Tutorial: Filtern von Netzwerkdatenverkehr mithilfe einer Netzwerksicherheitsgruppe über das Azure-PortalTutorial: Filter network traffic with a network security group using the Azure Portal

Sie können eingehenden und ausgehenden Netzwerkdatenverkehr im Subnetz eines virtuellen Netzwerks mithilfe einer Netzwerksicherheitsgruppe filtern.You can filter network traffic inbound to and outbound from a virtual network subnet with a network security group. Netzwerksicherheitsgruppen enthalten Sicherheitsregeln, die Netzwerkdatenverkehr nach IP-Adresse, Port und Protokoll filtern.Network security groups contain security rules that filter network traffic by IP address, port, and protocol. Sicherheitsregeln werden auf Ressourcen angewendet, die in einem Subnetz bereitgestellt sind.Security rules are applied to resources deployed in a subnet. In diesem Tutorial lernen Sie Folgendes:In this tutorial, you learn how to:

  • Erstellen von Netzwerksicherheitsgruppe und SicherheitsregelnCreate a network security group and security rules
  • Erstellen eines virtuellen Netzwerks und Zuweisen einer Netzwerksicherheitsgruppe zu einem SubnetzCreate a virtual network and associate a network security group to a subnet
  • Bereitstellen von virtuellen Computern in einem SubnetzDeploy virtual machines (VM) into a subnet
  • Testen von DatenverkehrsfilternTest traffic filters

Dieser Artikel kann auch mit der Azure-Befehlszeilenschnittstelle oder mit PowerShell durchgearbeitet werden.If you prefer, you can complete this tutorial using the Azure CLI or PowerShell.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don't have an Azure subscription, create a free account before you begin.

Anmelden bei AzureLog in to Azure

Melden Sie sich unter https://portal.azure.com beim Azure-Portal an.Log in to the Azure portal at https://portal.azure.com.

Erstellen eines virtuellen NetzwerksCreate a virtual network

  1. Klicken Sie im Azure-Portal links oben auf + Ressource erstellen.Select + Create a resource on the upper, left corner of the Azure portal.
  2. Wählen Sie Netzwerk und anschließend Virtuelles Netzwerk aus.Select Networking, and then select Virtual network.
  3. Geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, übernehmen Sie die Standardwerte für die übrigen Einstellungen, und klicken Sie auf Erstellen:Enter, or select, the following information, accept the defaults for the remaining settings, and then select Create:

    EinstellungSetting WertValue
    NAMEName myVirtualNetworkmyVirtualNetwork
    AdressraumAddress space 10.0.0.0/1610.0.0.0/16
    AbonnementSubscription Wählen Sie Ihr Abonnement aus.Select your subscription.
    RessourcengruppeResource group Klicken Sie auf Neu erstellen, und geben Sie myResourceGroup ein.Select Create new and enter myResourceGroup.
    SpeicherortLocation Wählen Sie USA, Osten aus.Select East US.
    SubnetznameSubnet- Name mySubnetmySubnet
    SubnetzadressbereichSubnet - Address range 10.0.0.0/2410.0.0.0/24

Erstellen von AnwendungssicherheitsgruppenCreate application security groups

Mithilfe einer Anwendungssicherheitsgruppe können Sie Server mit ähnlichen Funktionen gruppieren, wie etwa Webserver.An application security group enables you to group together servers with similar functions, such as web servers.

  1. Klicken Sie im Azure-Portal links oben auf + Ressource erstellen.Select + Create a resource on the upper, left corner of the Azure portal.
  2. Geben Sie in das Feld Marketplace durchsuchen den Suchbegriff Anwendungssicherheitsgruppe ein.In the Search the Marketplace box, enter Application security group. Wenn in den Suchergebnissen Anwendungssicherheitsgruppe angezeigt wird, wählen Sie dieses Ergebnis aus. Wählen Sie Anwendungssicherheitsgruppe unter Alles erneut aus, und klicken Sie dann auf Erstellen.When Application security group appears in the search results, select it, select Application security group again under Everything, and then select Create.
  3. Geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, und wählen Sie dann Erstellen aus:Enter, or select, the following information, and then select Create:

    EinstellungSetting WertValue
    NAMEName myAsgWebServersmyAsgWebServers
    AbonnementSubscription Wählen Sie Ihr Abonnement aus.Select your subscription.
    RessourcengruppeResource group Wählen Sie Vorhandene verwenden und dann myResourceGroup aus.Select Use existing and then select myResourceGroup.
    SpeicherortLocation USA (Ost)East US
  4. Führen Sie Schritt 3 erneut aus, und geben Sie dabei die folgenden Werte an:Complete step 3 again, specifying the following values:

    EinstellungSetting WertValue
    NAMEName myAsgMgmtServersmyAsgMgmtServers
    AbonnementSubscription Wählen Sie Ihr Abonnement aus.Select your subscription.
    RessourcengruppeResource group Wählen Sie Vorhandene verwenden und dann myResourceGroup aus.Select Use existing and then select myResourceGroup.
    SpeicherortLocation USA (Ost)East US

Erstellen einer NetzwerksicherheitsgruppeCreate a network security group

  1. Klicken Sie im Azure-Portal links oben auf + Ressource erstellen.Select + Create a resource on the upper, left corner of the Azure portal.
  2. Wählen Sie die Option Netzwerk und dann Netzwerksicherheitsgruppe aus.Select Networking, and then select Network security group.
  3. Geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, und wählen Sie dann Erstellen aus:Enter, or select, the following information, and then select Create:

    EinstellungSetting WertValue
    NAMEName myNsgmyNsg
    AbonnementSubscription Wählen Sie Ihr Abonnement aus.Select your subscription.
    RessourcengruppeResource group Wählen Sie Vorhandene verwenden und dann myResourceGroup.Select Use existing and then select myResourceGroup.
    SpeicherortLocation USA (Ost)East US

Zuordnen einer Netzwerksicherheitsgruppe zu einem SubnetzAssociate network security group to subnet

  1. Beginnen Sie oben im Portal im Feld Ressourcen, Dienste und Dokumente durchsuchen mit der Eingabe von myNsg.In the Search resources, services, and docs box at the top of the portal, begin typing myNsg. Wenn myNsg in den Suchergebnissen angezeigt wird, wählen Sie diesen Eintrag aus.When myNsg appears in the search results, select it.
  2. Klicken Sie unter EINSTELLUNGEN auf Subnetze und anschließend auf + Zuordnen, wie in der folgenden Abbildung gezeigt:Under SETTINGS, select Subnets and then select + Associate, as shown in the following picture:

    Zuordnen der Netzwerksicherheitsgruppe zum Subnetz

  3. Wählen Sie unter Subnetz zuordnen die Option Virtuelles Netzwerk und anschließend myVirtualNetwork aus.Under Associate subnet, select Virtual network and then select myVirtualNetwork. Wählen Sie Subnetz, mySubnet und dann OK aus.Select Subnet, select mySubnet, and then select OK.

Erstellen von SicherheitsregelnCreate security rules

  1. Wählen Sie unter EINSTELLUNGEN die Option Eingangssicherheitsregeln und anschließend + Hinzufügen aus, wie in der folgenden Abbildung gezeigt:Under SETTINGS, select Inbound security rules and then select + Add, as shown in the following picture:

    Hinzufügen einer Eingangssicherheitsregel

  2. Erstellen Sie eine Sicherheitsregel, die für die Anwendungssicherheitsgruppe myAsgWebServers die Ports 80 und 443 zulässt.Create a security rule that allows ports 80 and 443 to the myAsgWebServers application security group. Geben Sie unter Eingangssicherheitsregel hinzufügen die folgenden Werte ein oder wählen Sie die Werte aus, übernehmen Sie die restlichen Standardeinstellungen, und wählen Sie dann Hinzufügen aus:Under Add inbound security rule, enter, or select the following values, accept the remaining defaults, and then select Add:

    EinstellungSetting WertValue
    ZielDestination Wählen Sie zunächst Anwendungssicherheitsgruppe und anschließend für Anwendungssicherheitsgruppe den Namen myAsgWebServers aus.Select Application security group, and then select myAsgWebServers for Application security group.
    ZielportbereicheDestination port ranges Geben Sie 80,443 ein.Enter 80,443
    ProtokollProtocol Wählen Sie TCP aus.Select TCP
    NAMEName Allow-Web-AllAllow-Web-All
  3. Führen Sie Schritt 2 erneut aus, und verwenden Sie dabei die folgenden Werte:Complete step 2 again, using the following values:

    EinstellungSetting WertValue
    ZielDestination Wählen Sie zunächst Anwendungssicherheitsgruppe und anschließend für Anwendungssicherheitsgruppe den Namen myAsgMgmtServers aus.Select Application security group, and then select myAsgMgmtServers for Application security group.
    ZielportbereicheDestination port ranges Geben Sie 3389 ein.Enter 3389
    ProtokollProtocol Wählen Sie TCP aus.Select TCP
    PrioritätPriority Geben Sie 110 ein.Enter 110
    NAMEName Allow-RDP-AllAllow-RDP-All

    In diesem Tutorial wird RDP (Port 3389) für den virtuellen Computer, der der Anwendungssicherheitsgruppe myAsgMgmtServers zugewiesen ist, im Internet verfügbar gemacht.In this tutorial, RDP (port 3389) is exposed to the internet for the VM that is assigned to the myAsgMgmtServers application security group. In Produktionsumgebungen empfiehlt es sich, eine VPN-basierte oder private Netzwerkverbindung mit den Azure-Ressourcen herzustellen, die Sie verwalten möchten, anstatt den Port 3389 für das Internet verfügbar zu machen.For production environments, instead of exposing port 3389 to the internet, it's recommended that you connect to Azure resources that you want to manage using a VPN or private network connection.

Nachdem Sie die Schritte 1 bis 3 durchgeführt haben, überprüfen Sie die Regeln, die Sie erstellt haben.Once you've completed steps 1-3, review the rules you created. Ihre Liste sollte wie die Liste in der folgenden Abbildung aussehen:Your list should look like the list in the following picture:

Sicherheitsregeln

Erstellen von virtuellen ComputernCreate virtual machines

Erstellen Sie zwei virtuelle Computer im virtuellen Netzwerk.Create two VMs in the virtual network.

Erstellen des ersten virtuellen ComputersCreate the first VM

  1. Klicken Sie im Azure-Portal links oben auf + Ressource erstellen.Select + Create a resource found on the upper, left corner of the Azure portal.
  2. Wählen Sie Compute und dann Windows Server 2016 Datacenter.Select Compute, and then select Windows Server 2016 Datacenter.
  3. Geben Sie die folgenden Informationen ein, oder wählen Sie sie aus, übernehmen Sie die Standardwerte für die übrigen Einstellungen, und klicken Sie auf OK:Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    EinstellungSetting WertValue
    NAMEName myVmWebmyVmWeb
    BenutzernameUser name Geben Sie den gewünschten Benutzernamen ein.Enter a user name of your choosing.
    PasswordPassword Geben Sie das gewünschte Kennwort ein.Enter a password of your choosing. Das Kennwort muss mindestens zwölf Zeichen lang sein und die definierten Anforderungen an die Komplexität erfüllen.The password must be at least 12 characters long and meet the defined complexity requirements.
    AbonnementSubscription Wählen Sie Ihr Abonnement aus.Select your subscription.
    RessourcengruppeResource group Wählen Sie Vorhandene verwenden und dann myResourceGroup aus.Select Use existing and select myResourceGroup.
    SpeicherortLocation Wählen Sie USA, Osten aus.Select East US
  4. Wählen Sie eine Größe für den virtuellen Computer aus, und klicken Sie dann auf Auswählen.Select a size for the VM and then select Select.

  5. Wählen Sie unter Einstellungen die folgenden Werte aus, übernehmen Sie die restlichen Standardeinstellungen, und wählen Sie dann OK aus:Under Settings, select the following values, accept the remaining defaults, and then select OK:

    EinstellungSetting WertValue
    Virtuelles NetzwerkVirtual network Wählen Sie myVirtualNetwork aus.Select myVirtualNetwork
    Netzwerksicherheitsgruppen (NSG)Network Security Group Wählen Sie Advanced (Erweitert).Select Advanced.
    Netzwerksicherheitsgruppe (Firewall)Network security group (firewall) Wählen Sie (new) myVmWeb-nsg aus. Wählen Sie anschließend unter Netzwerksicherheitsgruppe auswählen die Option Keine aus.Select (new) myVmWeb-nsg, and then under Choose network security group, select None.
  6. Wählen Sie auf der Seite Zusammenfassung unter Erstellen die Option Erstellen, um die Bereitstellung des virtuellen Computers zu starten.Under Create of the Summary, select Create to start VM deployment.

Erstellen des zweiten virtuellen ComputersCreate the second VM

Führen Sie die Schritte 1 bis 6 erneut aus, geben Sie jedoch in Schritt 3 dem virtuellen Computer den Namen myVmMgmt.Complete steps 1-6 again, but in step 3, name the VM myVmMgmt. Die Bereitstellung des virtuellen Computers dauert einige Minuten.The VM takes a few minutes to deploy. Führen Sie den nächsten Schritt erst durch, nachdem der virtuelle Computer bereitgestellt wurde.Do not continue to the next step until the VM is deployed.

Zuordnen von Netzwerkschnittstellen zu einer AnwendungssicherheitsgruppeAssociate network interfaces to an ASG

Beim Erstellen der virtuellen Computer im Portal wird für jeden virtuellen Computer eine Netzwerkschnittstelle erstellt und mit dem jeweiligen virtuellen Computer verbunden.When the portal created the VMs, it created a network interface for each VM, and attached the network interface to the VM. Fügen Sie die Netzwerkschnittstelle für die einzelnen virtuellen Computer einer der Anwendungssicherheitsgruppen hinzu, die Sie zuvor erstellt haben:Add the network interface for each VM to one of the application security groups you created previously:

  1. Beginnen Sie oben im Portal im Feld Ressourcen, Dienste und Dokumente durchsuchen mit der Eingabe von myVmWeb.In the Search resources, services, and docs box at the top of the portal, begin typing myVmWeb. Wenn die VM myVmWeb in den Suchergebnissen angezeigt wird, wählen Sie sie aus.When the myVmWeb VM appears in the search results, select it.
  2. Wählen Sie unter EINSTELLUNGEN die Option Netzwerk aus.Under SETTINGS, select Networking. Wählen Sie zunächst Configure the application security groups (Anwendungssicherheitsgruppen konfigurieren), anschließend myAsgWebServers für Anwendungssicherheitsgruppen und schließlich Speichern, wie in der folgenden Abbildung gezeigt:Select Configure the application security groups, select myAsgWebServers for Application security groups, and then select Save, as shown in the following picture:

    Zuordnen von Anwendungssicherheitsgruppen

  3. Führen Sie die Schritte 1 und 2 erneut durch. Suchen Sie dabei nach dem virtuellen Computer myVmMgmt, und wählen Sie die Anwendungssicherheitsgruppe myAsgMgmtServers aus.Complete steps 1 and 2 again, searching for the myVmMgmt VM and selecting the myAsgMgmtServers ASG.

Testen von DatenverkehrsfilternTest traffic filters

  1. Stellen Sie eine Verbindung mit dem virtuellen Computer myVmMgmt her.Connect to the myVmMgmt VM. Geben Sie oben im Portal im Suchfeld myVmMgmt ein.Enter myVmMgmt in the search box at the top of the portal. Wenn myVmMgmt in den Suchergebnissen angezeigt wird, wählen Sie diese Angabe aus.When myVmMgmt appears in the search results, select it. Wählen Sie die Schaltfläche Verbinden aus.Select the Connect button.
  2. Wählen Sie RDP-Datei herunterladen aus.Select Download RDP file.
  3. Öffnen Sie die heruntergeladene RDP-Datei, und wählen Sie Verbinden aus.Open the downloaded rdp file and select Connect. Geben Sie den Benutzernamen und das Kennwort ein, die Sie beim Erstellen des virtuellen Computers festgelegt haben.Enter the user name and password you specified when creating the VM. Unter Umständen müssen Sie auf Weitere Optionen und anschließend auf Anderes Konto verwenden klicken, um die Anmeldeinformationen anzugeben, die Sie beim Erstellen des virtuellen Computers eingegeben haben.You may need to select More choices, then Use a different account, to specify the credentials you entered when you created the VM.
  4. Klicken Sie auf OK.Select OK.
  5. Während des Anmeldevorgangs wird unter Umständen eine Zertifikatwarnung angezeigt.You may receive a certificate warning during the sign-in process. Wenn eine Warnung angezeigt wird, klicken Sie auf Ja bzw. Weiter, um mit dem Herstellen der Verbindung fortzufahren.If you receive the warning, select Yes or Continue, to proceed with the connection.

    Die Verbindung wird erfolgreich hergestellt, da am Port 3389 eingehender Datenverkehr aus dem Internet für die Anwendungssicherheitsgruppe myAsgMgmtServers zugelassen wird, in der sich die an den virtuellen Computer myVmMgmt angefügte Netzwerkschnittstelle befindet.The connection succeeds, because port 3389 is allowed inbound from the internet to the myAsgMgmtServers application security group that the network interface attached to the myVmMgmt VM is in.

  6. Stellen Sie vom virtuellen Computer myVmMgmt aus eine Verbindung mit dem virtuellen Computer myVmWeb her. Geben Sie dabei in einer PowerShell-Sitzung den folgenden Befehl ein:Connect to the myVmWeb VM from the myVmMgmt VM by entering the following command in a PowerShell session:

    mstsc /v:myVmWeb
    

    Sie können vom virtuellen Computer myVmMgmt aus eine Verbindung mit dem virtuellen Computer myVmWeb herstellen, da virtuelle Computer im selben virtuellen Netzwerk standardmäßig über jeden beliebigen Port miteinander kommunizieren können.You are able to connect to the myVmWeb VM from the myVmMgmt VM because VMs in the same virtual network can communicate with each other over any port, by default. Über das Internet kann jedoch keine Remotedesktopverbindung mit dem virtuellen Computer myVmWeb hergestellt werden, da die Sicherheitsregel für myAsgWebServers am Port 3389 keinen eingehenden Datenverkehr aus dem Internet zulässt. Eingehender Datenverkehr aus dem Internet wird standardmäßig für alle Ressourcen abgelehnt.You can't however, create a remote desktop connection to the myVmWeb VM from the internet, because the security rule for the myAsgWebServers doesn't allow port 3389 inbound from the internet and inbound traffic from the Internet is denied to all resources, by default.

  7. Geben Sie den folgenden Befehl über eine PowerShell-Sitzung auf dem virtuellen Computer myVmWeb ein, um Microsoft IIS auf dem virtuellen Computer myVmWeb zu installieren:To install Microsoft IIS on the myVmWeb VM, enter the following command from a PowerShell session on the myVmWeb VM:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  8. Trennen Sie nach Abschluss der IIS-Installation die Verbindung mit dem virtuellen Computer myVmWeb. Dadurch befinden Sie sich in der Remotedesktopverbindung des virtuellen Computers myVmMgmt.After the IIS installation is complete, disconnect from the myVmWeb VM, which leaves you in the myVmMgmt VM remote desktop connection.

  9. Trennen Sie die Verbindung mit dem virtuellen Computer myVmMgmt.Disconnect from the myVmMgmt VM.
  10. Beginnen Sie oben im Azure-Portal im Feld Ressourcen, Dienste und Dokumente durchsuchen mit der Eingabe von myVmWeb über Ihren Computer.In the Search resources, services, and docs box at the top of the Azure portal, begin typing myVmWeb from your computer. Wenn myVmWeb in den Suchergebnissen angezeigt wird, wählen Sie diese Angabe aus.When myVmWeb appears in the search results, select it. Notieren Sie die öffentliche IP-Adresse Ihres virtuellen Computers.Note the Public IP address for your VM. Die in der folgenden Abbildung dargestellte Adresse lautet 137.135.84.74. Ihre Adresse lautet jedoch anders:The address shown in the following picture is 137.135.84.74, but your address is different:

    Öffentliche IP-Adresse

  11. Navigieren Sie auf Ihrem Computer in einem Internetbrowser zu http://<public-ip-address-from-previous-step>, um sich zu vergewissern, dass Sie vom Internet aus auf den Webserver myVmWeb zugreifen können.To confirm that you can access the myVmWeb web server from the internet, open an internet browser on your computer and browse to http://<public-ip-address-from-previous-step>. Die Willkommenseite von IIS wird angezeigt, da am Port 80 eingehender Datenverkehr aus dem Internet für die Anwendungssicherheitsgruppe myAsgWebServers zugelassen wird, in der sich die an den virtuellen Computer myVmWeb angefügte Netzwerkschnittstelle befindet.You see the IIS welcome screen, because port 80 is allowed inbound from the internet to the myAsgWebServers application security group that the network interface attached to the myVmWeb VM is in.

Bereinigen von RessourcenClean up resources

Löschen Sie die Ressourcengruppe mit allen ihren Ressourcen, wenn Sie sie nicht mehr benötigen:When no longer needed, delete the resource group and all of the resources it contains:

  1. Geben Sie im oben im Portal im Feld Suche die Zeichenfolge myResourceGroup ein.Enter myResourceGroup in the Search box at the top of the portal. Wenn myResourceGroup in den Suchergebnissen angezeigt wird, wählen Sie diese Angabe aus.When you see myResourceGroup in the search results, select it.
  2. Wählen Sie die Option Ressourcengruppe löschen.Select Delete resource group.
  3. Geben Sie für Geben Sie den Ressourcengruppennamen ein: den Namen myResourceGroup ein, und klicken Sie auf Löschen.Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

Nächste SchritteNext steps

In diesem Tutorial haben Sie eine Netzwerksicherheitsgruppe erstellt und dem Subnetz eines virtuellen Netzwerks zugeordnet.In this tutorial, you created a network security group and associated it to a virtual network subnet. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen – Übersicht sowie unter Verwalten einer Netzwerksicherheitsgruppe.To learn more about network security groups, see Network security group overview and Manage a network security group.

Azure leitet standardmäßig Datenverkehr zwischen Subnetzen weiter.Azure routes traffic between subnets by default. Sie können Datenverkehr zwischen Subnetzen aber beispielsweise auch über einen virtuellen Computer weiterleiten, der als Firewall fungiert.You may instead, choose to route traffic between subnets through a VM, serving as a firewall, for example. Im nächsten Tutorial erfahren Sie, wie Sie eine Routingtabelle erstellen.To learn how to create a route table, advance to the next tutorial.