Tutorial: Filtern von Netzwerkdatenverkehr mithilfe einer Netzwerksicherheitsgruppe über das Azure-Portal
Sie können eine Netzwerksicherheitsgruppe verwenden, um eingehenden und ausgehenden Netzwerkdatenverkehr von und zu Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern.
Netzwerksicherheitsgruppen enthalten Sicherheitsregeln, die Netzwerkdatenverkehr nach IP-Adresse, Port und Protokoll filtern. Wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist, werden Sicherheitsregeln auf Ressourcen angewendet, die in diesem Subnetz bereitgestellt werden.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen von Netzwerksicherheitsgruppe und Sicherheitsregeln
- Erstellen von Anwendungssicherheitsgruppen
- Erstellen eines virtuellen Netzwerks und Zuweisen einer Netzwerksicherheitsgruppe zu einem Subnetz
- Bereitstellen virtueller Computer und Zuordnen ihrer Netzwerkschnittstellen zu den Anwendungssicherheitsgruppen
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement. Sie können ein Konto kostenlos erstellen.
Anmelden bei Azure
Melden Sie sich beim Azure-Portal an.
Erstellen eines virtuellen Netzwerks
Mit dem folgenden Verfahren wird ein virtuelles Netzwerk mit einem Ressourcensubnetz erstellt.
Suchen Sie im Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.
Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.
Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:
Einstellung Wert Projektdetails Subscription Wählen Sie Ihr Abonnement aus. Resource group Wählen Sie Neu erstellen. Geben Sie test-rg für Name ein. Wählen Sie OK aus. Instanzendetails Name Geben Sie vnet-1 ein. Region Wählen Sie USA, Osten 2 aus. 
Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.
Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.
Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.
Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:
Einstellung Wert Subnetzdetails Subnetzvorlage Übernehmen Sie den Standardwert Default. Name Geben Sie subnet-1 ein. Startadresse Übernehmen Sie den Standardwert 10.0.0.0. Subnetzgröße Übernehmen Sie den Standardwert /24 (256 Adressen). 
Wählen Sie Speichern aus.
Wählen Sie am unteren Bildschirmrand Überprüfen + erstellen aus, und wenn die Validierung erfolgreich ist, wählen Sie Erstellen aus.
Erstellen von Anwendungssicherheitsgruppen
Mithilfe einer Anwendungssicherheitsgruppe (ASG) können Sie Server mit ähnlichen Funktionen gruppieren (z. B. Webserver).
Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie in den Suchergebnissen Anwendungssicherheitsgruppen aus.
Wählen Sie + Erstellen aus.
Geben Sie auf der Registerkarte Grundlagen unter Anwendungssicherheitsgruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus:
Einstellung Wert Projektdetails Subscription Wählen Sie Ihr Abonnement aus. Resource group Wählen Sie test-rg aus. Instanzendetails Name Geben Sie asg-web ein. Region Wählen Sie USA, Osten 2 aus. Klicken Sie auf Überprüfen + erstellen.
Wählen Sie + Erstellen aus.
Wiederholen Sie die vorherigen Schritte, und geben Sie die folgenden Werte an:
Einstellung Wert Projektdetails Subscription Wählen Sie Ihr Abonnement aus. Resource group Wählen Sie test-rg aus. Instanzendetails Name Geben Sie asg-mgmt ein. Region Wählen Sie USA, Osten 2 aus. Klicken Sie auf Überprüfen + erstellen.
Klicken Sie auf Erstellen.
Erstellen einer Netzwerksicherheitsgruppe
Eine Netzwerksicherheitsgruppe (NSG) schützt den Netzwerkdatenverkehr in Ihrem virtuellen Netzwerk.
Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.
Hinweis
In den Suchergebnissen für Netzwerksicherheitsgruppen wird möglicherweise Netzwerksicherheitsgruppen (klassisch) angezeigt. Wählen Sie Netzwerksicherheitsgruppen aus.
Wählen Sie + Erstellen aus.
Geben Sie auf der Registerkarte Grundlagen unter Netzwerksicherheitsgruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus:
Einstellung Wert Projektdetails Subscription Wählen Sie Ihr Abonnement aus. Resource group Wählen Sie test-rg aus. Instanzendetails Name Geben Sie nsg-1 ein. Standort Wählen Sie USA, Osten 2 aus. Klicken Sie auf Überprüfen + erstellen.
Klicken Sie auf Erstellen.
Zuordnen einer Netzwerksicherheitsgruppe zu einem Subnetz
In diesem Abschnitt ordnen Sie die Netzwerksicherheitsgruppe dem Subnetz des zuvor erstellten virtuellen Netzwerks zu.
Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.
Wählen Sie nsg-1 aus.
Wählen Sie Subnetze im Abschnitt Einstellungen von nsg-1 aus.
Klicken Sie auf der Seite Subnetze auf + Zuordnen:
Wählen Sie unter Subnetz zuordnen die Option vnet-1 (test-rg) für Virtuelles Netzwerk aus.
Wählen Sie subnet-1 als Subnetz aus, und klicken Sie dann auf OK.
Erstellen von Sicherheitsregeln
Wählen Sie im Abschnitt Einstellungen von nsg-1 die Option Eingangssicherheitsregeln aus.
Wählen Sie auf der Seite Eingangssicherheitsregeln die Option + Hinzufügen aus.
Erstellen Sie eine Sicherheitsregel, die für die Anwendungssicherheitsgruppe asg-web die Ports 80 und 443 zulässt. Geben Sie auf der Seite Eingangssicherheitsregel hinzufügen die folgenden Informationen ein, bzw. wählen Sie sie aus:
Einstellung Wert `Source` Übernehmen Sie den Standardwert Beliebig. Source port ranges Übernehmen Sie den Standardwert (*). Destination Wählen Sie Anwendungssicherheitsgruppe aus. Ziel-Anwendungssicherheitsgruppen Wählen Sie asg-web aus. Dienst Übernehmen Sie den Standardwert Benutzerdefiniert. Zielportbereiche Geben Sie 80,443 ein. Protocol Wählen Sie TCP aus. Aktion Übernehmen Sie den Standardwert Zulassen. Priorität Übernehmen Sie den Standardwert 100. Name Geben Sie allow-web-all ein. Wählen Sie Hinzufügen.
Führen Sie die vorherigen Schritte mit den folgenden Informationen aus:
Einstellung Wert `Source` Übernehmen Sie den Standardwert Beliebig. Source port ranges Übernehmen Sie den Standardwert (*). Destination Wählen Sie Anwendungssicherheitsgruppe aus. Ziel-Anwendungssicherheitsgruppe Wählen Sie asg-mgmt aus. Dienst Wählen Sie RDP aus. Aktion Übernehmen Sie den Standardwert Zulassen. Priorität Übernehmen Sie den Standardwert 110. Name Geben Sie allow-rdp-all ein. Wählen Sie Hinzufügen.
Achtung
In diesem Artikel wird RDP (Port 3389) für die VM, die der Anwendungssicherheitsgruppe asg-mgmt zugewiesen ist, im Internet verfügbar gemacht.
In Produktionsumgebungen empfiehlt es sich, eine VPN-basierte oder private Netzwerkverbindung mit den zu verwaltenden Azure-Ressourcen herzustellen oder Azure Bastion für die Verbindungsherstellung zu verwenden, anstatt den Port 3389 im Internet verfügbar zu machen.
Weitere Informationen zu Azure Bastion finden Sie unter Was ist Azure Bastion?.
Erstellen von virtuellen Computern
Erstellen Sie zwei virtuelle Computer (VMs) im virtuellen Netzwerk.
Suchen Sie im Portal nach Virtuelle Computer, und klicken Sie darauf.
Wählen Sie unter VM die Option + Erstellen und dann Azure-VM aus.
Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, bzw. wählen Sie sie aus:
Einstellung Wert Projektdetails Subscription Wählen Sie Ihr Abonnement aus. Resource group Wählen Sie test-rg aus. Instanzendetails Name des virtuellen Computers Geben Sie vm-1 ein. Region Wählen Sie (USA) USA, Osten 2 aus. Verfügbarkeitsoptionen Übernehmen Sie den Standardwert Keine Infrastrukturredundanz erforderlich. Sicherheitstyp Wählen Sie Standard aus. Image Wählen Sie Windows Server 2022 Datacenter – x64 Gen2 aus. Azure Spot-Instanz Übernehmen Sie die Standardeinstellung (deaktiviert). Size Wählen Sie eine Größe aus. Administratorkonto Username Geben Sie einen Benutzernamen ein. Kennwort Geben Sie ein Kennwort ein. Kennwort bestätigen Geben Sie das Kennwort erneut ein. Regeln für eingehende Ports Eingangsports auswählen Wählen Sie Keine. Wählen Sie Weiter: Datenträger und dann Weiter: Netzwerk aus.
Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein, bzw. wählen Sie sie aus:
Einstellung Wert Netzwerkschnittstelle Virtuelles Netzwerk Wählen Sie vnet-1 aus. Subnet Wählen Sie Subnetz-1 (10.0.0.0/24) aus. Öffentliche IP-Adresse Übernehmen Sie den Standardwert einer neuen öffentlichen IP-Adresse. NIC-Netzwerksicherheitsgruppe Wählen Sie Keine. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.
Klicken Sie auf Erstellen. Die Bereitstellung der VM kann einige Minuten dauern.
Wiederholen Sie die vorherigen Schritte, um eine zweite VM namens vm-2 zu erstellen.
Zuordnen von Netzwerkschnittstellen zu einer Anwendungssicherheitsgruppe
Als Sie die VMs erstellt haben, hat Azure eine Netzwerkschnittstelle für jede VM erstellt und an die VM angefügt.
Fügen Sie die Netzwerkschnittstellen der einzelnen virtuellen Computer einer der Anwendungssicherheitsgruppen hinzu, die Sie zuvor erstellt haben:
Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.
Wählen Sie vm-1 aus.
Wählen Sie Netzwerke im Abschnitt Einstellungen von vm-1 aus.
Wählen Sie die Registerkarte Anwendungssicherheitsgruppen und dann Anwendungssicherheitsgruppen konfigurieren aus.
Wählen Sie unter Konfigurieren der Anwendungssicherheitsgruppen im Pulldownmenü Anwendungssicherheitsgruppen die Option asg-web aus, und wählen Sie dann Speichern aus.
Wiederholen Sie die vorherigen Schritte für vm-2, und wählen Sie im Pulldownmenü Anwendungssicherheitsgruppen die Option asg-mgmt aus.
Testen von Datenverkehrsfiltern
Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.
Wählen Sie vm-2 aus.
Wählen Sie auf der Seite Übersicht die Schaltfläche Verbinden und dann natives RDP aus.
Wählen Sie RDP-Datei herunterladen aus.
Öffnen Sie die heruntergeladene RDP-Datei, und wählen Sie Verbinden aus. Geben Sie den Benutzernamen und das Kennwort ein, den/das Sie beim Erstellen des virtuellen Computers angegeben haben.
Klicken Sie auf OK.
Während des Verbindungsprozesses wird unter Umständen eine Zertifikatwarnung angezeigt. Sollte eine Warnung angezeigt werden, wählen Sie Ja bzw. Weiter aus, um mit der Verbindungsherstellung fortzufahren.
Die Verbindung wird erfolgreich hergestellt, da eingehender Datenverkehr aus dem Internet an die Anwendungssicherheitsgruppe asg-mgmt über Port 3389 zugelassen wird.
Die Netzwerkschnittstelle für vm-2 ist mit der Anwendungssicherheitsgruppe asg-mgmt verknüpft und lässt die Verbindung zu.
Öffnen Sie eine PowerShell-Sitzung für vm-2. Stellen Sie wie folgt eine Verbindung mit vm-1 her:
mstsc /v:vm-1Die RDP-Verbindung zwischen vm-2 und vm-1 ist erfolgreich, da VMs im selben Netzwerk standardmäßig über jeden Port miteinander kommunizieren können.
Es ist nicht möglich, über das Internet eine RDP-Verbindung mit der VM vm-1 herzustellen. Die Sicherheitsregel für asg-web verhindert eingehende Verbindungen aus dem Internet an Port 3389. Eingehender Datenverkehr aus dem Internet wird standardmäßig für alle Ressourcen verweigert.
Geben Sie den folgenden Befehl über eine PowerShell-Sitzung auf der VM vm-1 ein, um Microsoft IIS auf der VM vm-1 zu installieren:
Install-WindowsFeature -name Web-Server -IncludeManagementToolsTrennen Sie nach Abschluss der IIS-Installation die Verbindung mit der VM vm-1. Dadurch verbleiben Sie in der Remotedesktopverbindung von VM vm-2.
Trennen Sie die Verbindung mit der VM vm-2.
Suchen Sie über das Suchfeld des Portals nach vm-1.
Beachten Sie auf der Seite Übersicht von vm-1 die Angabe Öffentliche IP-Adresse für Ihre VM. Die im folgenden Beispiel angegebene Adresse lautet 20.230.55.178, Ihre Adresse ist eine andere:
Navigieren Sie auf Ihrem Computer in einem Internetbrowser zu
http://<public-ip-address-from-previous-step>, um sich zu vergewissern, dass Sie vom Internet aus auf den Webserver vm-1 zugreifen können.
Die IIS-Standardseite wird angezeigt, da eingehender Datenverkehr aus dem Internet an die Anwendungssicherheitsgruppe asg-web über Port 80 zugelassen wird.
Die für vm-1 angefügte Netzwerkschnittstelle ist mit der Anwendungssicherheitsgruppe asg-web verknüpft und lässt die Verbindung zu.
Bereinigen von Ressourcen
Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen:
Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.
Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.
Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.
Geben Sie test-rg unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen und wählen Sie dann Löschen aus.
Nächste Schritte
In diesem Tutorial haben Sie:
- eine Netzwerksicherheitsgruppe erstellt und dem Subnetz eines virtuellen Netzwerks zugeordnet.
- Anwendungssicherheitsgruppen für das Web und die Verwaltung erstellt.
- zwei virtueller Computer erstellt und ihre Netzwerkschnittstellen den Anwendungssicherheitsgruppen zugeordnet.
- die Netzwerkfilterung der Anwendungssicherheitsgruppe getestet.
Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen – Übersicht sowie unter Verwalten einer Netzwerksicherheitsgruppe.
Azure leitet standardmäßig Datenverkehr zwischen Subnetzen weiter. Sie können Datenverkehr zwischen Subnetzen aber beispielsweise auch über einen virtuellen Computer weiterleiten, der als Firewall fungiert.
Im nächsten Tutorial erfahren Sie, wie Sie eine Routingtabelle erstellen.