Zelfstudie: Netwerkverkeer filteren met een netwerkbeveiligingsgroep met behulp van Azure Portal

  • Artikel
  • 8 minuten om te lezen

U kunt een netwerkbeveiligingsgroep gebruiken om het binnenkomende en uitgaande netwerkverkeer van een subnet van een virtueel netwerk te filteren.

Netwerkbeveiligingsgroepen bevatten beveiligingsregels die netwerkverkeer filteren op IP-adres, poort en protocol. Beveiligingsregels worden toegepast op resources die zijn geïmplementeerd in een subnet.

In deze zelfstudie leert u het volgende:

  • Een netwerkbeveiligingsgroep en beveiligingsregels maken
  • Een virtueel netwerk maken en een netwerkbeveiligingsgroep koppelen aan een subnet
  • Virtuele machines (VM) implementeren in een subnet
  • Verkeersfilters testen

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Vereisten

  • Een Azure-abonnement.

Aanmelden bij Azure

Meld u aan bij Azure Portal op https://portal.azure.com.

Een virtueel netwerk maken

  1. Selecteer Een resource maken in de linkerbovenhoek van de portal.

  2. Voer in het zoekvak Virtual Network. Selecteer Virtual Network in de zoekresultaten.

  3. Selecteer op Virtual Network pagina Maken.

  4. Typ of selecteer in Virtueel netwerk maken de volgende gegevens op het tabblad Basisinstellingen:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer Nieuw maken.
    Voer myResourceGroup in.
    Selecteer OK.
    Exemplaardetails
    Naam Voer myVNet in.
    Regio Selecteer (VS) VS - oost.

  5. Selecteer het tabblad Beoordelen en maken of selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

  6. Selecteer Maken.

Toepassingsbeveiligingsgroepen maken

Met een toepassingsbeveiligingsgroep kunt u servers met vergelijkbare functies groeperen, zoals webservers.

  1. Selecteer Een resource maken in de linkerbovenhoek van de portal.

  2. Voer in het zoekvak Toepassingsbeveiligingsgroep in. Selecteer Toepassingsbeveiligingsgroep in de zoekresultaten.

  3. Selecteer maken op de pagina Toepassingsbeveiligingsgroep.

  4. Voer in Een toepassingsbeveiligingsgroep maken deze informatie in of selecteer deze op het tabblad Basisinformatie:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Naam Voer myAsgWebServers in.
    Regio Selecteer (VS) VS - oost.

  5. Selecteer het tabblad Beoordelen en maken of selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

  6. Selecteer Maken.

  7. Herhaal stap 4 nogmaals en geef de volgende waarden op:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Naam Voer myAsgMgmtServers in.
    Regio Selecteer (VS) VS - oost.

  8. Selecteer het tabblad Beoordelen en maken of selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

  9. Selecteer Maken.

Een netwerkbeveiligingsgroep maken

Een netwerkbeveiligingsgroep beveiligt netwerkverkeer in uw virtuele netwerk.

  1. Selecteer Een resource maken in de linkerbovenhoek van de portal.

  2. Voer in het zoekvak Netwerkbeveiligingsgroep in. Selecteer Netwerkbeveiligingsgroep in de zoekresultaten.

  3. Selecteer op de pagina Netwerkbeveiligingsgroep de optie Maken.

  4. Voer in Netwerkbeveiligingsgroep maken deze informatie in of selecteer deze op het tabblad Basisinformatie:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Naam Voer myNSG in.
    Locatie Selecteer (VS) VS - oost.

  5. Selecteer het tabblad Beoordelen en maken of selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

  6. Selecteer Maken.

Netwerkbeveiligingsgroep koppelen aan subnet

In deze sectie koppelen we de netwerkbeveiligingsgroep aan het subnet van het virtuele netwerk dat we eerder hebben gemaakt.

  1. Begin in het vak Resources, services en documenten zoeken boven aan de portal myNsg te typen. Wanneer myNsg wordt weergegeven in de zoekresultaten, selecteert u deze.

  2. Selecteer op de overzichtspagina van myNSG Subnetten in Instellingen.

  3. Selecteer op Instellingen pagina Koppelen:

    Koppel NSG aan het subnet.

  4. Selecteer onder Subnet koppelen de optie Virtueel netwerk en selecteer vervolgens myVNet.

  5. Selecteer Subnet, selecteer standaard en selecteer vervolgens OK.

Beveiligingsregels maken

  1. Selecteer Instellingen van myNSG de optie Inkomende beveiligingsregels.

  2. Selecteer in Inkomende beveiligingsregels de optie + Toevoegen:

    Voeg een beveiligingsregel voor binnenkomende gegevens toe.

  3. Maak een beveiligingsregel op basis waarvan poorten 80 en 443 worden gekoppeld aan de beveiligingsgroep myAsgWebServers. Voer in Binnenkomende beveiligingsregel toevoegen de volgende gegevens in of selecteer deze:

    Instelling Waarde
    Bron Laat de standaardwaarde Alle staan.
    Poortbereiken van bron Laat de standaardwaarde (*) staan
    Doel Selecteer Toepassingsbeveiligingsgroep.
    Doeltoepassingsbeveiligingsgroep Selecteer myAsgWebServers.
    Service Laat de standaardwaarde Aangepast staan.
    Poortbereiken van doel Voer 80.443 in.
    Protocol selecteer TCP.
    Actie Laat de standaardwaarde Staan staan.
    Prioriteit Laat de standaardwaarde 100 staan.
    Name Voer Allow-Web-All in.

    Beveiligingsregel voor binnenkomende gegevens.

  4. Voer stap 2 opnieuw uit, met behulp van de volgend waarden:

    Instelling Waarde
    Bron Laat de standaardwaarde Alle staan.
    Poortbereiken van bron Laat de standaardwaarde (*) staan
    Doel Selecteer Toepassingsbeveiligingsgroep.
    Doeltoepassingsbeveiligingsgroep Selecteer myAsgMgmtServers.
    Service Laat de standaardwaarde Aangepast staan.
    Poortbereiken van doel Voer 3389 in.
    Protocol Selecteer Een.
    Actie Laat de standaardwaarde Staan staan.
    Prioriteit Laat de standaardwaarde 110 staan.
    Name Voer Allow-RDP-All in.

    Waarschuwing

    In dit artikel wordt RDP (poort 3389) blootgesteld aan internet voor de VM die is toegewezen aan de toepassingsbeveiligingsgroep myAsgMgmtServers.

    Voor productieomgevingen is het raadzaam om in plaats van poort 3389 beschikbaar te maken voor internet, verbinding te maken met Azure-resources die u wilt beheren met behulp van een VPN- of privénetwerkverbinding of Azure Bastion.

    Zie Wat is Azure Bastion? voor meer informatie over Azure Bastion.

Zodra u stap 1 tot en met 3 hebt voltooid, controleert u de regels die u hebt gemaakt. Uw lijst moet er uitzien als de lijst in het volgende voorbeeld:

Beveiligingsregels.

Virtuele machines maken

Maak twee VM’s in het virtuele netwerk.

De eerste VM maken

  1. Selecteer Een resource maken in de linkerbovenhoek van de portal.

  2. Selecteer Compute en selecteer vervolgens Virtuele machine.

  3. Typ of selecteer in Een virtuele machine maken deze informatie op het tabblad Basisinformatie:

    Instelling Waarde
    Projectgegevens
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Naam van de virtuele machine Voer myVMWeb in.
    Regio Selecteer (VS) VS - oost.
    Beschikbaarheidsopties Laat de standaardwaarde ingesteld staan op geen redundantie vereist.
    Installatiekopie Selecteer Windows Server 2019 Datacenter - Gen1.
    Azure Spot-exemplaar Laat de standaardwaarde van uitgeschakeld.
    Grootte Selecteer Standard_D2s_V3.
    Beheerdersaccount
    Gebruikersnaam Voer een gebruikersnaam in.
    Wachtwoord Voer een wachtwoord in.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.
    Regels voor binnenkomende poort
    Openbare poorten voor inkomend verkeer Selecteer Geen.

  4. Selecteer het tabblad Netwerken.

  5. Op het tabblad Netwerken de volgende informatie invoeren of selecteren:

    Instelling Waarde
    Netwerkinterface
    Virtueel netwerk Selecteer myVNet.
    Subnet Selecteer standaard (10.0.0.0/24).
    Openbare IP Laat de standaardwaarde van een nieuw openbaar IP-adres staan.
    NIC-netwerkbeveiligingsgroep Selecteer Geen.

  6. Selecteer het tabblad Beoordelen en maken of selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

  7. Selecteer Maken.

De tweede VM maken

Voltooi nogmaals stap 1-7, maar noem in stap 3 de VM myVMMgmt. Het implementeren van de VM duurt een paar minuten.

Ga pas verder met de volgende stap als de VM is geïmplementeerd.

Netwerkinterfaces koppelen aan een ASG

Toen de VM’s werden gemaakt in de portal, werd voor elke VM ook een netwerkinterface gemaakt en gekoppeld aan de VM.

Voeg de netwerkinterface voor elke VM toe aan een van de toepassingsbeveiligingsgroepen die u eerder hebt gemaakt:

  1. Begin in het vak Resources, services en documenten zoeken bovenaan de portal myVMWeb te typen. Wanneer de virtuele machine myVMWeb wordt weergegeven in de zoekresultaten, selecteert u deze.

  2. In Instellingen selecteert u Netwerken.

  3. Selecteer het tabblad Toepassingsbeveiligingsgroepen en selecteer vervolgens De toepassingsbeveiligingsgroepen configureren.

    Configureer toepassingsbeveiligingsgroepen.

  4. Selecteer in De toepassingsbeveiligingsgroepen configureren de optie myAsgWebServers. Selecteer Opslaan.

    Selecteer toepassingsbeveiligingsgroepen.

  5. Voltooi stap 1 en 2 opnieuw, zoek de virtuele machine myVMMgmt en selecteer de ASG myAsgMgmtServers.

Verkeersfilters testen

  1. Verbinding maken naar de VM myVMMgmt. Voer myVMMgmt in het zoekvak bovenaan de portal in. Wanneer myVMMgmt wordt weergegeven in de zoekresultaten, selecteert u deze. Selecteer de knop Verbinding maken.

  2. Selecteer RDP-bestand downloaden.

  3. Open het gedownloade RDP-bestand en selecteer Verbinding maken. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine.

  4. Selecteer OK.

  5. Tijdens het verbindingsproces ontvangt u mogelijk een certificaatwaarschuwing. Als u de waarschuwing ontvangt, selecteert u Ja of Doorgaan om door te gaan met de verbinding.

    De verbinding slaagt, omdat inkomende gegevens van internet naar de toepassingsbeveiligingsgroep myAsgMgmtServers zijn toegestaan via poort 3389.

    De netwerkinterface voor myVMMgmt is gekoppeld aan de toepassingsbeveiligingsgroep myAsgMgmtServers en staat de verbinding toe.

  6. Open een PowerShell-sessie op myVMMgmt. Verbinding maken naar myVMWeb met behulp van het volgende voorbeeld:

    mstsc /v:myVmWeb

    De RDP-verbinding van myVMMgmt naar myVMWeb slaagt omdat virtuele machines in hetzelfde netwerk standaard via elke poort kunnen communiceren.

    U kunt geen RDP-verbinding maken met de virtuele machine myVMWeb via internet. De beveiligingsregel voor myAsgWebServers voorkomt verbindingen met binnenkomende poort 3389 van internet. Inkomende verkeer van internet wordt standaard geweigerd voor alle resources.

  7. Als u Microsoft IIS wilt installeren op de virtuele machine myVMWeb, voert u de volgende opdracht uit vanuit een PowerShell-sessie op de virtuele machine myVMWeb:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  8. Nadat de INSTALLATIE van IIS is voltooid, verbreekt u de verbinding met de virtuele machine myVMWeb, waardoor u de externe bureaubladverbinding met de virtuele machine myVMMgmt hebt.

  9. Verbreed de verbinding met de VM myVMMgmt.

  10. Begin in het vak Resources, services en documenten zoeken bovenaan de Azure Portal myVMWeb vanaf uw computer te typen. Wanneer myVMWeb wordt weergegeven in de zoekresultaten, selecteert u deze. Noteer het openbare IP-adres van de VM. Het adres dat in het volgende voorbeeld wordt weergegeven, is 23.96.39.113, maar uw adres is anders:

    Openbaar IP-adres.

  11. Als u wilt bevestigen dat u vanaf internet toegang hebt tot de webserver myVMWeb, opent u een internetbrowser op uw computer en bladert u naar http://<public-ip-address-from-previous-step> .

U ziet het IIS-welkomstscherm, omdat inkomende verkeer van internet naar de toepassingsbeveiligingsgroep myAsgWebServers is toegestaan via poort 80.

De netwerkinterface die is gekoppeld voor myVMWeb is gekoppeld aan de toepassingsbeveiligingsgroep myAsgWebServers en staat de verbinding toe.

Resources opschonen

U kunt de resourcegroep en alle gerelateerde resources die deze bevat verwijderen wanneer u deze niet meer nodig hebt:

  1. Voer myResourceGroup in het vak Zoeken bovenaan de portal in. Wanneer u myResourceGroup ziet in de zoekresultaten, selecteert u deze.
  2. Selecteer Resourcegroep verwijderen.
  3. Voer myResourceGroup in voor TYP DE RESOURCEGROEPNAAM: en selecteer Verwijderen.

Volgende stappen

In deze zelfstudie hebt u:

  • U hebt een netwerkbeveiligingsgroep gemaakt en deze gekoppeld aan een subnet van een virtueel netwerk.
  • U hebt toepassingsbeveiligingsgroepen gemaakt voor web- en beheer.
  • U hebt twee virtuele machines gemaakt.
  • De netwerkfiltering van de toepassingsbeveiligingsgroep getest.

Zie Overzicht van netwerkbeveiligingsgroepen en Een beveiligingsgroep beheren voor meer informatie over netwerkbeveiligingsgroepen.

Azure routeert standaard verkeer tussen subnetten. In plaats daarvan kunt u verkeer routeren tussen subnetten via een virtuele machine, die bijvoorbeeld als een firewall fungeert.

Ga verder met de volgende zelfstudie om te leren hoe u een routetabel maakt.

Een routetabel maken