Uwaga
W wynikach wyszukiwania dla sieciowych grup zabezpieczeń mogą być widoczne sieciowe grupy zabezpieczeń (klasyczne). Wybierz pozycję Sieciowe grupy zabezpieczeń.
Wybierz + Utwórz.
Na karcie Podstawy w obszarze Tworzenie sieciowej grupy zabezpieczeń wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Nazwisko Wprowadź ciąg nsg-1. Lokalizacja Wybierz pozycję East US 2 (Wschodnie stany USA 2). Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Przypisywanie sieciowej grupy zabezpieczeń do podsieci
W tej sekcji skojarzysz sieciową grupę zabezpieczeń z podsiecią utworzonej wcześniej sieci wirtualnej.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.
Wybierz pozycję nsg-1.
Wybierz pozycję Podsieci w sekcji Ustawienia sieciowej grupy zabezpieczeń-1.
Na stronie Podsieci wybierz pozycję + Skojarz:
W obszarze Skojarz podsieć wybierz pozycję vnet-1 (test-rg) dla pozycji Sieć wirtualna.
Wybierz podsieć-1 dla podsieci, a następnie wybierz przycisk OK.
Tworzenie reguł zabezpieczeń
Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego w sekcji Ustawienia sieciowej grupy zabezpieczeń-1.
Na stronie Reguły zabezpieczeń dla ruchu przychodzącego wybierz pozycję + Dodaj.
Utwórz regułę zabezpieczeń zezwalającą portom 80 i 443 na grupę zabezpieczeń aplikacji asg-web . Na stronie Dodawanie reguły zabezpieczeń dla ruchu przychodzącego wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Lokalizacja źródłowa Pozostaw wartość domyślną Dowolna. Zakresy portów źródłowych Pozostaw wartość domyślną (*). Element docelowy Wybierz pozycję Grupa zabezpieczeń aplikacji. Docelowe grupy zabezpieczeń aplikacji Wybierz pozycję asg-web. Usługa Pozostaw wartość domyślną Niestandardowe. Zakresy portów docelowych Wprowadź wartość 80 443. Protokół Wybierz pozycję TCP. Akcja Pozostaw wartość domyślną Zezwalaj. Priorytet Pozostaw wartość domyślną 100. Nazwisko Wprowadź wartość allow-web-all. Wybierz Dodaj.
Wykonaj poprzednie kroki, wykonując następujące informacje:
Ustawienie Wartość Lokalizacja źródłowa Pozostaw wartość domyślną Dowolna. Zakresy portów źródłowych Pozostaw wartość domyślną (*). Element docelowy Wybierz pozycję Grupa zabezpieczeń aplikacji. Docelowa grupa zabezpieczeń aplikacji Wybierz pozycję asg-mgmt. Usługa Wybierz pozycję RDP. Akcja Pozostaw wartość domyślną Zezwalaj. Priorytet Pozostaw wartość domyślną 110. Nazwisko Wprowadź wartość allow-rdp-all. Wybierz Dodaj.
Uwaga
W tym artykule protokół RDP (port 3389) jest uwidoczniony w Internecie dla maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji asg-mgmt .
W przypadku środowisk produkcyjnych, zamiast uwidaczniać port 3389 w Internecie, zaleca się nawiązanie połączenia z zasobami platformy Azure, którymi chcesz zarządzać przy użyciu sieci VPN, prywatnego połączenia sieciowego lub usługi Azure Bastion.
Aby uzyskać więcej informacji na temat usługi Azure Bastion, zobacz Co to jest usługa Azure Bastion?.
Tworzenie maszyn wirtualnych
Utwórz dwie maszyny wirtualne w sieci wirtualnej.
W portalu wyszukaj i wybierz pozycję Maszyny wirtualne.
W obszarze Maszyny wirtualne wybierz pozycję + Utwórz, a następnie maszynę wirtualną platformy Azure.
W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz te informacje na karcie Podstawy :
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Virtual machine name Wprowadź wartość vm-1. Region (Region) Wybierz pozycję (USA) Wschodnie stany USA 2. Opcje dostępności Pozostaw wartość domyślną Brak wymaganej nadmiarowości infrastruktury. Typ zabezpieczeń Wybierz opcję Standardowa. Obraz Wybierz pozycję Windows Server 2022 Datacenter — x64 Gen2. Wystąpienie usługi Azure Spot Pozostaw wartość domyślną niezaznaczonego. Rozmiar Wybierz rozmiar. konto Administracja istrator Username Wprowadź nazwę użytkownika. Hasło Wprowadź hasło. Potwierdź hasło Ponownie wprowadź hasło. Reguły portów przychodzących Wybierz porty wejściowe Wybierz pozycję Brak. Wybierz pozycję Dalej: Dyski , a następnie Dalej: Sieć.
Na karcie Sieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Interfejs sieciowy Sieć wirtualna Wybierz pozycję vnet-1. Podsieć Wybierz podsieć-1 (10.0.0.0/24). Publiczny adres IP Pozostaw wartość domyślną nowego publicznego adresu IP. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz pozycję Brak. Wybierz kartę Przeglądanie + tworzenie lub wybierz niebieski przycisk Przejrzyj i utwórz w dolnej części strony.
Wybierz pozycję Utwórz. Wdrożenie maszyny wirtualnej może potrwać kilka minut.
Powtórz poprzednie kroki, aby utworzyć drugą maszynę wirtualną o nazwie vm-2.
Kojarzenie interfejsów sieciowych z grupą zabezpieczeń aplikacji
Po utworzeniu maszyn wirtualnych platforma Azure utworzyła interfejs sieciowy dla każdej maszyny wirtualnej i dołączyła ją do maszyny wirtualnej.
Dodaj interfejs sieciowy każdej maszyny wirtualnej do jednej z utworzonych wcześniej grup zabezpieczeń aplikacji:
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-1.
Wybierz pozycję Sieć w sekcji Ustawienia maszyny wirtualnej vm-1.
Wybierz kartę Grupy zabezpieczeń aplikacji, a następnie wybierz pozycję Konfiguruj grupy zabezpieczeń aplikacji.
W obszarze Konfigurowanie grup zabezpieczeń aplikacji wybierz pozycję asg-web w menu rozwijanym Grupy zabezpieczeń aplikacji, a następnie wybierz pozycję Zapisz.
Powtórz poprzednie kroki dla maszyny wirtualnej vm-2, wybierając pozycję asg-mgmt w menu rozwijanym Grupy zabezpieczeń aplikacji.
Testowanie filtrów ruchu
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-2.
Na stronie Przegląd wybierz przycisk Połączenie, a następnie wybierz pozycję Natywny protokół RDP.
Wybierz pozycję Pobierz plik RDP.
Otwórz pobrany plik RDP i wybierz opcję Połącz. Wprowadź nazwę użytkownika i hasło określone podczas tworzenia maszyny wirtualnej.
Wybierz przycisk OK.
Podczas procesu połączenia może zostać wyświetlone ostrzeżenie o certyfikacie. Jeśli zostanie wyświetlone ostrzeżenie, wybierz pozycję Tak lub Kontynuuj, aby kontynuować połączenie.
Połączenie powiedzie się, ponieważ ruch przychodzący z Internetu do grupy zabezpieczeń aplikacji asg-mgmt jest dozwolony przez port 3389.
Interfejs sieciowy maszyny wirtualnej vm-2 jest skojarzony z grupą zabezpieczeń aplikacji asg-mgmt i zezwala na połączenie.
Otwórz sesję programu PowerShell na maszynie wirtualnej vm-2. Połączenie do maszyny wirtualnej vm-1 przy użyciu następujących elementów:
mstsc /v:vm-1Połączenie RDP z maszyny wirtualnej vm-2 do vm-1 powiedzie się, ponieważ maszyny wirtualne w tej samej sieci mogą domyślnie komunikować się ze sobą za pośrednictwem dowolnego portu.
Nie można utworzyć połączenia RDP z maszyną wirtualną vm-1 z Internetu. Reguła zabezpieczeń dla aplikacji asg-web uniemożliwia nawiązywanie połączeń z portem 3389 przychodzącym z Internetu. Ruch przychodzący z Internetu jest domyślnie blokowany do wszystkich zasobów.
Aby zainstalować usługi Microsoft IIS na maszynie wirtualnej vm-1 , wprowadź następujące polecenie z sesji programu PowerShell na maszynie wirtualnej vm-1 :
Install-WindowsFeature -name Web-Server -IncludeManagementToolsPo zakończeniu instalacji usług IIS odłącz się od maszyny wirtualnej vm-1 , która pozostawia Cię w połączeniu pulpitu zdalnego maszyny wirtualnej vm-2 .
Odłącz się od maszyny wirtualnej vm-2 .
Wyszukaj ciąg vm-1 w polu wyszukiwania portalu.
Na stronie Przegląd maszyny wirtualnej vm-1 zanotuj publiczny adres IP maszyny wirtualnej. Adres pokazany w poniższym przykładzie to 20.230.55.178. Twój adres jest inny:
Aby potwierdzić, że możesz uzyskać dostęp do serwera internetowego vm-1 z Internetu, otwórz przeglądarkę internetową na komputerze i przejdź do
http://<public-ip-address-from-previous-step>adresu .
Zostanie wyświetlona domyślna strona usług IIS, ponieważ ruch przychodzący z Internetu do grupy zabezpieczeń aplikacji asg-web jest dozwolony za pośrednictwem portu 80.
Interfejs sieciowy dołączony do maszyny wirtualnej vm-1 jest skojarzony z grupą zabezpieczeń aplikacji internetowej asg-web i zezwala na połączenie.
Czyszczenie zasobów
Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby:
W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.
Na stronie Grupy zasobów wybierz grupę zasobów test-rg.
Na stronie test-rg wybierz pozycję Usuń grupę zasobów.
Wprowadź ciąg test-rg w polu Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń.
Następne kroki
W tym samouczku zostały wykonane następujące czynności:
- Utworzono sieciową grupę zabezpieczeń i skojarzyliśmy ją z podsiecią sieci wirtualnej.
- Utworzono grupy zabezpieczeń aplikacji na potrzeby sieci Web i zarządzania.
- Utworzono dwie maszyny wirtualne i skojarzyliśmy ich interfejsy sieciowe z grupami zabezpieczeń aplikacji.
- Przetestowano filtrowanie sieci grupy zabezpieczeń aplikacji.
Aby dowiedzieć się więcej na temat sieciowych grup zabezpieczeń, zobacz Network security groups overview (Omówienie sieciowych grup zabezpieczeń) oraz Manage a network security group (Zarządzanie sieciową grupą zabezpieczeń).
Platforma Azure domyślnie kieruje ruch pomiędzy podsieciami. Zamiast tego możesz przykładowo skierować ruch pomiędzy podsieciami przez maszynę wirtualną, która będzie służyć jako zapora.
Aby dowiedzieć się więcej o sposobie tworzenia tabeli tras, przejdź do następnego samouczka.