Bagikan melalui


Tutorial: Memfilter lalu lintas jaringan dengan grup keamanan jaringan

Anda dapat menggunakan kelompok keamanan jaringan untuk memfilter lalu lintas jaringan masuk dan keluar ke dan dari sumber daya Azure di jaringan virtual Azure.

Kelompok keamanan jaringan berisi aturan keamanan yang memfilter lalu lintas jaringan menurut alamat IP, port, dan protokol. Saat kelompok keamanan jaringan dikaitkan dengan subnet, aturan keamanan diterapkan ke sumber daya yang disebarkan di subnet tersebut.

Diagram sumber daya yang dibuat selama tutorial.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat kelompok keamanan jaringan dan aturan keamanan
  • Buat kelompok keamanan aplikasi
  • Membuat jaringan virtual dan mengaitkan kelompok keamanan jaringan ke subnet
  • Menyebarkan komputer virtual dan mengaitkan antarmuka jaringan mereka ke kelompok keamanan aplikasi

Prasyarat

Prosedur berikut membuat jaringan virtual dengan subnet sumber daya.

  1. Di portal, cari dan pilih Jaringan virtual.

  2. Pada halaman Jaringan virtual, pilih + Buat.

  3. Pada tab Dasar-dasar dari Buat jaringan virtual, masukkan atau pilih informasi berikut:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih Buat baru.
    Masukkan test-rg di Nama.
    Pilih OK.
    Detail instans
    Nama Masukkan vnet-1.
    Wilayah Pilih US Timur 2.

    Cuplikan layar yang memperlihatkan tab Dasar dari Buat jaringan virtual di portal Azure.

  4. Pilih Berikutnya untuk melanjutkan ke tab Keamanan .

  5. Pilih Berikutnya untuk melanjutkan ke tab alamat IP.

  6. Dalam kotak ruang alamat di bawah Subnet, pilih subnet default .

  7. Pada panel Edit subnet , masukkan atau pilih informasi berikut ini:

    Pengaturan Nilai
    Detail subnet
    Templat subnet Biarkan default sebagai Default.
    Nama Masukkan subnet-1.
    Alamat awal Biarkan default 10.0.0.0.
    Ukuran subnet Biarkan default /24(256 alamat).

    Cuplikan layar yang memperlihatkan penggantian nama dan konfigurasi subnet default.

  8. Pilih Simpan.

  9. Pilih Tinjau + buat di bagian bawah layar. Setelah melalui validasi, pilih Buat.

Buat kelompok keamanan aplikasi

Kelompok keamanan aplikasi (ASG) memungkinkan Anda mengelompokkan server dengan fungsi serupa, seperti server web.

  1. Di kotak pencarian di bagian atas portal, masukkan Grup keamanan aplikasi. Pilih Grup keamanan aplikasi di hasil pencarian.

  2. Pilih + Buat.

  3. Pada tab Dasar dari Buat grup keamanan aplikasi, masukkan, atau pilih informasi ini:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg.
    Detail instans
    Nama Masukkan asg-web.
    Wilayah Pilih US Timur 2.
  4. Pilih Tinjau + buat.

  5. Pilih + Buat.

  6. Ulangi langkah-langkah sebelumnya, menentukan nilai berikut:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg.
    Detail instans
    Nama Masukkan asg-mgmt.
    Wilayah Pilih US Timur 2.
  7. Pilih Tinjau + buat.

  8. Pilih Buat.

Membuat grup keamanan jaringan

Kelompok keamanan jaringan (NSG) mengamankan lalu lintas jaringan di jaringan virtual Anda.

  1. Di kotak pencarian di bagian atas portal, masukkan Grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.

    Catatan

    Dalam hasil pencarian untuk grup keamanan Jaringan, Anda mungkin melihat Grup keamanan jaringan (klasik). Pilih Kelompok keamanan jaringan.

  2. Pilih + Buat.

  3. Pada tab Dasar dari Buat grup keamanan jaringan, masukkan, atau pilih informasi ini:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg.
    Detail instans
    Nama Masukkan nsg-1.
    Lokasi Pilih US Timur 2.
  4. Pilih Tinjau + buat.

  5. Pilih Buat.

Kaitkan kelompok keamanan jaringan ke subnet

Di bagian ini, Anda mengaitkan grup keamanan jaringan dengan subnet jaringan virtual yang Anda buat sebelumnya.

  1. Di kotak pencarian di bagian atas portal, masukkan Grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.

  2. Pilih nsg-1.

  3. Pilih Subnet dari bagian Pengaturan nsg-1.

  4. Di halaman Subnet, pilih + Kaitkan:

    Cuplikan layar Mengaitkan kelompok keamanan jaringan ke subnet.

  5. Di bawah Kaitkan subnet, pilih vnet-1 (test-rg) untuk Jaringan virtual.

  6. Pilih subnet-1 untuk Subnet, lalu pilih OK.

Membuat aturan keamanan

  1. Pilih Aturan keamanan masuk dari bagian Pengaturan nsg-1.

  2. Di halaman Aturan keamanan masuk, pilih + Tambahkan.

  3. Buat aturan keamanan yang memungkinkan port 80 dan 443 ke grup keamanan aplikasi asg-web . Di halaman Tambahkan aturan keamanan masuk, masukkan atau pilih informasi berikut:

    Pengaturan Nilai
    Sumber Biarkan default Apa pun.
    Source port ranges Biarkan default (*).
    Tujuan Pilih Kelompok keamanan aplikasi.
    Kelompok keamanan aplikasi tujuan Pilih asg-web.
    Layanan Biarkan default Kustom.
    Rentang port tujuan Masukkan 80.443.
    Protokol Pilih TCP.
    Perbuatan Biarkan default Izinkan.
    Prioritas Biarkan default 100.
    Nama Masukkan allow-web-all.
  4. Pilih Tambahkan.

  5. Selesaikan langkah-langkah sebelumnya dengan informasi berikut:

    Pengaturan Nilai
    Sumber Biarkan default Apa pun.
    Source port ranges Biarkan default (*).
    Tujuan Pilih Kelompok keamanan aplikasi.
    Grup keamanan aplikasi tujuan Pilih asg-mgmt.
    Layanan Pilih RDP.
    Perbuatan Biarkan default Izinkan.
    Prioritas Biarkan default 110.
    Nama Masukkan allow-rdp-all.
  6. Pilih Tambahkan.

Perhatian

Dalam artikel ini, RDP (port 3389) diekspos ke internet untuk VM yang ditetapkan ke kelompok keamanan aplikasi asg-mgmt .

Untuk lingkungan produksi, daripada mengekspos port 3389 ke internet, sebaiknya Anda menghubungkan ke sumber daya Azure yang ingin Anda kelola menggunakan VPN, koneksi jaringan pribadi, atau Azure Bastion.

Untuk informasi selengkapnya tentang Azure Bastion, lihat Apa itu Azure Bastion?.

Membuat komputer virtual

Buat dua mesin virtual (VM) di jaringan virtual.

  1. Di portal, cari dan pilih Mesin virtual.

  2. Di Komputer virtual, pilih + Buat, lalu komputer virtual Azure.

  3. Di Buat komputer virtual, masukkan atau pilih informasi ini di tab Dasar:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg.
    Detail instans
    Nama komputer virtual Masukkan vm-web.
    Wilayah Pilih (US) US Timur 2.
    Opsi ketersediaan Biarkan default Tidak diperlukan redundansi infrastruktur.
    Jenis keamanan Pilih Standar.
    Gambar Pilih Pusat Data Windows Server 2022 - x64 Gen2.
    Instans Azure Spot Biarkan default yang tidak dicentang.
    Ukuran Pilih ukuran.
    Akun administrator
    Nama Pengguna Masukkan nama pengguna.
    Kata sandi Masukkan kata sandi.
    Mengonfirmasikan kata sandi Masukkan ulang kata sandi.
    Aturan port masuk
    Pilih port masuk Pilih Tidak ada.
  4. Pilih Berikutnya: Disk lalu Berikutnya: Jaringan.

  5. Di tab Jaringan, masukkan atau pilih informasi berikut ini:

    Pengaturan Nilai
    Antarmuka jaringan
    Jaringan virtual Pilih vnet-1.
    Subnet Pilih subnet-1 (10.0.0.0/24).
    IP Publik Biarkan default IP publik baru.
    kelompok keamanan jaringan NIC Pilih Tidak ada.
  6. Pilih tab Tinjau + buat, atau pilih tombol Tinjau + buat biru di bagian bawah halaman.

  7. Pilih Buat. VM mungkin membutuhkan waktu beberapa menit untuk disebarkan.

  8. Ulangi langkah-langkah sebelumnya untuk membuat komputer virtual kedua bernama vm-mgmt.

Mengaitkan antarmuka jaringan ke ASG

Saat Anda membuat VM, Azure membuat antarmuka jaringan untuk setiap VM, dan melampirkannya ke VM.

Tambahkan antarmuka jaringan setiap VM ke salah satu kelompok keamanan aplikasi yang Anda buat sebelumnya:

  1. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Komputer virtual di hasil pencarian, lalu pilih vm-web.

  2. Pilih Grup keamanan aplikasi dari bagian Jaringan vm-web.

  3. Pilih Tambahkan grup keamanan aplikasi, lalu di tab Tambahkan grup keamanan aplikasi, pilih asg-web. Terakhir, pilih Tambahkan.

    Cuplikan layar Mengonfigurasi kelompok keamanan aplikasi.

  4. Ulangi langkah-langkah sebelumnya untuk vm-mgmt, memilih asg-mgmt di tab Tambahkan grup keamanan aplikasi.

Filter uji lalu lintas

  1. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual dalam hasil pencarian.

  2. Pilih vm-mgmt.

  3. Pada halaman Gambaran Umum , pilih tombol Sambungkan lalu pilih RDP Asli.

  4. Pilih Unduh file RDP.

  5. Buka file rdp yang diunduh dan pilih Sambungkan. Masukkan nama pengguna dan kata sandi yang Anda tentukan saat membuat VM.

  6. Pilih OK.

  7. Anda mungkin menerima peringatan sertifikat selama proses koneksi. Jika Anda menerima peringatan, pilih Ya atau Lanjutkan, untuk melanjutkan koneksi.

    Koneksi berhasil, karena lalu lintas masuk dari internet ke kelompok keamanan aplikasi asg-mgmt diizinkan melalui port 3389.

    Antarmuka jaringan untuk vm-mgmt dikaitkan dengan kelompok keamanan aplikasi asg-mgmt dan memungkinkan koneksi.

  8. Buka sesi PowerShell di vm-mgmt. Sambungkan ke vm-web menggunakan yang berikut ini:

    mstsc /v:vm-web
    

    Koneksi RDP dari vm-mgmt ke vm-web berhasil karena komputer virtual dalam jaringan yang sama dapat berkomunikasi satu sama lain melalui port apa pun secara default.

    Anda tidak dapat membuat koneksi RDP ke komputer virtual vm-web dari internet. Aturan keamanan untuk asg-web mencegah koneksi ke port 3389 masuk dari internet. Lalu lintas masuk dari Internet ditolak oleh semua sumber daya secara default.

  9. Untuk menginstal Microsoft IIS pada komputer virtual vm-web , masukkan perintah berikut dari sesi PowerShell di komputer virtual vm-web :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  10. Setelah penginstalan IIS selesai, putuskan sambungan dari komputer virtual vm-web , yang membuat Anda berada di koneksi desktop jarak jauh komputer virtual vm-mgmt .

  11. Putuskan sambungan dari VM vm-mgmt .

  12. Cari vm-web di kotak pencarian portal.

  13. Pada halaman Gambaran Umum vm-web, perhatikan alamat IP Publik untuk VM Anda. Alamat yang ditunjukkan dalam contoh berikut adalah 203.0.113.103. Alamat Anda berbeda:

    Cuplikan layar alamat IP Publik mesin virtual di halaman Gambaran umum.

  14. Untuk mengonfirmasi bahwa Anda dapat mengakses server web vm-web dari internet, buka browser internet di komputer Anda dan telusuri ke http://<public-ip-address-from-previous-step>.

Anda melihat halaman default IIS, karena lalu lintas masuk dari internet ke grup keamanan aplikasi asg-web diizinkan melalui port 80.

Antarmuka jaringan yang dilampirkan untuk vm-web dikaitkan dengan kelompok keamanan aplikasi asg-web dan memungkinkan koneksi.

Setelah selesai menggunakan sumber daya yang Anda buat, Anda dapat menghapus grup sumber daya dan semua sumber dayanya.

  1. Di portal Microsoft Azure, cari dan pilih Grup sumber daya.

  2. Pada halaman Grup sumber daya, pilih grup sumber daya test-rg .

  3. Pada halaman test-rg , pilih Hapus grup sumber daya.

  4. Masukkan test-rg di Masukkan nama grup sumber daya untuk mengonfirmasi penghapusan, lalu pilih Hapus.

Langkah berikutnya

Di tutorial ini, Anda akan:

  • Membuat grup keamanan jaringan dan mengaitkannya ke subnet jaringan virtual.
  • Membuat grup keamanan aplikasi untuk web dan manajemen.
  • Membuat dua mesin virtual dan mengaitkan antarmuka jaringan mereka dengan kelompok keamanan aplikasi.
  • Menguji pemfilteran jaringan grup keamanan aplikasi.

Untuk mempelajari selengkapnya tentang grup keamanan jaringan, lihat Gambaran umum kelompok keamanan jaringan dan Mengelola kelompok keamanan jaringan.

Azure merutekan lalu lintas antara subnet secara default. Sebagai gantinya, Anda dapat memilih untuk merutekan lalu lintas antar subnet melalui VM, yang berfungsi sebagai firewall, misalnya.

Untuk mempelajari cara membuat tabel rute, lanjutkan ke tutorial berikutnya.