Kurz: Filtrování síťového provozu pomocí skupiny zabezpečení sítě pomocí Azure Portal

Skupinu zabezpečení sítě můžete použít k filtrování příchozího a odchozího síťového provozu z podsítě virtuální sítě.

Skupiny zabezpečení sítě obsahují pravidla zabezpečení, která filtrují síťový provoz podle IP adresy, portu a protokolu. Pravidla zabezpečení se vztahují na prostředky nasazené v podsíti.

V tomto kurzu se naučíte:

  • Vytvoření skupiny zabezpečení sítě a pravidel zabezpečení
  • Vytvoření virtuální sítě a přidružení skupiny zabezpečení sítě k podsíti
  • Nasazení virtuálních počítačů do podsítě
  • Testování filtrů provozu

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Požadavky

  • Předplatné Azure.

Přihlášení k Azure

Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.

Vytvoření virtuální sítě

  1. V levém horním rohu portálu vyberte Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte Virtual Network. Ve Virtual Network hledání vyberte Virtual Network.

  3. Na Virtual Network vyberte Vytvořit.

  4. V části Vytvořit virtuální síť zadejte nebo vyberte tyto informace na kartě Základy:

    Nastavení Hodnota
    Podrobnosti o projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Zadejte myResourceGroup.
    Vyberte OK.
    Podrobnosti o instancích
    Name Zadejte myVNet.
    Oblast Vyberte (USA) USA – východ.

  5. Vyberte kartu Zkontrolovat a vytvořit nebo vyberte modré tlačítko Zkontrolovat a vytvořit v dolní části stránky.

  6. Vyberte Vytvořit.

Vytvoření skupin zabezpečení aplikací

Skupina zabezpečení aplikací umožňuje seskupovat servery s podobnými funkcemi, například webové servery.

  1. V levém horním rohu portálu vyberte Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte Skupina zabezpečení aplikace. Ve výsledcích hledání vyberte Skupina zabezpečení aplikace.

  3. Na stránce Skupina zabezpečení aplikace vyberte Vytvořit.

  4. V části Vytvořit skupinu zabezpečení aplikace zadejte nebo vyberte tyto informace na kartě Základy:

    Nastavení Hodnota
    Podrobnosti o projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instancích
    Name Zadejte myAsgWebServers.
    Oblast Vyberte (USA) USA – východ.

  5. Vyberte kartu Zkontrolovat a vytvořit nebo vyberte modré tlačítko Zkontrolovat a vytvořit v dolní části stránky.

  6. Vyberte Vytvořit.

  7. Zopakujte krok 4 a zadejte následující hodnoty:

    Nastavení Hodnota
    Podrobnosti o projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instancích
    Name Zadejte myAsgMgmtServers.
    Oblast Vyberte (USA) USA – východ.

  8. Vyberte kartu Zkontrolovat a vytvořit nebo vyberte modré tlačítko Zkontrolovat a vytvořit v dolní části stránky.

  9. Vyberte Vytvořit.

Vytvoření skupiny zabezpečení sítě

Skupina zabezpečení sítě zabezpečuje síťový provoz ve vaší virtuální síti.

  1. V levém horním rohu portálu vyberte Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte Skupina zabezpečení sítě. Ve výsledcích hledání vyberte Skupina zabezpečení sítě.

  3. Na stránce Skupina zabezpečení sítě vyberte Vytvořit.

  4. V části Vytvořit skupinu zabezpečení sítě zadejte nebo vyberte tyto informace na kartě Základy:

    Nastavení Hodnota
    Podrobnosti o projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instancích
    Name Zadejte myNSG.
    Umístění Vyberte (USA) USA – východ.

  5. Vyberte kartu Zkontrolovat a vytvořit nebo vyberte modré tlačítko Zkontrolovat a vytvořit v dolní části stránky.

  6. Vyberte Vytvořit.

Přidružení skupiny zabezpečení sítě k podsíti

V této části přidružíme skupinu zabezpečení sítě k podsíti virtuální sítě, kterou jsme vytvořili dříve.

  1. Do pole Hledat prostředky, služby a dokumenty v horní části portálu začněte psát myNsg. Jakmile se ve výsledcích hledání zobrazí položka myNsg, vyberte ji.

  2. Na stránce s přehledem myNSG vyberte Podsítě v Nastavení .

  3. Na stránce Nastavení vyberte Přidružit:

    Přidružte NSG k podsíti.

  4. V části Přidružit podsíť vyberte Virtuální síť a pak vyberte myVNet.

  5. Vyberte Podsíť, vyberte výchozí a pak vyberte OK.

Vytvoření pravidel zabezpečení

  1. V Nastavení myNSG vyberte Příchozí pravidla zabezpečení.

  2. V části Příchozí pravidla zabezpečení vyberte + Přidat:

    Přidejte příchozí pravidlo zabezpečení.

  3. Vytvořte pravidlo zabezpečení, které skupině zabezpečení aplikace myAsgWebServers povolí porty 80 a 443. V části Přidat příchozí pravidlo zabezpečení zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Zdroj Ponechte výchozí hodnotu Libovolný.
    Rozsahy zdrojových portů Ponechte výchozí hodnotu (*).
    Cíl Vyberte Skupina zabezpečení aplikace.
    Skupina zabezpečení cílové aplikace Vyberte myAsgWebServers.
    Služba Ponechte výchozí možnost Vlastní.
    Rozsahy cílových portů Zadejte 80 443.
    Protokol Vyberte TCP.
    Akce Ponechte výchozí možnost Povolit.
    Priorita Ponechte výchozí hodnotu 100.
    Název Zadejte Allow-Web-All.

    Příchozí pravidlo zabezpečení.

  4. Zopakujte 2. krok s použitím následujících hodnot:

    Nastavení Hodnota
    Zdroj Ponechte výchozí hodnotu Libovolný.
    Rozsahy zdrojových portů Ponechte výchozí hodnotu (*).
    Cíl Vyberte Skupina zabezpečení aplikace.
    Skupina zabezpečení cílové aplikace Vyberte myAsgMgmtServers.
    Služba Ponechte výchozí možnost Vlastní.
    Rozsahy cílových portů Zadejte 3389.
    Protokol Vyberte Libovolný.
    Akce Ponechte výchozí možnost Povolit.
    Priorita Ponechte výchozí hodnotu 110.
    Název Zadejte Allow-RDP-All.

    Upozornění

    V tomto článku je na internetu zpřístupněn protokol RDP (port 3389) pro virtuální počítač, který je přiřazený ke skupině zabezpečení aplikace myAsgMgmtServers.

    V produkčních prostředích se místo vystavení portu 3389 internetu doporučuje připojit k prostředkům Azure, které chcete spravovat, pomocí sítě VPN, připojení k privátní síti nebo Azure Bastion.

    Další informace o těchto Azure Bastion v tématu Co je Azure Bastion?.

Po dokončení kroků 1–3 zkontrolujte vytvořená pravidla. Váš seznam by měl vypadat jako v následujícím příkladu:

Pravidla zabezpečení.

Vytvoření virtuálních počítačů

Vytvořte ve virtuální síti dva virtuální počítače.

Vytvoření prvního virtuálního počítače

  1. V levém horním rohu portálu vyberte Vytvořit prostředek.

  2. Vyberte Compute a pak vyberte Virtuální počítač.

  3. V části Vytvořit virtuální počítač zadejte nebo vyberte tyto informace na kartě Základy:

    Nastavení Hodnota
    Podrobnosti o projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instancích
    Název virtuálního počítače Zadejte myVMWeb.
    Oblast Vyberte (USA) USA – východ.
    Možnosti dostupnosti Ponechte výchozí nastavení bez vyžadování redundance.
    Image Vyberte Windows Server 2019 Datacenter – Gen1.
    Instance Azure Spot Ponechte výchozí možnost nezaškrtnutou.
    Velikost Vyberte Standard_D2s_V3.
    Účet správce
    Uživatelské jméno Zadejte uživatelské jméno.
    Heslo Zadejte heslo.
    Potvrzení hesla Znovu zadejte heslo.
    Pravidla portů pro příchozí provoz
    Veřejné příchozí porty Vyberte Žádná.

  4. Vyberte kartu Sítě.

  5. Na kartě Sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte myVNet.
    Podsíť Vyberte výchozí (10.0.0.0/24).
    Veřejná IP adresa Ponechte výchozí nastavení nové veřejné IP adresy.
    Skupina zabezpečení sítě NIC Vyberte Žádná.

  6. Vyberte kartu Revize + vytvořit nebo v dolní části stránky vyberte tlačítko modrá recenze + vytvořit .

  7. Vyberte Vytvořit.

Vytvoření druhého virtuálního počítače

Proveďte kroky 1-7 znovu, ale v kroku 3 pojmenujte virtuální počítač myVMMgmt. Nasazení virtuálního počítače trvá několik minut.

Nepokračujte k dalšímu kroku, dokud není nasazený virtuální počítač.

Přidružení síťových rozhraní ke skupině zabezpečení aplikace

Když portál vytvoří virtuální počítače, vytvoří pro každý z nich síťové rozhraní, které připojí k virtuálnímu počítači.

Síťové rozhraní každého virtuálního počítače přidejte k jedné ze dříve vytvořených skupin zabezpečení aplikace:

  1. V poli Hledat prostředky, služby a dokumenty v horní části portálu začněte zadávat myVMWeb. Jakmile se ve výsledcích hledání zobrazí virtuální počítač myVMWeb , vyberte ho.

  2. v Nastavení vyberte síť.

  3. Vyberte kartu skupiny zabezpečení aplikace a pak vyberte Konfigurovat skupiny zabezpečení aplikací.

    Nakonfigurujte skupiny zabezpečení aplikací.

  4. V části konfigurovat skupiny zabezpečení aplikace vyberte myAsgWebServers. Vyberte Uložit.

    Vyberte skupiny zabezpečení aplikace.

  5. Opakujte kroky 1 a 2 a vyhledejte virtuální počítač myVMMgmt a vyberte myAsgMgmtServers ASG.

Testování filtrů provozu

  1. Připojení k virtuálnímu počítači myVMMgmt . Do vyhledávacího pole v horní části portálu zadejte myVMMgmt . Pokud se ve výsledcích hledání zobrazí myVMMgmt , vyberte ji. Klikněte na tlačítko Připojit.

  2. Vyberte Stáhnout soubor RDP.

  3. Otevřete stažený soubor RDP a vyberte Připojit. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.

  4. Vyberte OK.

  5. Během procesu připojování se může zobrazit upozornění certifikátu. Pokud se zobrazí upozornění, vyberte Ano nebo pokračovat a pokračujte v připojování.

    Připojení je úspěšné, protože port 3389 je povolený pro příchozí připojení z Internetu do skupiny zabezpečení aplikací myAsgMgmtServers .

    Síťové rozhraní pro myVMMgmt je přidruženo ke skupině zabezpečení aplikace myAsgMgmtServers a umožňuje připojení.

  6. Otevřete relaci PowerShellu v myVMMgmt. Připojení myVMWeb pomocí následujícího příkladu:

    mstsc /v:myVmWeb

    Připojení RDP z myVMMgmt do myVMWeb je úspěšné, protože virtuální počítače ve stejné síti můžou ve výchozím nastavení komunikovat s každým z libovolných portů.

    Nemůžete vytvořit připojení RDP k virtuálnímu počítači s myVMWeb z Internetu. Pravidlo zabezpečení pro myAsgWebServers zabraňuje připojením k portu 3389 příchozímu z Internetu. Pro všechny prostředky ve výchozím nastavení je povolený příchozí provoz z Internetu.

  7. Pokud chcete nainstalovat Microsoft IIS na virtuálním počítači s myVMWeb , zadejte následující příkaz z relace PowerShellu na virtuálním počítači myVMWeb :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  8. Po dokončení instalace služby IIS se odpojte z virtuálního počítače s myVMWeb , který vám ponechá připojení ke vzdálené ploše virtuálního počítače myVMMgmt .

  9. Odpojte se od virtuálního počítače myVMMgmt .

  10. V poli Hledat prostředky, služby a dokumenty v horní části Azure Portal začněte psát myVMWeb z počítače. Pokud se ve výsledcích hledání zobrazí myVMWeb , vyberte ji. Poznamenejte si veřejnou IP adresu svého virtuálního počítače. Adresa zobrazená v následujícím příkladu je 23.96.39.113, ale vaše adresa je odlišná:

    Veřejná IP adresa.

  11. Pokud chcete potvrdit, že máte přístup k webovému serveru myVMWeb z Internetu, otevřete internetový prohlížeč na počítači a přejděte na adresu http://<public-ip-address-from-previous-step> .

Zobrazí se uvítací obrazovka služby IIS, protože port 80 je povolený pro příchozí připojení z Internetu do skupiny zabezpečení aplikací myAsgWebServers .

Síťové rozhraní připojené pro myVMWeb je přidruženo ke skupině zabezpečení aplikace myAsgWebServers a umožňuje připojení.

Vyčištění prostředků

Pokud už je nepotřebujete, odstraňte skupinu prostředků a všechny prostředky, které obsahuje:

  1. Do pole Hledat v horní části portálu zadejte myResourceGroup. Jakmile se ve výsledcích hledání zobrazí skupina prostředků myResourceGroup, vyberte ji.
  2. Vyberte Odstranit skupinu prostředků.
  3. V části ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte myResourceGroup a vyberte Odstranit.

Další kroky

V tomto kurzu jste:

  • Byla vytvořena skupina zabezpečení sítě a přidružená k podsíti virtuální sítě.
  • Byly vytvořeny skupiny zabezpečení aplikace pro web a správu.
  • Vytvořili jste dva virtuální počítače.
  • Byl testován filtr sítě skupiny zabezpečení aplikace.

Další informace o skupinách zabezpečení sítě najdete v tématech Přehled skupin zabezpečení sítě a Správa skupiny zabezpečení sítě.

Provoz mezi podsítěmi směruje ve výchozím nastavení Azure. Místo toho se můžete rozhodnout směrovat provoz mezi podsítěmi například prostřednictvím virtuálního počítače, který slouží jako brána firewall.

Pokud chcete zjistit, jak vytvořit směrovací tabulku, pokračujte k dalšímu kurzu.

Vytvoření směrovací tabulky