Oktatóanyag: Biztonságos központ- és küllős hálózat létrehozása

  • Cikk

Ebben az oktatóanyagban egy küllős hálózati topológiát hoz létre az Azure Virtual Network Manager használatával. Ezután üzembe kell helyeznie egy virtuális hálózati átjárót a központi virtuális hálózaton, hogy a küllős virtuális hálózatok erőforrásai VPN használatával kommunikálhassanak a távoli hálózatokkal. Emellett egy biztonsági konfigurációt is konfigurál, amely blokkolja az internet felé irányuló kimenő hálózati forgalmat a 80-as és a 443-as porton. Végül ellenőrizze, hogy a konfigurációk helyesen lettek-e alkalmazva a virtuális hálózat és a virtuális gép beállításainak megvizsgálásával.

Fontos

Az Azure Virtual Network Manager általánosan elérhető küllős kapcsolati konfigurációkhoz és biztonsági konfigurációkhoz biztonsági rendszergazdai szabályokkal. A mesh-kapcsolat konfigurációi továbbra is nyilvános előzetes verzióban maradnak.

Erre az előzetes verzióra nem vonatkozik szolgáltatói szerződés, és a használata nem javasolt éles számítási feladatok esetén. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Több virtuális hálózat létrehozása.
  • Virtuális hálózati átjáró üzembe helyezése.
  • Hozzon létre egy küllős hálózati topológiát.
  • Hozzon létre egy biztonsági konfigurációt, amely blokkolja a forgalmat a 80-as és a 443-as porton.
  • Ellenőrizze, hogy alkalmazták-e a konfigurációkat.

A biztonságos központ és küllős topológia összetevőinek diagramja.

Előfeltétel

Virtuális hálózatok létrehozása

Ez az eljárás végigvezeti három virtuális hálózat létrehozásán, amelyek a küllős hálózati topológiával lesznek összekapcsolva.

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza a + Erőforrás létrehozása lehetőséget, és keressen rá a virtuális hálózatra. Ezután válassza a Létrehozás lehetőséget a virtuális hálózat konfigurálásának megkezdéséhez.

  3. Az Alapismeretek lapon adja meg vagy válassza ki a következő információkat:

    Képernyőkép a küllős virtuális hálózat alapjai lapról.

    Beállítás Érték
    Előfizetés Válassza ki azt az előfizetést, amelybe telepíteni szeretné ezt a virtuális hálózatot.
    Erőforráscsoport Válasszon vagy hozzon létre egy új erőforráscsoportot a virtuális hálózat tárolásához. Ez a rövid útmutató egy rg-learn-eastus-001 nevű erőforráscsoportot használ.
    Név A virtuális hálózat nevének megadása vnet-learn-prod-eastus-001 .
    Régió Válassza ki az USA keleti régióját .

  4. Válassza a Tovább: IP-címek lehetőséget, és konfigurálja a következő hálózati címteret:

    Képernyőkép az IP-címek lapról a küllős virtuális hálózathoz.

    Beállítás Érték
    IPv4-címtér Címtérként adja meg a 10.0.0.0/16 értéket.
    Alhálózat neve Adja meg az alhálózat alapértelmezett nevét.
    Alhálózat címtartománya Adja meg a 10.0.0.0/24 alhálózati címteret.

  5. Válassza a Véleményezés + létrehozás lehetőséget, majd a Létrehozás lehetőséget a virtuális hálózat üzembe helyezéséhez.

  6. Ismételje meg a 2–5. lépést, hogy két további virtuális hálózatot hozzon létre ugyanabban az erőforráscsoportban az alábbi információkkal:

    Beállítás Érték
    Előfizetés Válassza ki ugyanazt az előfizetést, amely a 3. lépésben van kiválasztva.
    Erőforráscsoport Válassza ki az rg-learn-eastus-001 elemet.
    Név Adja meg a vnet-learn-prod-eastus-002 és a vnet-learn-hub-eastus-001 értéket a két virtuális hálózathoz.
    Régió Az USA keleti régiója
    vnet-learn-prod-eastus-002 IP-címek IPv4-címtér: 10.1.0.0/16
    Alhálózat neve: alapértelmezett
    alhálózati címtér: 10.1.0.0/24
    vnet-learn-hub-eastus-001 IP-címek IPv4-címtér: 10.2.0.0/16
    Alhálózat neve: alapértelmezett
    alhálózati címtér: 10.2.0.0/24

Virtuális hálózati átjáró üzembe helyezése

Virtuális hálózati átjáró üzembe helyezése a központi virtuális hálózaton. Ez a virtuális hálózati átjáró szükséges ahhoz, hogy a küllők átjáróként használják a központot.

  1. Válassza a + Erőforrás létrehozása lehetőséget, és keressen rá a virtuális hálózati átjáróra. Ezután válassza a Létrehozás lehetőséget a virtuális hálózati átjáró konfigurálásának megkezdéséhez.

  2. Az Alapszintű beállítások lapon adja meg vagy válassza ki a következő beállításokat:

    Képernyőkép a virtuális hálózati átjáró alapjai lapjának létrehozásáról.

    Beállítás Érték
    Előfizetés Válassza ki azt az előfizetést, amelybe telepíteni szeretné ezt a virtuális hálózatot.
    Név Adja meg a gw-learn-hub-eastus-001 értéket a virtuális hálózati átjáró nevéhez.
    Termékváltozat Válassza a VpnGW1 lehetőséget a termékváltozathoz.
    Generáció Válassza az 1 . generációt a generációhoz.
    Virtuális hálózat Válassza ki a vnet-learn-hub-eastus-001 virtuális hálózatot.
    Nyilvános IP-cím
    Nyilvános IP-cím neve Adja meg a gwpip-learn-hub-eastus-001 nevet a nyilvános IP-címhez.
    Standard kiadás KOND NYILVÁNOS IP-CÍM
    Nyilvános IP-cím neve Adja meg a gwpip-learn-hub-eastus-002 nevet a nyilvános IP-címhez.

  3. Válassza a Véleményezés + létrehozás lehetőséget, majd az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget . A virtuális hálózati átjáró üzembe helyezése körülbelül 30 percet vehet igénybe. Továbbléphet a következő szakaszra, miközben az üzembe helyezés befejezésére vár. Előfordulhat azonban, hogy a gw-learn-hub-eastus-001 nem jelenik meg, hogy az átjáró az időzítés és a szinkronizálás miatt nem jelenik meg az Azure Portalon.

Dinamikus hálózati csoport létrehozása

  1. Nyissa meg az Azure Virtual Network Manager-példányt. Ez az oktatóanyag feltételezi, hogy a rövid útmutatóval létrehozott egyet. Az oktatóanyagban szereplő hálózati csoportot ng-learn-prod-eastus-001-nek nevezzük.

  2. Válassza a hálózati csoportokat a Gépház alatt, majd válassza a + Létrehozás lehetőséget egy új hálózati csoport létrehozásához.

    A hálózati csoport hozzáadása gomb képernyőképe.

  3. A Hálózati csoport létrehozása képernyőn adja meg a következő adatokat:

    Képernyőkép a Hálózati csoport létrehozása lapon az Alapismeretek lapról.

    Beállítás Érték
    Név Adja meg az ng-learn-prod-eastus-001 értéket a hálózati csoport nevéhez.
    Leírás Adjon meg egy leírást erről a hálózati csoportról.

  4. A virtuális hálózati csoport létrehozásához válassza a Létrehozás lehetőséget.

  5. A Hálózatcsoportok lapon válassza ki a fentről létrehozott hálózati csoportot a hálózati csoport konfigurálásához.

  6. Az Áttekintés lapon válassza az Azure Policy létrehozása lehetőséget a Szabályzat létrehozása területen a tagok dinamikus hozzáadásához.

    Képernyőkép a definiált dinamikus tagság gombról.

  7. Az Azure Policy létrehozása lapon válassza ki vagy adja meg a következő információkat:

    Képernyőkép a hálózati csoport feltételes utasítások lapjának létrehozásáról.

    Beállítás Érték
    Házirend neve Írja be az azpol-learn-prod-eastus-001 értéket a szövegmezőbe.
    Hatókör Válassza a Hatókörök kiválasztása lehetőséget, és válassza ki az aktuális előfizetést.
    Feltételek
    Paraméter Válassza a Név lehetőséget a legördülő listában.
    Operátor Válassza a Tartalmaz lehetőséget a legördülő listában.
    Feltétel Írja be a -prod kifejezést a szövegmezőben lévő feltételhez.

  8. Válassza az Előzetes verziójú erőforrások lehetőséget az Érvényes virtuális hálózatok lap megtekintéséhez, majd a Bezárás gombra. Ezen az oldalon az Azure Policyban meghatározott feltételek alapján a hálózati csoporthoz hozzáadandó virtuális hálózatok láthatók.

    Képernyőkép az Érvényes virtuális hálózatok oldalról a feltételes utasítás eredményeivel.

  9. Válassza a Mentés lehetőséget a csoporttagság üzembe helyezéséhez. A szabályzat érvénybe lépése és a hálózati csoporthoz való hozzáadása akár egy percet is igénybe vehet.

  10. A Gépház alatti Hálózati csoport lapon válassza a Csoporttagok lehetőséget a csoporttagság megtekintéséhez az Azure Policyban meghatározott feltételek alapján. A forrás az azpol-learn-prod-eastus-001 néven szerepel.

    Képernyőkép a csoporttagság alatti dinamikus csoporttagságról.

Küllős kapcsolat konfigurációjának létrehozása

  1. Válassza a Konfigurációk lehetőséget a Gépház alatt, majd válassza a + Létrehozás lehetőséget.

  2. Válassza a Csatlakozás ivity konfigurációt a legördülő menüből a kapcsolati konfiguráció létrehozásához.

  3. Az Alapok lapon adja meg a következő információkat, és válassza a Tovább: Topológia >lehetőséget.

    Kapcsolatkonfigurációs oldal hozzáadásának képernyőképe.

    Beállítás Érték
    Név Adja meg a cc-learn-prod-eastus-001 értéket.
    Leírás (Nem kötelező) Adjon meg egy leírást erről a kapcsolati konfigurációról.

  4. A Topológia lapon válassza a Küllő és a Központ lehetőséget. Ez más beállításokat is felfed.

    Képernyőkép a kapcsolatkonfiguráció központjának kiválasztásáról.

  5. Válassza a Hub kiválasztása a Központ beállítás alatt lehetőséget. Ezután válassza a vnet-learn-hub-eastus-001 elemet a hálózati központként való kiszolgáláshoz, majd válassza a Kiválasztás lehetőséget.

    Képernyőkép a Központ konfigurációjának kiválasztásáról.

    Feljegyzés

    Az üzembe helyezés időzítésétől függően előfordulhat, hogy a célközpont virtuális hálózata nem látható átjáróként a Has gateway alatt. Ennek oka a virtuális hálózati átjáró üzembe helyezése. Az üzembe helyezés akár 30 percet is igénybe vehet, és előfordulhat, hogy nem jelenik meg azonnal a különböző Azure Portal-nézetekben.

  6. A Küllős hálózati csoportok csoportban válassza a + hozzáadás lehetőséget. Ezután válassza az ng-learn-prod-eastus-001 elemet a hálózati csoporthoz, majd válassza a Kiválasztás lehetőséget.

    Képernyőkép a Hálózati csoportok hozzáadása lapról.

  7. A hálózati csoport hozzáadása után válassza a következő beállításokat. Ezután válassza a Hozzáadás lehetőséget a kapcsolati konfiguráció létrehozásához.

    Képernyőkép a hálózati csoport konfigurációs beállításairól.

    Beállítás Érték
    Közvetlen Csatlakozás tivitás Jelölje be a hálózati csoporton belüli kapcsolat engedélyezése jelölőnégyzetet. Ez a beállítás lehetővé teszi, hogy az ugyanabban a régióban lévő hálózati csoport küllős virtuális hálózatai közvetlenül kommunikáljanak egymással.
    Globális háló Hagyja bejelöletlenül a hálókapcsolat engedélyezése régiók között jelölőnégyzetet. Ez a beállítás nem szükséges, mivel mindkét küllő ugyanabban a régióban található
    Központ átjáróként Jelölje be a Hub átjáróként jelölőnégyzetét.

  8. Válassza a Tovább elemet : Tekintse át és hozza létre > , majd hozza létre a kapcsolati konfigurációt.

A kapcsolati konfiguráció üzembe helyezése

A kapcsolati konfiguráció üzembe helyezése előtt győződjön meg arról, hogy a virtuális hálózati átjáró sikeresen üzembe lett helyezve. Ha a küllős és a küllős konfigurációt úgy helyezi üzembe, hogy engedélyezve van a hub használata átjáróként , és nincs átjáró, az üzembe helyezés meghiúsul. További információ: a hub használata átjáróként.

  1. Válassza a Gépház alatt lévő Központi telepítések lehetőséget, majd válassza a Konfiguráció üzembe helyezése lehetőséget.

    Képernyőkép a Network Manager üzembe helyezési oldaláról.

  2. Válassza ki a következő beállításokat:

    Konfigurációs oldal üzembe helyezésének képernyőképe.

    Beállítás Érték
    Konfigurációk Válassza a Kapcsolatkonfigurációk belefoglalása a célállapotba lehetőséget.
    Csatlakozás konfigurációk Válassza a cc-learn-prod-eastus-001 lehetőséget.
    Célrégiók Válassza ki az USA keleti régióját üzembehelyezési régióként.

  3. Válassza a Tovább lehetőséget, majd az Üzembe helyezés lehetőséget az üzembe helyezés befejezéséhez.

    Képernyőkép az üzembe helyezés megerősítéséről szóló üzenetről.

  4. Az üzembe helyezés megjelenik a kijelölt régió listában. A konfiguráció üzembe helyezése eltarthat néhány percig.

    Képernyőkép a konfigurációs üzembe helyezés állapotáról.

Biztonsági rendszergazdai konfiguráció létrehozása

  1. Válassza ismét a Gépház területen a Konfiguráció lehetőséget, majd válassza a + Létrehozás lehetőséget, majd válassza a Biztonság lehetőséget Rendszergazda a menüből a Biztonság Rendszergazda konfiguráció létrehozásához.

  2. Adja meg a konfiguráció sac-learn-prod-eastus-001 nevét, majd válassza a Tovább: Szabálygyűjtemények lehetőséget.

    Képernyőkép a Biztonsági Rendszergazda konfigurációs oldaláról.

  3. Adja meg a szabálygyűjtemény rc-learn-prod-eastus-001 nevét, és válassza az ng-learn-prod-eastus-001 értéket a célhálózati csoporthoz. Ezután válassza a + Hozzáadás lehetőséget.

    Képernyőkép egy szabálygyűjteményi lap hozzáadásáról.

  4. Adja meg és válassza ki a következő beállításokat, majd válassza a Hozzáadás lehetőséget:

    Képernyőkép egy szabálylap és szabálybeállítások hozzáadásáról.

    Beállítás Érték
    Név Adja meg a DENY_INTERNET
    Leírás Adja meg ezt a szabályt, amely blokkolja az internetes forgalmat HTTP-n és HTTPS-en
    Prioritás Enter 1
    Művelet Válassza a Megtagadás lehetőséget
    Irány Kimenő elemet választva
    Protokoll Válassza a TCP lehetőséget
    Forrás
    Forrás típusa IP-cím kiválasztása
    Forrás IP-címek Írja be a következő szöveget: *
    Cél
    Céltípus IP-címek kiválasztása
    Cél IP-címek Írja be a következő szöveget: *
    Célport Enter 80, 443

  5. Válassza a Hozzáadás lehetőséget a szabálygyűjtemény konfigurációhoz való hozzáadásához.

    Képernyőkép egy szabálygyűjtemény Mentés gombjáról.

  6. Válassza az Áttekintés + létrehozás és létrehozás lehetőséget a biztonsági rendszergazdai konfiguráció létrehozásához.

A biztonsági rendszergazda konfigurációjának üzembe helyezése

  1. Válassza a Gépház alatt lévő Központi telepítések lehetőséget, majd válassza a Konfigurációk üzembe helyezése lehetőséget.

  2. A Konfigurációk területen válassza a Biztonsági rendszergazda belefoglalása a célállapotba és az utolsó szakaszban létrehozott sac-learn-prod-eastus-001 konfigurációt. Ezután válassza az USA keleti régióját célrégióként, majd válassza a Tovább lehetőséget.

    Biztonsági konfiguráció üzembe helyezésének képernyőképe.

  3. Válassza a Tovább , majd az Üzembe helyezés lehetőséget. Most már látnia kell, hogy az üzembe helyezés megjelenik a kijelölt régió listában. A konfiguráció üzembe helyezése eltarthat néhány percig.

Konfigurációk üzembe helyezésének ellenőrzése

Ellenőrzés virtuális hálózatról

  1. Nyissa meg a vnet-learn-prod-eastus-001 virtuális hálózatot, és válassza a Network Managert a Gépház alatt. A Csatlakozás ivity configurations tab listázza a cc-learn-prod-eastus-001 kapcsolati konfigurációt a virtuális hálózaton

    Képernyőkép a virtuális hálózatra alkalmazott kapcsolatkonfigurációról.

  2. Válassza a Biztonsági rendszergazda konfigurációk lapját, és bontsa ki a Kimenő elemet a virtuális hálózatra alkalmazott biztonsági rendszergazdai szabályok listázásához.

    Képernyőkép a virtuális hálózatra alkalmazott biztonsági rendszergazdai konfigurációról.

  3. Válassza a Gépház alatti társviszonyokat a Virtual Network Manager által létrehozott virtuális hálózati társviszonyok listázásához. A neve ANM_ kezdődik.

    Képernyőkép a Virtual Network Manager által létrehozott virtuális hálózati társviszonyokról.

Ellenőrzés virtuális gépről

  1. Teszt virtuális gép üzembe helyezése a vnet-learn-prod-eastus-001-ben.

  2. Nyissa meg a vnet-learn-prod-eastus-001-ben létrehozott teszt virtuális gépet, és válassza a Hálózatkezelés lehetőséget a Gépház alatt. Válassza ki a kimenő portszabályokat , és ellenőrizze, hogy a DENY_INTERNET szabály van-e alkalmazva.

    Képernyőkép a virtuális gép hálózati biztonsági szabályainak teszteléséről.

  3. Válassza ki a hálózati adapter nevét, majd a Súgó területen válassza az Érvényes útvonalak lehetőséget a virtuális hálózati társviszonyok útvonalainak ellenőrzéséhez. A 10.2.0.0/16 Következő ugrás típusúVNet peering útvonal a központi virtuális hálózatra vezető útvonal.

    Képernyőkép a virtuális gép teszt hálózati adapteréről származó érvényes útvonalakról.

Az erőforrások eltávolítása

Ha már nincs szüksége az Azure Virtual Network Managerre, az erőforrás törlése előtt meg kell győződnie arról, hogy a következők mindegyike igaz:

  • Egyetlen régióban sem üzemelnek konfigurációk.
  • Az összes konfiguráció törölve lett.
  • Az összes hálózati csoport törölve lett.

Az összetevők eltávolítása ellenőrzőlistával győződjön meg arról, hogy az erőforráscsoport törlése előtt nem érhetők el gyermekerőforrások.

Következő lépések

Megtudhatja, hogyan tilthatja le a hálózati forgalmat biztonsági rendszergazdai konfigurációval.