Oktatóanyag: Hálózati forgalom szűrése hálózati biztonsági csoporttal a Azure Portal

A hálózati biztonsági csoportokkal szűrheti az Azure-beli virtuális hálózatok azure-erőforrásaiba bejövő és kimenő hálózati forgalmat.

A hálózati biztonsági csoportok biztonsági szabályokat tartalmaznak, amelyek IP-cím, port és protokoll szerint szűrik a hálózati forgalmat. Ha egy hálózati biztonsági csoport egy alhálózathoz van társítva, a rendszer biztonsági szabályokat alkalmaz az alhálózatban üzembe helyezett erőforrásokra.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Hálózati biztonsági csoport és biztonsági szabályok létrehozása
• Alkalmazásbiztonsági csoportok létrehozása
• Virtuális hálózat létrehozása és hálózati biztonsági csoport hozzárendelése egy alhálózathoz
• Virtuális gépek üzembe helyezése és hálózati adaptereinek társítása az alkalmazásbiztonsági csoportokhoz
• Forgalomszűrők tesztelése

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Előfeltételek

• Azure-előfizetés

Bejelentkezés az Azure-ba

Jelentkezzen be az Azure Portalra.

Virtuális hálózat létrehozása

1. A Azure Portal menüben válassza az + Erőforrás>hálózatkezelés>virtuális hálózat létrehozása lehetőséget, vagy keressen Virtual Network a portál keresőmezőjében.

2. Válassza a Létrehozás lehetőséget.

3. A Virtuális hálózat létrehozása lap Alapvető beállítások lapján adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza az Új létrehozása lehetőséget. Írja be a myResourceGroup parancsot. Kattintson az OK gombra.
   Példány adatai
   Name	Adja meg a myVNet értéket.
   Region	Válassza az USA keleti régiója lehetőséget.

4. Válassza a Véleményezés + létrehozás lapot, vagy kattintson a kék Véleményezés + létrehozás gombra az oldal alján.

5. Válassza a Létrehozás lehetőséget.

Alkalmazásbiztonsági csoportok létrehozása

Az alkalmazásbiztonsági csoportok (ASG-k) lehetővé teszik a hasonló funkciókkal, például webkiszolgálókkal rendelkező kiszolgálók csoportosítását.

1. A Azure Portal menüben válassza az + Erőforrás>hálózatkezelési>alkalmazás biztonsági csoportjának létrehozása lehetőséget, vagy keressen rá az alkalmazásbiztonsági csoportra a portál keresőmezőjében.

2. Válassza a Létrehozás lehetőséget.

3. Az Alkalmazásbiztonsági csoport létrehozása lap Alapvető beállítások lapján adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a myResourceGroup lehetőséget.
   Példány adatai
   Name	Adja meg a myAsgWebServers parancsot.
   Region	Válassza az USA keleti régióját.

4. Válassza a Véleményezés + létrehozás lapot, vagy kattintson a kék Véleményezés + létrehozás gombra az oldal alján.

5. Válassza a Létrehozás lehetőséget.

6. Ismételje meg az előző lépéseket, és adja meg a következő értékeket:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a myResourceGroup lehetőséget.
   Példány adatai
   Name	Adja meg a myAsgMgmtServers parancsot.
   Region	Válassza az USA keleti régióját.

7. Válassza a Véleményezés + létrehozás lapot, vagy kattintson a kék Véleményezés + létrehozás gombra az oldal alján.

8. Válassza a Létrehozás lehetőséget.

Hálózati biztonsági csoport létrehozása

A hálózati biztonsági csoport (NSG) biztosítja a virtuális hálózat hálózati forgalmát.

1. A Azure Portal menüben válassza az + Erőforrás>hálózati>biztonsági csoport létrehozása lehetőséget, vagy keressen rá a Hálózati biztonsági csoport kifejezésre a portál keresőmezőjében.

2. Válassza a Létrehozás lehetőséget.

3. A Hálózati biztonsági csoport létrehozása lap Alapvető beállítások lapján adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a myResourceGroup lehetőséget.
   Példány adatai
   Name	Adja meg a myNSG-t.
   Hely	Válassza az USA keleti régióját.

4. Válassza a Véleményezés + létrehozás lapot, vagy kattintson a kék Véleményezés + létrehozás gombra az oldal alján.

5. Válassza a Létrehozás lehetőséget.

Hálózati biztonsági csoport társítása alhálózathoz

Ebben a szakaszban a hálózati biztonsági csoportot a korábban létrehozott virtuális hálózat alhálózatához fogja társítani.

1. Keressen rá a myNsg kifejezésre a portál keresőmezőjében.

2. A myNSGBeállítások szakaszában válassza az Alhálózatok lehetőséget.

3. Az Alhálózatok lapon válassza a + Társítás lehetőséget:

   

4. A Társítás alhálózat területen válassza a myVNet for Virtual Network lehetőséget.

5. Válassza az alhálózat alapértelmezett beállítását, majd kattintson az OK gombra.

Biztonsági szabályok létrehozása

1. Válassza a bejövő biztonsági szabályokat a myNSGBeállítások szakaszában.

2. A Bejövő biztonsági szabályok lapon válassza a + Hozzáadás lehetőséget:

   

3. Hozzon létre egy biztonsági szabályt, amely engedélyezi a 80-as és a 443-as portot a myAsgWebServers alkalmazásbiztonsági csoport számára. A Bejövő biztonsági szabály hozzáadása lapon adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Forrás	Hagyja meg az Any alapértelmezett értékét.
   Forrásporttartományok	Hagyja meg a (*) alapértelmezett értékét.
   Cél	Válassza az Alkalmazás biztonsági csoportját.
   Célalkalmazás biztonsági csoportjai	Válassza a myAsgWebServers lehetőséget.
   Szolgáltatás	Hagyja meg az Egyéni alapértelmezett értéket.
   Célporttartományok	Adja meg a 80 443 értéket.
   Protokoll	Válassza a TCP lehetőséget.
   Művelet	Hagyja meg az alapértelmezett Engedélyezés beállítást.
   Prioritás	Hagyja meg az alapértelmezett értéket 100-ra.
   Name	Adja meg az Allow-Web-All parancsot.

   

4. Válassza a Hozzáadás lehetőséget.

5. Végezze el újra a 3–4. lépést az alábbi információk használatával:

   Beállítás	Érték
   Forrás	Hagyja meg az Any alapértelmezett értékét.
   Forrásporttartományok	Hagyja meg a (*) alapértelmezett értékét.
   Cél	Válassza az Alkalmazás biztonsági csoportját.
   Célalkalmazás biztonsági csoportja	Válassza ki a myAsgMgmtServers elemet.
   Szolgáltatás	Hagyja meg az Egyéni alapértelmezett értéket.
   Célporttartományok	Írja be a 3389-et.
   Protokoll	Válassza az Egyik lehetőséget.
   Művelet	Hagyja meg az alapértelmezett Engedélyezés beállítást.
   Prioritás	Hagyja meg az alapértelmezett 110-et.
   Name	Adja meg az Allow-RDP-All parancsot.

6. Válassza a Hozzáadás lehetőséget.

   Figyelemfelhívás

   Ebben a cikkben a myAsgMgmtServers alkalmazásbiztonsági csoporthoz rendelt virtuális géphez tartozó RDP (3389-s port) érhető el az interneten.

   Éles környezetekben ahelyett, hogy a 3389-ös portot az internetre tenné ki, javasoljuk, hogy VPN,magánhálózati kapcsolat vagy Azure Bastion használatával csatlakozzon a kezelni kívánt Azure-erőforrásokhoz.

   További információ az Azure Bastionról: Mi az az Azure Bastion?.

Miután végrehajtotta az 1–3. lépést, tekintse át a létrehozott szabályokat. A listának a következő példában szereplő listához hasonlóan kell kinéznie:

Virtuális gépek létrehozása

Hozzon létre két virtuális gépet (VM) a virtuális hálózaton.

Az első virtuális gép létrehozása

1. A Azure Portal menüben válassza a + Erőforrás>létrehozása számítási>virtuális gép lehetőséget, vagy keressen rá a virtuális gépre a portál keresőmezőjében.

2. A Virtuális gép létrehozása lapon adja meg vagy válassza ki ezt az információt az Alapok lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a myResourceGroup lehetőséget.
   Példány adatai
   Virtuális gép neve	Írja be a myVMWeb parancsot.
   Region	Válassza az USA keleti régióját.
   Rendelkezésre állási beállítások	Hagyja meg az alapértelmezett nincs szükség infrastruktúra-redundanciára.
   Biztonság típusa	Hagyja meg a Standard alapértelmezett értékét.
   Kép	Válassza a Windows Server 2019 Datacenter – Gen2 lehetőséget.
   Azure Spot-példány	Hagyja bejelöletlenül az alapértelmezett értéket.
   Méret	Válassza a Standard_D2s_V3.
   Rendszergazdai fiók
   Felhasználónév	Adjon meg egy felhasználónevet.
   Jelszó	Adjon meg egy jelszót.
   Jelszó megerősítése	Jelszó újbóli megadása.
   Bejövő portszabályok
   Válassza ki a bejövő portokat	Válassza a Nincs lehetőséget.

3. Válassza a Hálózatkezelés lapot.

4. A Hálózat lapon adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Hálózati adapter
   Virtuális hálózat	Válassza ki a myVNetet.
   Alhálózat	Válassza az alapértelmezett beállítást (10.0.0.0/24).
   Nyilvános IP-cím	Hagyja meg az új nyilvános IP-cím alapértelmezett beállítását.
   Hálózati adapter hálózati biztonsági csoportja	Válassza a Nincs lehetőséget.

5. Válassza a Véleményezés + létrehozás lapot, vagy válassza a kék Véleményezés + létrehozás gombot a lap alján.

6. Válassza a Létrehozás lehetőséget. A virtuális gép üzembe helyezése eltarthat néhány percig.

A második virtuális gép létrehozása

Végezze el ismét az 1–6. lépést, de a 2. lépésben adja meg a virtuális gép nevét tartalmazó myVMMgmt nevet.

Várja meg, amíg a virtuális gépek befejezik az üzembe helyezést, mielőtt továbblép a következő szakaszra.

Hálózati adapterek társítása ASG-hez

A virtuális gépek létrehozásakor az Azure létrehozott egy hálózati adaptert az egyes virtuális gépekhez, és csatlakoztatta azt a virtuális géphez.

Adja hozzá az egyes virtuális gépek hálózati adapterét a korábban létrehozott alkalmazásbiztonsági csoportok egyikéhez:

1. Keressen rá a myVMWeb kifejezésre a portál keresőmezőjében.

2. Válassza a Hálózatkezelés lehetőséget a myVMWeb virtuális gép Beállítások szakaszában.

3. Válassza az Alkalmazásbiztonsági csoportok lapot, majd válassza az Alkalmazásbiztonsági csoportok konfigurálása lehetőséget.

   

4. Az alkalmazásbiztonsági csoportok konfigurálása területen válassza a myAsgWebServers elemet. Válassza a Mentés lehetőséget.

   

5. Végezze el ismét az 1. és a 2. lépést, keresse meg a myVMMgmt virtuális gépet, és válassza ki a myAsgMgmtServers ASG-t.

Forgalomszűrők tesztelése

1. Keressen rá a myVMMgmt kifejezésre a portál keresőmezőjében.

2. Az Áttekintés lapon válassza a Csatlakozás gombot, majd az RDP lehetőséget.

3. Válassza az RDP-fájl letöltése lehetőséget.

4. Nyissa meg a letöltött RDP-fájlt, és válassza a Csatlakozás lehetőséget. Adja meg a virtuális gép létrehozásakor megadott felhasználónevet és jelszót.

5. Válassza az OK lehetőséget.

6. A csatlakozási folyamat során figyelmeztetést kaphat a tanúsítványról. Ha a figyelmeztetést kapja, válassza az Igen vagy a Folytatás lehetőséget a kapcsolat folytatásához.

   A kapcsolat sikeres, mert az internetről a myAsgMgmtServers alkalmazásbiztonsági csoportra irányuló bejövő forgalom a 3389-s porton keresztül engedélyezett.

   A myVMMgmt hálózati adaptere a myAsgMgmtServers alkalmazásbiztonsági csoporthoz van társítva, és engedélyezi a kapcsolatot.

7. Nyisson meg egy PowerShell-munkamenetet a myVMMgmt webhelyen. Csatlakozzon a myVMWebhez a következő használatával:

   mstsc /v:myVmWeb
   

   A myVMMgmt és a myVMWeb közötti RDP-kapcsolat sikeres, mert az ugyanazon a hálózaton lévő virtuális gépek alapértelmezés szerint bármilyen porton keresztül kommunikálhatnak egymással.

   Nem hozhat létre RDP-kapcsolatot a myVMWeb virtuális géppel az internetről. A myAsgWebServers biztonsági szabálya megakadályozza az internetről bejövő 3389-s porthoz való csatlakozást. Az internetről érkező bejövő forgalom alapértelmezés szerint minden erőforrásra le lesz tagadva.

8. A Microsoft IIS a myVMWeb virtuális gépen való telepítéséhez írja be a következő parancsot a myVMWeb virtuális gépen futó PowerShell-munkamenetből:

   Install-WindowsFeature -name Web-Server -IncludeManagementTools
   

9. Az IIS telepítése után válassza le a kapcsolatot a myVMWeb virtuális géppel, amely a myVMMgmt virtuális gép távoli asztali kapcsolatán marad.

10. Bontsa a kapcsolatot a myVMMgmt virtuális géppel.

11. Keressen rá a myVMWeb kifejezésre a portál keresőmezőjében.

12. A myVMWebÁttekintés lapján jegyezze fel a virtuális gép nyilvános IP-címét. Az alábbi példában látható cím a 23.96.39.113, de a címe eltérő:

    

13. Annak ellenőrzéséhez, hogy hozzáfér-e a myVMWeb webkiszolgálóhoz az internetről, nyisson meg egy webböngészőt a számítógépen, és keresse meg a következőt http://<public-ip-address-from-previous-step>: .

Megjelenik az IIS alapértelmezett lapja, mert az internetről a myAsgWebServers alkalmazásbiztonsági csoportra irányuló bejövő forgalom a 80-as porton keresztül engedélyezett.

A myVMWebhez csatolt hálózati adapter a myAsgWebServers alkalmazásbiztonsági csoporthoz van társítva, és engedélyezi a kapcsolatot.

Az erőforrások eltávolítása

Ha már nincs rá szükség, törölje az erőforráscsoportot és a benne lévő összes erőforrást:

1. Írja be a myResourceGroup nevet a portál tetején lévő keresőmezőbe. Amikor a myResourceGroup megjelenik a keresési eredmények között, válassza ki.
2. Válassza az Erőforráscsoport törlése elemet.
3. Írja be a myResourceGroup nevet az ÍRJA BE AZ ERŐFORRÁSCSOPORT NEVÉT: mezőbe, majd válassza a Törlés lehetőséget.

További lépések

Az oktatóanyag során az alábbi lépéseket fogja végrehajtani:

• Létrehozott egy hálózati biztonsági csoportot, és hozzárendelte egy virtuális hálózati alhálózathoz.
• Alkalmazásbiztonsági csoportokat hozott létre a webhez és a felügyelethez.
• Létrehozott két virtuális gépet, és társította a hálózati adaptereket az alkalmazásbiztonsági csoportokkal.
• Tesztelte az alkalmazásbiztonsági csoport hálózati szűrését.

A hálózati biztonsági csoportokkal kapcsolatos további információ: Hálózati biztonsági csoportok áttekintése és Hálózati biztonsági csoportok kezelése.

Az Azure alapértelmezés szerint irányítja a forgalmat az alhálózatok között. Ehelyett lehetősége van arra, hogy egy virtuális gépen keresztül irányítsa a forgalmat az alhálózatok között, amely így például tűzfalként is szolgálhat.

Ha meg szeretné ismerni, hogyan hozhat létre útválasztási táblázatot, folytassa a következő oktatóanyaggal.

Útválasztási táblázat létrehozása