Självstudie: Filtrera nätverkstrafik med en nätverkssäkerhetsgrupp med hjälp av Azure Portal

  • Artikel
  • 7 minuter för att läsa

Du kan använda en nätverkssäkerhetsgrupp för att filtrera inkommande och utgående nätverkstrafik från ett undernät i ett virtuellt nätverk.

Nätverkssäkerhetsgrupper innehåller säkerhetsregler som filtrerar nätverkstrafik efter IP-adress, port och protokoll. Säkerhetsregler tillämpas på resurser som har distribuerats i ett undernät.

I den här guiden får du lära dig att:

  • Skapa en nätverkssäkerhetsgrupp och säkerhetsregler
  • Skapa ett virtuellt nätverk och associera en nätverkssäkerhetsgrupp med ett undernät
  • Distribuera virtuella datorer (VM) i ett undernät
  • Testa trafikfilter

Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Förutsättningar

  • En Azure-prenumeration.

Logga in på Azure

Logga in på Azure Portal på https://portal.azure.com.

Skapa ett virtuellt nätverk

  1. Välj Skapa en resurs i det övre vänstra hörnet i portalen.

  2. I sökrutan anger du Virtual Network. Välj Virtual Network i sökresultatet.

  3. På sidan Virtual Network väljer du Skapa.

  4. I Skapa virtuellt nätverk anger eller väljer du den här informationen på fliken Grundläggande:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj Skapa ny.
    Ange myResourceGroup.
    Välj OK.
    Instansinformation
    Name Ange myVNet.
    Region Välj (USA) USA, östra.

  5. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  6. Välj Skapa.

Skapa programsäkerhetsgrupper

En programsäkerhetsgrupp gör att du kan gruppera ihop servrar med liknande funktioner, till exempel webbservrar.

  1. Välj Skapa en resurs i det övre vänstra hörnet i portalen.

  2. I sökrutan anger du Programsäkerhetsgrupp. Välj Programsäkerhetsgrupp i sökresultatet.

  3. På sidan Programsäkerhetsgrupp väljer du Skapa.

  4. I Skapa en programsäkerhetsgrupp anger eller väljer du den här informationen på fliken Grundläggande:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Name Ange myAsgWebServers.
    Region Välj (USA) USA, östra.

  5. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  6. Välj Skapa.

  7. Upprepa steg 4 igen och ange följande värden:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Name Ange myAsgMgmtServers.
    Region Välj (USA) USA, östra.

  8. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  9. Välj Skapa.

Skapa en nätverkssäkerhetsgrupp

En nätverkssäkerhetsgrupp skyddar nätverkstrafiken i ditt virtuella nätverk.

  1. Välj Skapa en resurs i det övre vänstra hörnet i portalen.

  2. I sökrutan anger du Nätverkssäkerhetsgrupp. Välj Nätverkssäkerhetsgrupp i sökresultatet.

  3. På sidan Nätverkssäkerhetsgrupp väljer du Skapa.

  4. I Skapa nätverkssäkerhetsgrupp anger eller väljer du den här informationen på fliken Grundläggande:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Name Ange myNSG.
    Location Välj (USA) USA, östra.

  5. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  6. Välj Skapa.

Associera nätverkssäkerhetsgrupp till undernät

I det här avsnittet associerar vi nätverkssäkerhetsgruppen med undernätet för det virtuella nätverk som vi skapade tidigare.

  1. I rutan Sök efter resurser, tjänster och dokument högst upp i portalen börjar du skriva myNsg. Välj myNsg när det visas bland sökresultaten.

  2. På översiktssidan för myNSG väljer du Undernät i Inställningar.

  3. Inställningar väljer du Associera:

    Associera NSG med undernät.

  4. Under Associera undernät väljer du Virtuellt nätverk och sedan myVNet.

  5. Välj Undernät, välj standard och välj sedan OK.

Skapa säkerhetsregler

  1. I Inställningar av myNSG väljer du Ingående säkerhetsregler.

  2. I Inkommande säkerhetsregler väljer du + Lägg till:

    Lägg till en inkommande säkerhetsregel.

  3. Skapa en säkerhetsregel som tillåter portarna 80 och 443 till programsäkerhetsgruppen myAsgWebServers. I Lägg till inkommande säkerhetsregel anger eller väljer du följande information:

    Inställning Värde
    Källa Låt standardvärdet Alla vara kvar.
    Källportintervall Låt standardvärdet (*) vara kvar
    Mål Välj Programsäkerhetsgrupp.
    Målprogramsäkerhetsgrupp Välj myAsgWebServers.
    Tjänst Låt standardvärdet Anpassad vara kvar.
    Målportintervall Ange 80 443.
    Protokoll Välj TCP.
    Åtgärd Låt standardvärdet Tillåt vara kvar.
    Prioritet Lämna standardvärdet 100.
    Name Ange Allow-Web-All (Tillåt webb-alla).

    Säkerhetsregel för inkommande trafik.

  4. Slutför steg 2 igen med följande värden:

    Inställning Värde
    Källa Låt standardvärdet Alla vara kvar.
    Källportintervall Låt standardvärdet (*) vara kvar
    Mål Välj Programsäkerhetsgrupp.
    Målprogramsäkerhetsgrupp Välj myAsgMgmtServers.
    Tjänst Låt standardvärdet Anpassad vara kvar.
    Målportintervall Ange 3389.
    Protokoll Välj Val av.
    Åtgärd Låt standardvärdet Tillåt vara kvar.
    Prioritet Lämna standardvärdet 110.
    Name Ange Allow-RDP-All.

    Varning

    I den här artikeln exponeras RDP (port 3389) mot Internet för den virtuella dator som har tilldelats programsäkerhetsgruppen myAsgMgmtServers.

    För produktionsmiljöer rekommenderar vi att du i stället för att exponera port 3389 mot Internet ansluter till Azure-resurser som du vill hantera med hjälp av vpn, privat nätverksanslutning eller Azure Bastion.

    Mer information om Azure Bastion finns i Vad är Azure Bastion?.

När du har slutfört steg 1–3 granskar du de regler som du skapat. Listan bör se ut som listan i följande exempel:

Säkerhetsregler.

Skapa virtuella datorer

Skapa två virtuella datorer i det virtuella nätverket.

Skapa den första virtuella datorn

  1. Välj Skapa en resurs i det övre vänstra hörnet i portalen.

  2. Välj Compute och sedan Virtuell dator.

  3. I Skapa en virtuell dator anger eller väljer du den här informationen på fliken Grundläggande:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Namn på virtuell dator Ange myVMWeb.
    Region Välj (USA) USA, östra.
    Alternativ för tillgänglighet Lämna kvar standardinställningen ingen redundans krävs.
    Bild Välj Windows Server 2019 Datacenter – Gen1.
    Azure Spot-instans Lämna standardvärdet avmarkerat.
    Storlek Välj Standard_D2s_V3.
    Administratörskonto
    Användarnamn Ange ett användarnamn.
    Lösenord Ange ett lösenord.
    Bekräfta lösenordet Ange lösenordet igen.
    Regler för inkommande portar
    Offentliga inkommande portar Välj Ingen.

  4. Välj fliken Nätverk.

  5. fliken Nätverk anger eller väljer du följande information:

    Inställning Värde
    Nätverksgränssnitt
    Virtuellt nätverk Välj myVNet.
    Undernät Välj standard (10.0.0.0/24).
    Offentlig IP-adress Lämna standardvärdet för en ny offentlig IP-adress.
    Nätverkssäkerhetsgrupp för nätverkskort Välj Ingen.

  6. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  7. Välj Skapa.

Skapa den andra virtuella datorn

Slutför steg 1–7 igen, men i steg 3 ger du den virtuella datorn namnet myVMMgmt. Det tar några minuter att distribuera den virtuella datorn.

Fortsätt inte till nästa steg förrän den virtuella datorn har distribuerats.

Koppla nätverksgränssnitt till en ASG

När portalen skapade de virtuella datorerna skapade den ett nätverksgränssnitt för varje virtuell dator och anslöt nätverksgränssnittet till den virtuella datorn.

Lägg till nätverksgränssnittet för varje virtuell dator till en av de programsäkerhetsgrupper som du skapade tidigare:

  1. I rutan Sök efter resurser, tjänster och dokument högst upp i portalen börjar du skriva myVMWeb. När den virtuella datorn myVMWeb visas i sökresultatet väljer du den.

  2. I Inställningar väljer du Nätverk.

  3. Välj fliken Programsäkerhetsgrupper och välj sedan Konfigurera programsäkerhetsgrupperna.

    Konfigurera programsäkerhetsgrupper.

  4. I Konfigurera programsäkerhetsgrupper väljer du myAsgWebServers. Välj Spara.

    Välj programsäkerhetsgrupper.

  5. Slutför steg 1 och 2 igen, sök efter den virtuella datorn myVMMgmt och välj ASG:en myAsgMgmtServers.

Testa trafikfilter

  1. Anslut till den virtuella datorn myVMMgmt. Ange myVMMgmt i sökrutan överst i portalen. När myVMMgmt visas i sökresultatet väljer du det. Välj knappen Anslut.

  2. Välj Hämta RDP-fil.

  3. Öppna den nedladdade RDP-filen och välj Anslut. Ange användarnamnet och lösenordet du angav när du skapade den virtuella datorn.

  4. Välj OK.

  5. Du kan få en certifikatvarning under anslutningsprocessen. Om du får varningen väljer du Ja eller Fortsätt för att fortsätta med anslutningen.

    Anslutningen lyckas eftersom port 3389 tillåts inkommande från Internet till programsäkerhetsgruppen myAsgMgmtServers.

    Nätverksgränssnittet för myVMMgmt är associerat med programsäkerhetsgruppen myAsgMgmtServers och tillåter anslutningen.

  6. Öppna en PowerShell-session på myVMMgmt. Anslut till myVMWeb med hjälp av följande exempel:

    mstsc /v:myVmWeb

    RDP-anslutningen från myVMMgmt till myVMWeb lyckas eftersom virtuella datorer i samma nätverk kan kommunicera med varje port som standard.

    Du kan inte skapa en RDP-anslutning till den virtuella datorn myVMWeb från Internet. Säkerhetsregeln för myAsgWebServers förhindrar anslutningar till port 3389 inkommande från Internet. Inkommande trafik från Internet nekas till alla resurser som standard.

  7. Om du vill installera Microsoft IIS på den virtuella datorn myVMWeb anger du följande kommando från en PowerShell-session på den virtuella datorn myVMWeb:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  8. När IIS-installationen är klar kopplar du från den virtuella datorn myVMWeb, vilket lämnar dig i fjärrskrivbordsanslutningen för den virtuella datorn myVMMgmt.

  9. Koppla från den virtuella datorn myVMMgmt.

  10. I rutan Sök efter resurser, tjänster och dokument högst upp i Azure Portal börja skriva myVMWeb från datorn. När myVMWeb visas i sökresultatet väljer du den. Notera den offentliga IP-adressen för den virtuella datorn. Adressen som visas i följande exempel är 23.96.39.113, men din adress är annorlunda:

    Offentlig IP-adress.

  11. Bekräfta att du kan komma åt webbservern myVMWeb från Internet genom att öppna en webbläsare på datorn och bläddra till http://<public-ip-address-from-previous-step> .

Välkomstskärmen för IIS visas eftersom port 80 tillåts inkommande från Internet till programsäkerhetsgruppen myAsgWebServers.

Nätverksgränssnittet som är kopplat till myVMWeb är associerat med programsäkerhetsgruppen myAsgWebServers och tillåter anslutningen.

Rensa resurser

Ta bort resursgruppen, skalningsuppsättningen och alla resurser som den innehåller:

  1. Skriv myResourceGroup i sökrutan överst i portalen. När du ser myResourceGroup i sökresultatet väljer du den.
  2. Välj Ta bort resursgrupp.
  3. Skriv myResourceGroup i SKRIV RESURSGRUPPSNAMNET: och välj Ta bort.

Nästa steg

I den här kursen får du:

  • Skapade en nätverkssäkerhetsgrupp och kopplade den till ett virtuellt nätverksundernät.
  • Skapade programsäkerhetsgrupper för webb och hantering.
  • Skapade två virtuella datorer.
  • Testade programsäkerhetsgruppens nätverksfiltrering.

Mer information om nätverkssäkerhetsgrupper finns i Översikt över nätverkssäkerhetsgrupper och Hantera en nätverkssäkerhetsgrupp.

Azure dirigerar som standard trafik mellan undernät. Du kan i stället välja att exempelvis dirigera trafik mellan undernät via en virtuell dator, som fungerar som en brandvägg.

Gå vidare till nästa självstudie om du vill veta hur du skapar en routningstabell.

Skapa en routningstabell