Sdílet prostřednictvím


Kurz: Filtrování síťového provozu pomocí skupiny zabezpečení sítě pomocí webu Azure Portal

Skupinu zabezpečení sítě můžete použít k filtrování příchozího a odchozího síťového provozu do a z prostředků Azure ve virtuální síti Azure.

Skupiny zabezpečení sítě obsahují pravidla zabezpečení, která filtrují síťový provoz podle IP adresy, portu a protokolu. Pokud je skupina zabezpečení sítě přidružená k podsíti, pravidla zabezpečení se použijí na prostředky nasazené v této podsíti.

Diagram prostředků vytvořených během kurzu

V tomto kurzu se naučíte:

  • Vytvoření skupiny zabezpečení sítě a pravidel zabezpečení
  • Vytvoření skupin zabezpečení aplikací
  • Vytvoření virtuální sítě a přidružení skupiny zabezpečení sítě k podsíti
  • Nasazení virtuálních počítačů a přidružení jejich síťových rozhraní ke skupinám zabezpečení aplikací

Požadavky

Následující postup vytvoří virtuální síť s podsítí prostředků.

  1. Na portálu vyhledejte a vyberte Virtuální sítě.

  2. Na stránce Virtuální sítě vyberte + Vytvořit.

  3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Do pole Název zadejte test-rg.
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte vnet-1.
    Oblast Vyberte USA – východ 2.

    Snímek obrazovky znázorňující kartu Základy vytvoření virtuální sítě na webu Azure Portal

  4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

  5. Výběrem možnosti Další přejděte na kartu IP adresy.

  6. V poli Adresní prostor v podsítích vyberte výchozí podsíť.

  7. V podokně Upravit podsíť zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti o podsíti
    Šablona podsítě Ponechte výchozí hodnotu výchozí.
    Název Zadejte podsíť-1.
    Počáteční adresa Ponechte výchozí hodnotu 10.0.0.0.
    Velikost podsítě Ponechte výchozí hodnotu /24(256 adres).

    Snímek obrazovky znázorňující výchozí přejmenování a konfiguraci podsítě

  8. Zvolte Uložit.

  9. V dolní části obrazovky vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.

Vytvoření skupin zabezpečení aplikací

Skupina zabezpečení aplikace (ASG) umožňuje seskupovat servery s podobnými funkcemi, jako jsou webové servery.

  1. Do vyhledávacího pole v horní části portálu zadejte skupinu zabezpečení aplikace. Ve výsledcích hledání vyberte skupiny zabezpečení aplikace.

  2. Vyberte + Vytvořit.

  3. Na kartě Základy vytvořte skupinu zabezpečení aplikace, zadejte nebo vyberte tyto informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte asg-web.
    Oblast Vyberte USA – východ 2.
  4. Vyberte Zkontrolovat a vytvořit.

  5. Vyberte + Vytvořit.

  6. Opakujte předchozí kroky a zadejte následující hodnoty:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte asg-mgmt.
    Oblast Vyberte USA – východ 2.
  7. Vyberte Zkontrolovat a vytvořit.

  8. Vyberte Vytvořit.

Vytvoření skupiny zabezpečení sítě

Skupina zabezpečení sítě (NSG) zabezpečuje síťový provoz ve vaší virtuální síti.

  1. Do vyhledávacího pole v horní části portálu zadejte skupinu zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.

    Poznámka:

    Ve výsledcích hledání pro skupiny zabezpečení sítě se můžou zobrazit skupiny zabezpečení sítě (klasické). Vyberte skupiny zabezpečení sítě.

  2. Vyberte + Vytvořit.

  3. Na kartě Základy vytvořte skupinu zabezpečení sítě, zadejte nebo vyberte tyto informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název Zadejte nsg-1.
    Umístění Vyberte USA – východ 2.
  4. Vyberte Zkontrolovat a vytvořit.

  5. Vyberte Vytvořit.

Přidružení skupiny zabezpečení sítě k podsíti

V této části přidružíte skupinu zabezpečení sítě k podsíti virtuální sítě, kterou jste vytvořili dříve.

  1. Do vyhledávacího pole v horní části portálu zadejte skupinu zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.

  2. Vyberte nsg-1.

  3. V části Nastavení nsg-1 vyberte podsítě.

  4. Na stránce Podsítě vyberte + Přidružit:

    Snímek obrazovky přidružení skupiny zabezpečení sítě k podsíti

  5. V části Přidružit podsíť vyberte vnet-1 (test-rg) pro virtuální síť.

  6. Jako podsíť vyberte podsíť 1 a pak vyberte OK.

Vytvoření pravidel zabezpečení

  1. V části Nastavení nsg-1 vyberte příchozí pravidla zabezpečení.

  2. Na stránce Příchozí pravidla zabezpečení vyberte + Přidat.

  3. Vytvořte pravidlo zabezpečení, které povoluje porty 80 a 443 do skupiny zabezpečení webových aplikací asg. Na stránce Přidat příchozí pravidlo zabezpečení zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Source Ponechte výchozí hodnotu Any.
    Rozsahy zdrojových portů Ponechte výchozí hodnotu (*).
    Cíl Vyberte skupinu zabezpečení aplikace.
    Cílové skupiny zabezpečení aplikací Vyberte asg-web.
    Služba Ponechte výchozí hodnotu Custom (Vlastní).
    Rozsahy cílových portů Zadejte 80 443.
    Protokol Vyberte TCP.
    Akce Ponechte výchozí možnost Povolit.
    Priorita Ponechte výchozí hodnotu 100.
    Název Zadejte allow-web-all.
  4. Vyberte Přidat.

  5. Proveďte předchozí kroky s následujícími informacemi:

    Nastavení Hodnota
    Source Ponechte výchozí hodnotu Any.
    Rozsahy zdrojových portů Ponechte výchozí hodnotu (*).
    Cíl Vyberte skupinu zabezpečení aplikace.
    Cílová skupina zabezpečení aplikace Vyberte asg-mgmt.
    Služba Vyberte protokol RDP.
    Akce Ponechte výchozí možnost Povolit.
    Priorita Ponechte výchozí hodnotu 110.
    Název Zadejte allow-rdp-all.
  6. Vyberte Přidat.

Upozornění

V tomto článku je protokol RDP (port 3389) vystavený internetu pro virtuální počítač, který je přiřazen skupině zabezpečení aplikace asg-mgmt .

V produkčních prostředích se místo vystavení portu 3389 na internetu doporučuje připojit se k prostředkům Azure, které chcete spravovat pomocí sítě VPN, privátního síťového připojení nebo služby Azure Bastion.

Další informace o službě Azure Bastion najdete v tématu Co je Azure Bastion?

Vytvoření virtuálních počítačů

Ve virtuální síti vytvořte dva virtuální počítače.

  1. Na portálu vyhledejte a vyberte Virtuální počítače.

  2. Ve virtuálních počítačích vyberte + Vytvořit a pak virtuální počítač Azure.

  3. V části Vytvořit virtuální počítač zadejte nebo vyberte tyto informace na kartě Základy :

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Virtual machine name Zadejte vm-web.
    Oblast Vyberte USA – východ 2.
    Možnosti dostupnosti Ponechte výchozí hodnotu Bez redundance infrastruktury.
    Typ zabezpečení Vyberte položku Standardní.
    Image Vyberte Windows Server 2022 Datacenter – x64 Gen2.
    Instance Azure Spot Ponechte výchozí nezaškrtnutou možnost.
    Velikost Vyberte velikost.
    Účet správce
    Username Zadejte uživatelské jméno.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.
    Pravidla portů pro příchozí spojení
    Vyberte příchozí porty Vyberte Žádná.
  4. Vyberte Další: Disky a další : Sítě.

  5. Na kartě Sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte vnet-1.
    Podsíť Vyberte podsíť 1 (10.0.0.0/24).
    Veřejná IP adresa Ponechte výchozí hodnotu nové veřejné IP adresy.
    Skupina zabezpečení sítě síťových adaptérů Vyberte Žádná.
  6. Vyberte kartu Zkontrolovat a vytvořit nebo vyberte modré tlačítko Zkontrolovat a vytvořit v dolní části stránky.

  7. Vyberte Vytvořit. Nasazení virtuálního počítače může trvat několik minut.

  8. Opakováním předchozích kroků vytvořte druhý virtuální počítač s názvem vm-mgmt.

Přidružení síťových rozhraní ke skupině zabezpečení aplikace

Když jste vytvořili virtuální počítače, Azure pro každý virtuální počítač vytvořil síťové rozhraní a připojil ho k virtuálnímu počítači.

Přidejte síťové rozhraní každého virtuálního počítače do jedné ze skupin zabezpečení aplikací, které jste vytvořili dříve:

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte Virtuální počítače a pak vyberte vm-web.

  2. V části Sítě na webu vm-web vyberte skupiny zabezpečení aplikací.

  3. Vyberte Přidat skupiny zabezpečení aplikace a pak na kartě Přidat skupiny zabezpečení aplikací vyberte asg-web. Nakonec vyberte Přidat.

    Snímek obrazovky konfigurace skupin zabezpečení aplikací

  4. Opakujte předchozí kroky pro vm-mgmt a vyberte asg-mgmt na kartě Přidat skupiny zabezpečení aplikace.

Testování filtrů provozu

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte vm-mgmt.

  3. Na stránce Přehled vyberte tlačítko Připojit a pak vyberte Nativní protokol RDP.

  4. Vyberte Stáhnout soubor RDP.

  5. Otevřete stažený soubor RDP a vyberte Připojit. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.

  6. Vyberte OK.

  7. Během procesu připojení se může zobrazit upozornění na certifikát. Pokud se zobrazí upozornění, vyberte Ano nebo Pokračovat a pokračujte v připojení.

    Připojení proběhne úspěšně, protože příchozí provoz z internetu do skupiny zabezpečení aplikace asg-mgmt je povolený přes port 3389.

    Síťové rozhraní pro vm-mgmt je přidruženo ke skupině zabezpečení aplikace asg-mgmt a umožňuje připojení.

  8. Otevřete relaci PowerShellu na vm-mgmt. Připojte se k webu virtuálního počítače pomocí následujícího příkazu:

    mstsc /v:vm-web
    

    Připojení RDP z vm-mgmt k webu virtuálního počítače proběhne úspěšně, protože virtuální počítače ve stejné síti můžou ve výchozím nastavení komunikovat přes libovolný port.

    Nemůžete vytvořit připojení RDP k virtuálnímu počítači na webu virtuálního počítače z internetu. Pravidlo zabezpečení pro asg-web zabraňuje připojení k portu 3389 příchozímu z internetu. Příchozí provoz z internetu je ve výchozím nastavení odepřen všem prostředkům.

  9. Pokud chcete na virtuální počítač virtuálního počítače s virtuálním počítačem nainstalovat službu Microsoft IIS, zadejte následující příkaz z relace PowerShellu na virtuálním počítači vm-web:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  10. Po dokončení instalace služby IIS se odpojte od virtuálního počítače na webu virtuálního počítače, který vás opustí v připojení ke vzdálené ploše virtuálního počítače vm-mgmt .

  11. Odpojte se od virtuálního počítače vm-mgmt .

  12. Vyhledejte virtuální počítač na webu ve vyhledávacím poli portálu.

  13. Na stránce Přehled webu virtuálního počítače si poznamenejte veřejnou IP adresu vašeho virtuálního počítače. Adresa zobrazená v následujícím příkladu je 203.0.113.103. Vaše adresa se liší:

    Snímek obrazovky s veřejnou IP adresou virtuálního počítače na stránce Přehled

  14. Pokud chcete ověřit, že máte přístup k webovému serveru virtuálního počítače z internetu, otevřete na počítači internetový prohlížeč a přejděte na http://<public-ip-address-from-previous-step>.

Zobrazí se výchozí stránka služby IIS, protože příchozí provoz z internetu do skupiny zabezpečení webové aplikace asg je povolený přes port 80.

Síťové rozhraní připojené k webu virtuálního počítače je přidružené ke skupině zabezpečení asg-web aplikací a umožňuje připojení.

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.

  1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

  2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

  3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

  4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

Další kroky

V tomto kurzu se naučíte:

  • Vytvořili jste skupinu zabezpečení sítě a přidružte ji k podsíti virtuální sítě.
  • Vytvořili jste skupiny zabezpečení aplikací pro web a správu.
  • Vytvořili jste dva virtuální počítače a přidružovali svá síťová rozhraní ke skupinám zabezpečení aplikací.
  • Otestovali filtrování sítě skupiny zabezpečení aplikace.

Další informace o skupinách zabezpečení sítě najdete v tématech Přehled skupin zabezpečení sítě a Správa skupiny zabezpečení sítě.

Provoz mezi podsítěmi směruje ve výchozím nastavení Azure. Místo toho se můžete rozhodnout směrovat provoz mezi podsítěmi přes virtuální počítač, který například slouží jako brána firewall.

Pokud chcete zjistit, jak vytvořit směrovací tabulku, pokračujte k dalšímu kurzu.