Tutorial: Filtern von Netzwerkdatenverkehr mithilfe einer Netzwerksicherheitsgruppe über das Azure-Portal

  • Artikel
  • 8 Minuten Lesedauer

Sie können eine Netzwerksicherheitsgruppe verwenden, um eingehenden und ausgehenden Netzwerkdatenverkehr von und zu Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern.

Netzwerksicherheitsgruppen enthalten Sicherheitsregeln, die Netzwerkdatenverkehr nach IP-Adresse, Port und Protokoll filtern. Wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist, werden Sicherheitsregeln auf Ressourcen angewendet, die in diesem Subnetz bereitgestellt werden.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen von Netzwerksicherheitsgruppe und Sicherheitsregeln
  • Erstellen von Anwendungssicherheitsgruppen
  • Erstellen eines virtuellen Netzwerks und Zuweisen einer Netzwerksicherheitsgruppe zu einem Subnetz
  • Bereitstellen virtueller Computer und Zuordnen ihrer Netzwerkschnittstellen zu den Anwendungssicherheitsgruppen
  • Testen von Datenverkehrsfiltern

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

  • Ein Azure-Abonnement

Anmelden bei Azure

Melden Sie sich beim Azure-Portal an.

Erstellen eines virtuellen Netzwerks

  1. Klicken Sie im Menü des Azure-Portals auf + Ressource erstellen>Netzwerk>Virtuelles Netzwerk, oder suchen Sie im Suchfeld des Portals nach Virtuelles Netzwerk.

  2. Wählen Sie Erstellen aus.

  3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie Neu erstellen.
    Geben Sie myResourceGroup ein.
    Wählen Sie OK aus.
    Instanzendetails
    Name Geben Sie myVNet ein.
    Region Wählen Sie USA, Osten aus.

  4. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.

  5. Klicken Sie auf Erstellen.

Erstellen von Anwendungssicherheitsgruppen

Mithilfe einer Anwendungssicherheitsgruppe (ASG) können Sie Server mit ähnlichen Funktionen gruppieren (z. B. Webserver).

  1. Klicken Sie im Menü des Azure-Portals auf + Ressource erstellen>Netzwerk>Anwendungssicherheitsgruppe, oder suchen Sie über das Suchfeld des Portals nach Anwendungssicherheitsgruppe.

  2. Wählen Sie Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundlagen unter Anwendungssicherheitsgruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie myResourceGroup aus.
    Instanzendetails
    Name Geben Sie myAsgWebServers ein.
    Region Wählen Sie (USA) USA, Osten aus.

  4. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.

  5. Klicken Sie auf Erstellen.

  6. Wiederholen Sie die vorherigen Schritte, und geben Sie die folgenden Werte an:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie myResourceGroup aus.
    Instanzendetails
    Name Geben Sie myAsgMgmtServers ein.
    Region Wählen Sie (USA) USA, Osten aus.

  7. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.

  8. Klicken Sie auf Erstellen.

Erstellen einer Netzwerksicherheitsgruppe

Eine Netzwerksicherheitsgruppe (NSG) schützt den Netzwerkdatenverkehr in Ihrem virtuellen Netzwerk.

  1. Klicken Sie im Menü des Azure-Portals auf + Ressource erstellen>Netzwerk>Netzwerksicherheitsgruppe, oder suchen Sie über das Suchfeld des Portals nach Netzwerksicherheitsgruppe.

  2. Wählen Sie Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundlagen unter Netzwerksicherheitsgruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie myResourceGroup aus.
    Instanzendetails
    Name Geben Sie myNSG ein.
    Location Wählen Sie (USA) USA, Osten aus.

  4. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.

  5. Klicken Sie auf Erstellen.

Zuordnen einer Netzwerksicherheitsgruppe zu einem Subnetz

In diesem Abschnitt ordnen Sie die Netzwerksicherheitsgruppe dem Subnetz des zuvor erstellten virtuellen Netzwerks zu.

  1. Suchen Sie über das Suchfeld des Portals nach myNsg.

  2. Klicken Sie im Abschnitt Einstellungen unter myNSG auf Subnetze.

  3. Klicken Sie auf der Seite Subnetze auf + Zuordnen:

    Screenshot of Associate a network security group to a subnet.

  4. Wählen Sie unter Subnetz zuordnen die Option myVNet für Virtuelles Netzwerk aus.

  5. Wählen Sie Standard für Subnetz aus, und klicken Sie dann auf OK.

Erstellen von Sicherheitsregeln

  1. Wählen Sie im Abschnitt Einstellungen unter myNSG die Option Eingangssicherheitsregeln aus.

  2. Klicken Sie auf der Seite Eingangssicherheitsregeln auf + Hinzufügen:

    Screenshot of Inbound security rules in a network security group.

  3. Erstellen Sie eine Sicherheitsregel, die für die Anwendungssicherheitsgruppe myAsgWebServers die Ports 80 und 443 zulässt. Geben Sie auf der Seite Eingangssicherheitsregel hinzufügen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    `Source` Übernehmen Sie den Standardwert Beliebig.
    Source port ranges Übernehmen Sie den Standardwert (*).
    Destination Wählen Sie Anwendungssicherheitsgruppe aus.
    Ziel-Anwendungssicherheitsgruppen Wählen Sie myAsgWebServers aus.
    Dienst Übernehmen Sie den Standardwert Benutzerdefiniert.
    Zielportbereiche Geben Sie 80,443 ein.
    Protocol Wählen Sie TCP aus.
    Aktion Übernehmen Sie den Standardwert Zulassen.
    Priorität Übernehmen Sie den Standardwert 100.
    Name Geben Sie Allow-Web-All ein.

    Screenshot of Add inbound security rule in a network security group.

  4. Wählen Sie Hinzufügen.

  5. Führen Sie die Schritte 3 bis 4 erneut mithilfe dieser Informationen aus:

    Einstellung Wert
    `Source` Übernehmen Sie den Standardwert Beliebig.
    Source port ranges Übernehmen Sie den Standardwert (*).
    Destination Wählen Sie Anwendungssicherheitsgruppe aus.
    Ziel-Anwendungssicherheitsgruppe Wählen Sie myAsgMgmtServers aus.
    Dienst Übernehmen Sie den Standardwert Benutzerdefiniert.
    Zielportbereiche Geben Sie 3389 ein.
    Protocol Wählen Sie Alle aus.
    Aktion Übernehmen Sie den Standardwert Zulassen.
    Priorität Übernehmen Sie den Standardwert 110.
    Name Geben Sie Allow-RDP-All ein.

  6. Wählen Sie Hinzufügen.

    Achtung

    In diesem Artikel wird RDP (Port 3389) für den virtuellen Computer, der der Anwendungssicherheitsgruppe myAsgMgmtServers zugewiesen ist, im Internet verfügbar gemacht.

    In Produktionsumgebungen empfiehlt es sich, eine VPN-basierte oder private Netzwerkverbindung mit den zu verwaltenden Azure-Ressourcen herzustellen oder Azure Bastion für die Verbindungsherstellung zu verwenden, anstatt den Port 3389 im Internet verfügbar zu machen.

    Weitere Informationen zu Azure Bastion finden Sie unter Was ist Azure Bastion?.

Nachdem Sie die Schritte 1 bis 3 durchgeführt haben, überprüfen Sie die Regeln, die Sie erstellt haben. Ihre Liste sollte wie die Liste im folgenden Beispiel aussehen:

Screenshot of Security rules of a network security group.

Erstellen von virtuellen Computern

Erstellen Sie zwei virtuelle Computer (VMs) im virtuellen Netzwerk.

Erstellen des ersten virtuellen Computers

  1. Klicken Sie im Menü des Azure-Portals auf + Ressource erstellen>Compute>Virtueller Computer, oder suchen Sie über das Suchfeld des Portals nach Virtueller Computer.

  2. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie myResourceGroup aus.
    Instanzendetails
    Name des virtuellen Computers Geben Sie myVMWeb ein.
    Region Wählen Sie (USA) USA, Osten aus.
    Verfügbarkeitsoptionen Übernehmen Sie den Standardwert Keine Infrastrukturredundanz erforderlich.
    Sicherheitstyp Übernehmen Sie den Standardwert Standard.
    Image Wählen Sie Windows Server 2019 Datacenter – Gen2 aus.
    Azure Spot-Instanz Übernehmen Sie die Standardeinstellung (deaktiviert).
    Size Wählen Sie Standard_D2s_V3 aus.
    Administratorkonto
    Username Geben Sie einen Benutzernamen ein.
    Kennwort Geben Sie ein Kennwort ein.
    Kennwort bestätigen Geben Sie das Kennwort erneut ein.
    Regeln für eingehende Ports
    Eingangsports auswählen Wählen Sie Keine.

  3. Wählen Sie die Registerkarte Netzwerk aus.

  4. Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Netzwerkschnittstelle
    Virtuelles Netzwerk Wählen Sie myVNet aus.
    Subnet Wählen Sie Standard (10.0.0.0/24) aus.
    Öffentliche IP-Adresse Übernehmen Sie den Standardwert einer neuen öffentlichen IP-Adresse.
    NIC-Netzwerksicherheitsgruppe Wählen Sie Keine.

  5. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.

  6. Klicken Sie auf Erstellen. Die Bereitstellung der VM kann einige Minuten dauern.

Erstellen des zweiten virtuellen Computers

Führen Sie die Schritte 1 bis 6 erneut aus, geben Sie bei Schritt 2 jedoch myVMMgmt als Namen für den virtuellen Computer ein.

Warten Sie, bis die Bereitstellung der VMs abgeschlossen ist, bevor Sie mit dem nächsten Abschnitt fortfahren.

Zuordnen von Netzwerkschnittstellen zu einer Anwendungssicherheitsgruppe

Als Sie die VMs erstellt haben, hat Azure eine Netzwerkschnittstelle für jede VM erstellt und an die VM angefügt.

Fügen Sie die Netzwerkschnittstellen der einzelnen virtuellen Computer einer der Anwendungssicherheitsgruppen hinzu, die Sie zuvor erstellt haben:

  1. Suchen Sie über das Suchfeld des Portals nach myVMWeb.

  2. Wählen Sie im Abschnitt Einstellungen auf der Seite für die VM myVMWeb die Option Netzwerk aus.

  3. Wählen Sie die Registerkarte Anwendungssicherheitsgruppen und dann Anwendungssicherheitsgruppen konfigurieren aus.

    Screenshot of Configure application security groups.

  4. Wählen Sie unter Anwendungssicherheitsgruppen konfigurieren die Option myAsgWebServers aus. Wählen Sie Speichern aus.

    Screenshot showing how to associate application security groups to a network interface.

  5. Führen Sie die Schritte 1 und 2 erneut aus, suchen Sie nach dem virtuellen Computer myVMMgmt und wählen Sie den Server myAsgMgmtServers ASG.

Testen von Datenverkehrsfiltern

  1. Suchen Sie über das Suchfeld des Portals nach myVMWeb.

  2. Klicken Sie auf der Seite Übersicht auf die Schaltfläche Verbinden, und wählen Sie dann RDP aus.

  3. Wählen Sie RDP-Datei herunterladen aus.

  4. Öffnen Sie die heruntergeladene RDP-Datei, und wählen Sie Verbinden aus. Geben Sie den Benutzernamen und das Kennwort ein, den/das Sie beim Erstellen des virtuellen Computers angegeben haben.

  5. Klicken Sie auf OK.

  6. Während des Verbindungsprozesses wird unter Umständen eine Zertifikatwarnung angezeigt. Sollte eine Warnung angezeigt werden, wählen Sie Ja bzw. Weiter aus, um mit der Verbindungsherstellung fortzufahren.

    Die Verbindung wird erfolgreich hergestellt, da eingehender Datenverkehr aus dem Internet an die Anwendungssicherheitsgruppe myAsgMgmtServers über Port 3389 zugelassen wird.

    Die Netzwerkschnittstelle für myVMMgmt ist mit der Anwendungssicherheitsgruppe myAsgMgmtServers verknüpft und lässt die Verbindung zu.

  7. Öffnen Sie eine PowerShell-Sitzung für myVMMgmt. Verwenden Sie Folgendes, um eine Verbindung mit myVMWeb herzustellen:

    mstsc /v:myVmWeb

    Die RDP-Verbindung zwischen myVMMgmt und myVMWeb ist erfolgreich, da virtuelle Computer im selben Netzwerk standardmäßig über jeden Port miteinander kommunizieren können.

    Es ist nicht möglich, über das Internet eine RDP-Verbindung mit dem virtuellen Computer myVMWeb herzustellen. Die Sicherheitsregel für myAsgWebServers verhindert eingehende Verbindungen aus dem Internet an Port 3389. Eingehender Datenverkehr aus dem Internet wird standardmäßig für alle Ressourcen verweigert.

  8. Geben Sie den folgenden Befehl über eine PowerShell-Sitzung auf dem virtuellen Computer myVMWeb ein, um Microsoft IIS auf dem virtuellen Computer myVMWeb zu installieren:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  9. Trennen Sie nach Abschluss der IIS-Installation die Verbindung mit dem virtuellen Computer myVMWeb. Dadurch befinden Sie sich in der Remotedesktopverbindung des virtuellen Computers myVMMgmt.

  10. Trennen Sie die Verbindung mit dem virtuellen Computer myVMMgmt.

  11. Suchen Sie über das Suchfeld des Portals nach myVMWeb.

  12. Notieren Sie sich auf der Seite Übersicht unter myVMWeb die Angabe für Öffentliche IP-Adresse für Ihre VM. Die im folgenden Beispiel dargestellte Adresse lautet 23.96.39.113. Ihre Adresse lautet jedoch anders:

    Screenshot of Public IP address of a virtual machine in the Overview page.

  13. Navigieren Sie auf Ihrem Computer in einem Internetbrowser zu http://<public-ip-address-from-previous-step>, um sich zu vergewissern, dass Sie vom Internet aus auf den Webserver myVMWeb zugreifen können.

Die IIS-Standardseite wird angezeigt, da eingehender Datenverkehr aus dem Internet an die Anwendungssicherheitsgruppe myAsgWebServers über Port 80 zugelassen wird.

Die für myVMWeb angefügte Netzwerkschnittstelle ist mit der Anwendungssicherheitsgruppe myAsgWebServers verknüpft und lässt die Verbindung zu.

Bereinigen von Ressourcen

Löschen Sie die Ressourcengruppe mit allen ihren Ressourcen, wenn Sie sie nicht mehr benötigen:

  1. Geben Sie im oben im Portal im Feld Suche die Zeichenfolge myResourceGroup ein. Wenn myResourceGroup in den Suchergebnissen angezeigt wird, wählen Sie diese Angabe aus.
  2. Wählen Sie die Option Ressourcengruppe löschen.
  3. Geben Sie für Geben Sie den Ressourcengruppennamen ein: den Namen myResourceGroup ein, und klicken Sie auf Löschen.

Nächste Schritte

In diesem Tutorial haben Sie:

  • eine Netzwerksicherheitsgruppe erstellt und dem Subnetz eines virtuellen Netzwerks zugeordnet.
  • Anwendungssicherheitsgruppen für das Web und die Verwaltung erstellt.
  • zwei virtueller Computer erstellt und ihre Netzwerkschnittstellen den Anwendungssicherheitsgruppen zugeordnet.
  • die Netzwerkfilterung der Anwendungssicherheitsgruppe getestet.

Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen – Übersicht sowie unter Verwalten einer Netzwerksicherheitsgruppe.

Azure leitet standardmäßig Datenverkehr zwischen Subnetzen weiter. Sie können Datenverkehr zwischen Subnetzen aber beispielsweise auch über einen virtuellen Computer weiterleiten, der als Firewall fungiert.

Im nächsten Tutorial erfahren Sie, wie Sie eine Routingtabelle erstellen.

Erstellen einer Routingtabelle