Samouczek: filtrowanie ruchu sieciowego za pomocą sieciowej grupy zabezpieczeń przy użyciu Azure Portal

Sieciową grupę zabezpieczeń można użyć do filtrowania przychodzącego i wychodzącego ruchu sieciowego do i z zasobów platformy Azure w sieci wirtualnej platformy Azure.

Sieciowe grupy zabezpieczeń zawierają reguły zabezpieczeń, które filtrują ruch sieciowy według adresów IP, portów i protokołów. Gdy sieciowa grupa zabezpieczeń jest skojarzona z podsiecią, reguły zabezpieczeń są stosowane do zasobów wdrożonych w tej podsieci.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

• Tworzenie sieciowej grupy zabezpieczeń i reguł zabezpieczeń
• Tworzenie grup zabezpieczeń aplikacji
• Tworzenie sieci wirtualnej i kojarzenie sieciowej grupy zabezpieczeń z podsiecią
• Wdrażanie maszyn wirtualnych i kojarzenie ich interfejsów sieciowych z grupami zabezpieczeń aplikacji
• Testowanie filtrów ruchu

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Wymagania wstępne

• Subskrypcja platformy Azure

Logowanie do platformy Azure

Zaloguj się w witrynie Azure Portal.

Tworzenie sieci wirtualnej

1. W menu Azure Portal wybierz pozycję + Utwórz zasób>Sieć>wirtualna lub wyszukaj Virtual Network w polu wyszukiwania portalu.

2. Wybierz przycisk Utwórz.

3. Na karcie Podstawy w obszarze Tworzenie sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycjęUtwórz nowy. Wprowadź wartość myResourceGroup. Wybierz przycisk OK.
   Szczegóły wystąpienia
   Nazwa	Wprowadź nazwę myVNet.
   Region (Region)	Wybierz pozycję Wschodnie stany USA.

4. Wybierz kartę Przeglądanie + tworzenie lub wybierz niebieski przycisk Przeglądanie i tworzenie w dolnej części strony.

5. Wybierz przycisk Utwórz.

Tworzenie grup zabezpieczeń aplikacji

Grupa zabezpieczeń aplikacji umożliwia grupowanie serwerów z podobnymi funkcjami, takimi jak serwery internetowe.

1. W menu Azure Portal wybierz pozycję + Utwórz zasób>Grupa zabezpieczeń Aplikacjisieciowej> lub wyszukaj ciąg Grupa zabezpieczeń aplikacji w polu wyszukiwania portalu.

2. Wybierz przycisk Utwórz.

3. Na karcie Podstawy tworzenia grupy zabezpieczeń aplikacji wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję myResourceGroup.
   Szczegóły wystąpienia
   Nazwa	Wprowadź ciąg myAsgWebServers.
   Region (Region)	Wybierz pozycję (STANY USA) Wschodnie stany USA.

4. Wybierz kartę Przeglądanie + tworzenie lub wybierz niebieski przycisk Przeglądanie i tworzenie w dolnej części strony.

5. Wybierz przycisk Utwórz.

6. Powtórz poprzednie kroki, określając następujące wartości:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję myResourceGroup.
   Szczegóły wystąpienia
   Nazwa	Wprowadź ciąg myAsgMgmtServers.
   Region (Region)	Wybierz pozycję (STANY USA) Wschodnie stany USA.

7. Wybierz kartę Przeglądanie + tworzenie lub wybierz niebieski przycisk Przeglądanie i tworzenie w dolnej części strony.

8. Wybierz przycisk Utwórz.

Tworzenie sieciowej grupy zabezpieczeń

Sieciowa grupa zabezpieczeń zabezpiecza ruch sieciowy w sieci wirtualnej.

1. W menu Azure Portal wybierz pozycję + Utwórz zasób>Sieciowa>grupa zabezpieczeń lub wyszukaj sieciową grupę zabezpieczeń w polu wyszukiwania portalu.

2. Wybierz przycisk Utwórz.

3. Na karcie Podstawy w obszarze Tworzenie sieciowej grupy zabezpieczeń wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję myResourceGroup.
   Szczegóły wystąpienia
   Nazwa	Wprowadź ciąg myNSG.
   Lokalizacja	Wybierz pozycję (STANY USA) Wschodnie stany USA.

4. Wybierz kartę Przeglądanie + tworzenie lub wybierz niebieski przycisk Przeglądanie i tworzenie w dolnej części strony.

5. Wybierz przycisk Utwórz.

Przypisywanie sieciowej grupy zabezpieczeń do podsieci

W tej sekcji skojarzysz sieciową grupę zabezpieczeń z podsiecią utworzonej wcześniej sieci wirtualnej.

1. Wyszukaj ciąg myNsg w polu wyszukiwania portalu.

2. Wybierz pozycję Podsieci w sekcji Ustawienia grupy myNSG.

3. Na stronie Podsieci wybierz pozycję + Skojarz:

   

4. W obszarze Kojarzenie podsieci wybierz pozycję myVNet dla pozycji Sieć wirtualna.

5. Wybierz wartość domyślną dla pozycji Podsieć, a następnie wybierz przycisk OK.

Tworzenie reguł zabezpieczeń

1. Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego w sekcji Ustawienia grupy myNSG.

2. Na stronie Reguły zabezpieczeń dla ruchu przychodzącego wybierz pozycję + Dodaj:

   

3. Utwórz regułę zabezpieczeń, która zezwala na stosowanie portów 80 i 443 do grupy zabezpieczeń aplikacji myAsgWebServers. Na stronie Dodawanie reguły zabezpieczeń dla ruchu przychodzącego wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Źródło	Pozostaw wartość domyślną Dowolne.
   Zakresy portów źródłowych	Pozostaw wartość domyślną (*).
   Element docelowy	Wybierz pozycję Grupa zabezpieczeń aplikacji.
   Docelowe grupy zabezpieczeń aplikacji	Wybierz pozycję myAsgWebServers.
   Usługa	Pozostaw wartość domyślną Pola niestandardowe.
   Zakresy portów docelowych	Wprowadź wartość 80 443.
   Protokół	Wybierz pozycję TCP.
   Akcja	Pozostaw wartość domyślną Zezwalaj.
   Priorytet	Pozostaw wartość domyślną 100.
   Nazwa	Wprowadź wartość Allow-Web-All.

   

4. Wybierz pozycję Dodaj.

5. Wykonaj ponownie kroki 3–4, korzystając z tych informacji:

   Ustawienie	Wartość
   Źródło	Pozostaw wartość domyślną Dowolne.
   Zakresy portów źródłowych	Pozostaw wartość domyślną (*).
   Element docelowy	Wybierz pozycję Grupa zabezpieczeń aplikacji.
   Docelowa grupa zabezpieczeń aplikacji	Wybierz pozycję myAsgMgmtServers.
   Usługa	Pozostaw wartość domyślną Pola niestandardowe.
   Zakresy portów docelowych	Wprowadź wartość 3389.
   Protokół	Wybierz dowolną.
   Akcja	Pozostaw wartość domyślną Zezwalaj.
   Priorytet	Pozostaw wartość domyślną 110.
   Nazwa	Wprowadź wartość Allow-RDP-All.

6. Wybierz pozycję Dodaj.

   Przestroga

   W tym artykule protokół RDP (port 3389) jest uwidoczniony w Internecie dla maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji myAsgMgmtServers .

   W przypadku środowisk produkcyjnych, zamiast uwidaczniać port 3389 w Internecie, zaleca się połączenie z zasobami platformy Azure, którymi chcesz zarządzać przy użyciu sieci VPN, połączenia z siecią prywatną lub usługi Azure Bastion.

   Aby uzyskać więcej informacji na temat usługi Azure Bastion, zobacz Co to jest usługa Azure Bastion?.

Po zakończeniu kroków 1–3 sprawdź utworzone reguły. Lista powinna wyglądać podobnie do listy w poniższym przykładzie:

Tworzenie maszyn wirtualnych

Utwórz dwie maszyny wirtualne w sieci wirtualnej.

Tworzenie pierwszej maszyny wirtualnej

1. W menu Azure Portal wybierz pozycję + Utwórz zasób>Obliczeniowa>maszyna wirtualna lub wyszukaj ciąg Maszyna wirtualna w polu wyszukiwania portalu.

2. W obszarze Tworzenie maszyny wirtualnej wprowadź lub wybierz te informacje na karcie Podstawy :

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycję myResourceGroup.
   Szczegóły wystąpienia
   Nazwa maszyny wirtualnej	Wprowadź myVMWeb.
   Region (Region)	Wybierz pozycję (STANY USA) Wschodnie stany USA.
   Opcje dostępności	Pozostaw wartość domyślną Brak wymaganej nadmiarowości infrastruktury.
   Typ zabezpieczeń	Pozostaw wartość domyślną standardu.
   Obraz	Wybierz pozycję Windows Server 2019 Datacenter — Gen2.
   Wystąpienie usługi Azure Spot	Pozostaw wartość domyślną niezaznaczonego.
   Rozmiar	Wybierz pozycję Standard_D2s_V3.
   Konto administratora
   Nazwa użytkownika	Wprowadź nazwę użytkownika.
   Hasło	Wprowadź hasło.
   Potwierdź hasło	Ponownie wprowadź hasło.
   Reguły portów wejściowych
   Wybierz porty wejściowe	Wybierz pozycję Brak.

3. Wybierz kartę Sieć.

4. Na karcie Sieć wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Interfejs sieciowy
   Sieć wirtualna	Wybierz pozycję myVNet.
   Podsieć	Wybierz pozycję domyślną (10.0.0.0/24).
   Publiczny adres IP	Pozostaw wartość domyślną nowego publicznego adresu IP.
   Sieciowa grupa zabezpieczeń karty sieciowej	Wybierz pozycję Brak.

5. Wybierz kartę Przeglądanie + tworzenie lub wybierz niebieski przycisk Przeglądanie i tworzenie w dolnej części strony.

6. Wybierz przycisk Utwórz. Wdrożenie maszyny wirtualnej może potrwać kilka minut.

Tworzenie drugiej maszyny wirtualnej

Ponownie wykonaj kroki 1–6, ale w kroku 2 wprowadź wartość myVMMgmt w polu Nazwa maszyny wirtualnej.

Przed przejściem do następnej sekcji poczekaj na ukończenie wdrażania maszyn wirtualnych.

Kojarzenie interfejsów sieciowych z grupą zabezpieczeń aplikacji

Po utworzeniu maszyn wirtualnych platforma Azure utworzyła interfejs sieciowy dla każdej maszyny wirtualnej i dołączyła ją do maszyny wirtualnej.

Dodaj interfejs sieciowy każdej maszyny wirtualnej do jednej z utworzonych wcześniej grup zabezpieczeń aplikacji:

1. Wyszukaj ciąg myVMWeb w polu wyszukiwania portalu.

2. Wybierz pozycję Sieć w sekcji Ustawieniamaszyny wirtualnej myVMWeb .

3. Wybierz kartę Grupy zabezpieczeń aplikacji , a następnie wybierz pozycję Konfiguruj grupy zabezpieczeń aplikacji.

   

4. W obszarze Konfigurowanie grup zabezpieczeń aplikacji wybierz pozycję myAsgWebServers. Wybierz pozycję Zapisz.

   

5. Wykonaj ponownie kroki 1 i 2, wyszukując maszynę wirtualną myVMMgmt i wybierając grupę ASG myAsgMgmtServers .

Testowanie filtrów ruchu

1. Wyszukaj ciąg myVMWeb w polu wyszukiwania portalu.

2. Na stronie Przegląd wybierz przycisk Połącz , a następnie wybierz pozycję RDP.

3. Wybierz pozycję Pobierz plik RDP.

4. Otwórz pobrany plik rdp i wybierz pozycję Połącz. Wprowadź nazwę użytkownika i hasło określone podczas tworzenia maszyny wirtualnej.

5. Wybierz przycisk OK.

6. Podczas procesu połączenia może zostać wyświetlone ostrzeżenie o certyfikacie. Jeśli zostanie wyświetlone ostrzeżenie, wybierz pozycję Tak lub Kontynuuj, aby kontynuować połączenie.

   Połączenie powiedzie się, ponieważ ruch przychodzący z Internetu do grupy zabezpieczeń aplikacji myAsgMgmtServers jest dozwolony przez port 3389.

   Interfejs sieciowy myVMMgmt jest skojarzony z grupą zabezpieczeń aplikacji myAsgMgmtServers i zezwala na połączenie.

7. Otwórz sesję programu PowerShell na maszynie wirtualnej myVMMgmt. Połącz się z maszyną wirtualną myVMWeb przy użyciu następujących elementów:

   mstsc /v:myVmWeb
   

   Połączenie protokołu RDP z maszyny wirtualnej myVMMgmt do maszyny wirtualnej myVMWeb powiedzie się, ponieważ maszyny wirtualne w tej samej sieci mogą domyślnie komunikować się ze sobą za pośrednictwem dowolnego portu.

   Nie można utworzyć połączenia RDP z maszyną wirtualną myVMWeb z Internetu. Reguła zabezpieczeń dla serwera myAsgWebServers uniemożliwia nawiązywanie połączeń z portem 3389 przychodzącym z Internetu. Ruch przychodzący z Internetu jest domyślnie blokowany do wszystkich zasobów.

8. Aby zainstalować usługi Microsoft IIS na maszynie wirtualnej myVMWeb , wprowadź następujące polecenie w sesji programu PowerShell na maszynie wirtualnej myVMWeb :

   Install-WindowsFeature -name Web-Server -IncludeManagementTools
   

9. Po zakończeniu instalacji usług IIS odłącz się od maszyny wirtualnej myVMWeb , która pozostawi Cię w połączeniu pulpitu zdalnego maszyny wirtualnej myVMMgmt .

10. Odłącz się od maszyny wirtualnej myVMMgmt .

11. Wyszukaj ciąg myVMWeb w polu wyszukiwania portalu.

12. Na stronie Przeglądmaszyny wirtualnej myVMWeb zanotuj publiczny adres IP maszyny wirtualnej. Adres pokazany w poniższym przykładzie to 23.96.39.113, ale Twój adres jest inny:

    

13. Aby potwierdzić, że możesz uzyskać dostęp do serwera internetowego myVMWeb z Internetu, otwórz przeglądarkę internetową na komputerze i przejdź do http://<public-ip-address-from-previous-step>adresu .

Zostanie wyświetlona domyślna strona usług IIS, ponieważ ruch przychodzący z Internetu do grupy zabezpieczeń aplikacji myAsgWebServers jest dozwolony przez port 80.

Interfejs sieciowy dołączony do maszyny wirtualnej myVMWeb jest skojarzony z grupą zabezpieczeń aplikacji myAsgWebServers i zezwala na połączenie.

Czyszczenie zasobów

Gdy grupa zasobów i wszystkie znajdujące się w niej zasoby nie będą już potrzebne, usuń je:

1. Wprowadź ciąg myResourceGroup w polu Szukaj w górnej części portalu. Gdy pozycja myResourceGroup pojawi się w wynikach wyszukiwania, wybierz ją.
2. Wybierz pozycję Usuń grupę zasobów.
3. Wprowadź wartość myResourceGroup w polu WPISZ NAZWĘ GRUPY ZASOBÓW: i wybierz pozycję Usuń.

Następne kroki

W tym samouczku zostały wykonane następujące czynności:

• Utworzono sieciową grupę zabezpieczeń i skojarzyliśmy ją z podsiecią sieci wirtualnej.
• Utworzono grupy zabezpieczeń aplikacji na potrzeby sieci Web i zarządzania.
• Utworzono dwie maszyny wirtualne i skojarzyliśmy ich interfejsy sieciowe z grupami zabezpieczeń aplikacji.
• Przetestowano filtrowanie sieci grupy zabezpieczeń aplikacji.

Aby dowiedzieć się więcej na temat sieciowych grup zabezpieczeń, zobacz Network security groups overview (Omówienie sieciowych grup zabezpieczeń) oraz Manage a network security group (Zarządzanie sieciową grupą zabezpieczeń).

Platforma Azure domyślnie kieruje ruch pomiędzy podsieciami. Zamiast tego możesz przykładowo skierować ruch pomiędzy podsieciami przez maszynę wirtualną, która będzie służyć jako zapora.

Aby dowiedzieć się więcej o sposobie tworzenia tabeli tras, przejdź do następnego samouczka.

Tworzenie tabeli tras