Tutorial: Memfilter lalu lintas jaringan dengan kelompok keamanan jaringan menggunakan portal Microsoft Azure

  • Artikel

Anda dapat menggunakan kelompok keamanan jaringan untuk memfilter lalu lintas jaringan masuk dan keluar ke dan dari sumber daya Azure di jaringan virtual Azure.

Kelompok keamanan jaringan berisi aturan keamanan yang memfilter lalu lintas jaringan menurut alamat IP, port, dan protokol. Saat kelompok keamanan jaringan dikaitkan dengan subnet, aturan keamanan diterapkan ke sumber daya yang disebarkan di subnet tersebut.

Diagram of resources created during tutorial.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Membuat kelompok keamanan jaringan dan aturan keamanan
  • Buat kelompok keamanan aplikasi
  • Membuat jaringan virtual dan mengaitkan kelompok keamanan jaringan ke subnet
  • Menyebarkan komputer virtual dan mengaitkan antarmuka jaringan mereka ke kelompok keamanan aplikasi

Prasyarat

Masuk ke Azure

Masuk ke portal Azure.

Membuat jaringan virtual

Prosedur berikut membuat jaringan virtual dengan subnet sumber daya.

  1. Di portal, cari dan pilih Jaringan virtual.

  2. Pada halaman Jaringan virtual, pilih + Buat.

  3. Pada tab Dasar-dasar dari Buat jaringan virtual, masukkan atau pilih informasi berikut:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih Buat baru.
    Masukkan test-rg di Nama.
    Pilih OK.
    Detail instans
    Nama Masukkan vnet-1.
    Wilayah Pilih US Timur 2.

    Screenshot of Basics tab of Create virtual network in the Azure portal.

  4. Pilih Berikutnya untuk melanjutkan ke tab Keamanan .

  5. Pilih Berikutnya untuk melanjutkan ke tab Alamat IP.

  6. Dalam kotak ruang alamat di Subnet, pilih subnet default .

  7. Di Edit subnet, masukkan atau pilih informasi berikut:

    Pengaturan Nilai
    Detail subnet
    Templat subnet Biarkan Default default.
    Nama Masukkan subnet-1.
    Alamat awal Biarkan default 10.0.0.0.
    Ukuran subnet Biarkan default /24(256 alamat).

    Screenshot of default subnet rename and configuration.

  8. Pilih Simpan.

  9. Pilih Tinjau + buat di bagian bawah layar, dan saat validasi lolos, pilih Buat.

Buat kelompok keamanan aplikasi

Kelompok keamanan aplikasi (ASG) memungkinkan Anda mengelompokkan server dengan fungsi serupa, seperti server web.

  1. Di kotak pencarian di bagian atas portal, masukkan Grup keamanan aplikasi. Pilih Grup keamanan aplikasi di hasil pencarian.

  2. Pilih + Buat.

  3. Di tab Dasar-dasar dari Buat kelompok keamanan aplikasi, masukkan atau pilih informasi ini:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg.
    Detail instans
    Nama Masukkan asg-web.
    Wilayah Pilih US Timur 2.

  4. Pilih Tinjau + buat.

  5. Pilih + Buat.

  6. Ulangi langkah-langkah sebelumnya, menentukan nilai berikut:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg.
    Detail instans
    Nama Masukkan asg-mgmt.
    Wilayah Pilih US Timur 2.

  7. Pilih Tinjau + buat.

  8. Pilih Buat.

MembuatĀ grup keamanan jaringan

Kelompok keamanan jaringan (NSG) mengamankan lalu lintas jaringan di jaringan virtual Anda.

  1. Di kotak pencarian di bagian atas portal, masukkan Grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.

    Catatan

    Dalam hasil pencarian untuk grup keamanan Jaringan, Anda mungkin melihat Grup keamanan jaringan (klasik). Pilih Kelompok keamanan jaringan.

  2. Pilih + Buat.

  3. Di tab Dasar-dasar dari Buat kelompok keamanan jaringan, masukkan atau pilih informasi ini:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg.
    Detail instans
    Nama Masukkan nsg-1.
    Lokasi Pilih US Timur 2.

  4. Pilih Tinjau + buat.

  5. Pilih Buat.

Kaitkan kelompok keamanan jaringan ke subnet

Di bagian ini, Anda mengaitkan grup keamanan jaringan dengan subnet jaringan virtual yang Anda buat sebelumnya.

  1. Di kotak pencarian di bagian atas portal, masukkan Grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.

  2. Pilih nsg-1.

  3. Pilih Subnet dari bagian Pengaturan nsg-1.

  4. Di halaman Subnet, pilih + Kaitkan:

    Screenshot of Associate a network security group to a subnet.

  5. Di bawah Kaitkan subnet, pilih vnet-1 (test-rg) untuk Jaringan virtual.

  6. Pilih subnet-1 untuk Subnet, lalu pilih OK.

Membuat aturan keamanan

  1. Pilih Aturan keamanan masuk dari bagian Pengaturan nsg-1.

  2. Di halaman Aturan keamanan masuk, pilih + Tambahkan.

  3. Buat aturan keamanan yang memungkinkan port 80 dan 443 ke grup keamanan aplikasi asg-web . Di halaman Tambahkan aturan keamanan masuk, masukkan atau pilih informasi berikut:

    Pengaturan Nilai
    Sumber Biarkan default Apa pun.
    Source port ranges Biarkan default (*).
    Tujuan Pilih Kelompok keamanan aplikasi.
    Kelompok keamanan aplikasi tujuan Pilih asg-web.
    Layanan Biarkan default Kustom.
    Rentang port tujuan Masukkan 80.443.
    Protokol Pilih TCP.
    Perbuatan Biarkan default Izinkan.
    Prioritas Biarkan default 100.
    Nama Masukkan allow-web-all.

  4. Pilih Tambahkan.

  5. Selesaikan langkah-langkah sebelumnya dengan informasi berikut:

    Pengaturan Nilai
    Sumber Biarkan default Apa pun.
    Source port ranges Biarkan default (*).
    Tujuan Pilih Kelompok keamanan aplikasi.
    Grup keamanan aplikasi tujuan Pilih asg-mgmt.
    Layanan Pilih RDP.
    Perbuatan Biarkan default Izinkan.
    Prioritas Biarkan default 110.
    Nama Masukkan allow-rdp-all.

  6. Pilih Tambahkan.

    Perhatian

    Dalam artikel ini, RDP (port 3389) diekspos ke internet untuk VM yang ditetapkan ke kelompok keamanan aplikasi asg-mgmt .

    Untuk lingkungan produksi, daripada mengekspos port 3389 ke internet, sebaiknya Anda menghubungkan ke sumber daya Azure yang ingin Anda kelola menggunakan VPN, koneksi jaringan pribadi, atau Azure Bastion.

    Untuk informasi selengkapnya tentang Azure Bastion, lihat Apa itu Azure Bastion?.

Membuat komputer virtual

Buat dua mesin virtual (VM) di jaringan virtual.

  1. Di portal, cari dan pilih Komputer virtual.

  2. Di Komputer virtual, pilih + Buat, lalu komputer virtual Azure.

  3. Di Buat komputer virtual, masukkan atau pilih informasi ini di tab Dasar:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Anda.
    Grup sumber daya Pilih test-rg.
    Detail instans
    Nama komputer virtual Masukkan vm-1.
    Wilayah Pilih (US) US Timur 2.
    Opsi ketersediaan Biarkan default Tidak diperlukan redundansi infrastruktur.
    Jenis keamanan Pilih Standar.
    Gambar Pilih Pusat Data Windows Server 2022 - x64 Gen2.
    Instans Azure Spot Biarkan default yang tidak dicentang.
    Ukuran Pilih ukuran.
    Akun administrator
    Nama Pengguna Masukkan nama pengguna.
    Kata sandi Masukkan kata sandi.
    Mengonfirmasikan kata sandi Masukkan ulang kata sandi.
    Aturan port masuk
    Pilih port masuk Pilih Tidak ada.

  4. Pilih Berikutnya: Disk lalu Berikutnya: Jaringan.

  5. Di tab Jaringan, masukkan atau pilih informasi berikut ini:

    Pengaturan Nilai
    Antarmuka jaringan
    Jaringan virtual Pilih vnet-1.
    Subnet Pilih subnet-1 (10.0.0.0/24).
    IP Publik Biarkan default IP publik baru.
    kelompok keamanan jaringan NIC Pilih Tidak ada.

  6. Pilih tab Tinjau + buat, atau pilih tombol Tinjau + buat biru di bagian bawah halaman.

  7. Pilih Buat. VM mungkin memerlukan waktu beberapa menit untuk diterapkan.

  8. Ulangi langkah-langkah sebelumnya untuk membuat komputer virtual kedua bernama vm-2.

Mengaitkan antarmuka jaringan ke ASG

Saat Anda membuat VM, Azure membuat antarmuka jaringan untuk setiap VM, dan melampirkannya ke VM.

Tambahkan antarmuka jaringan setiap VM ke salah satu kelompok keamanan aplikasi yang Anda buat sebelumnya:

  1. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual dalam hasil pencarian.

  2. Pilih vm-1.

  3. Pilih Jaringan dari bagian Pengaturan vm-1.

  4. Pilih tab Grup keamanan aplikasi, lalu pilih Mengonfigurasi grup keamanan aplikasi.

    Screenshot of Configure application security groups.

  5. Di Konfigurasikan grup keamanan aplikasi, pilih asg-web di menu tarik-turun Grup keamanan aplikasi, lalu pilih Simpan.

  6. Ulangi langkah-langkah sebelumnya untuk vm-2, memilih asg-mgmt di menu tarik-turun Kelompok keamanan aplikasi.

Filter uji lalu lintas

  1. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual dalam hasil pencarian.

  2. Pilih vm-2.

  3. Pada halaman Gambaran Umum, pilih tombol Koneksi lalu pilih RDP Asli.

  4. Pilih Unduh file RDP.

  5. Buka file rdp yang diunduh dan pilih Sambungkan. Masukkan nama pengguna dan kata sandi yang Anda tentukan saat membuat VM.

  6. Pilih OK.

  7. Anda mungkin menerima peringatan sertifikat selama proses sambungan. Jika Anda menerima peringatan, pilih Ya atau Lanjutkan, untuk melanjutkan koneksi.

    Koneksi berhasil, karena lalu lintas masuk dari internet ke kelompok keamanan aplikasi asg-mgmt diizinkan melalui port 3389.

    Antarmuka jaringan untuk vm-2 dikaitkan dengan kelompok keamanan aplikasi asg-mgmt dan memungkinkan koneksi.

  8. Buka sesi PowerShell di vm-2. Koneksi ke vm-1 menggunakan hal berikut:

    mstsc /v:vm-1

    Koneksi RDP dari vm-2 ke vm-1 berhasil karena komputer virtual dalam jaringan yang sama dapat berkomunikasi satu sama lain melalui port apa pun secara default.

    Anda tidak dapat membuat koneksi RDP ke komputer virtual vm-1 dari internet. Aturan keamanan untuk asg-web mencegah koneksi ke port 3389 masuk dari internet. Lalu lintas masuk dari Internet ditolak oleh semua sumber daya secara default.

  9. Untuk menginstal Microsoft IIS pada komputer virtual vm-1 , masukkan perintah berikut dari sesi PowerShell pada komputer virtual vm-1 :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  10. Setelah penginstalan IIS selesai, putuskan sambungan dari komputer virtual vm-1 , yang membuat Anda berada di koneksi desktop jarak jauh komputer virtual vm-2 .

  11. Putuskan sambungan dari VM vm-2 .

  12. Cari vm-1 di kotak pencarian portal.

  13. Pada halaman Gambaran Umum vm-1, perhatikan alamat IP Publik untuk VM Anda. Alamat yang ditunjukkan dalam contoh berikut adalah 20.230.55.178, alamat Anda berbeda:

    Screenshot of Public IP address of a virtual machine in the Overview page.

  14. Untuk mengonfirmasi bahwa Anda dapat mengakses server web vm-1 dari internet, buka browser internet di komputer Anda dan telusuri ke http://<public-ip-address-from-previous-step>.

Anda melihat halaman default IIS, karena lalu lintas masuk dari internet ke grup keamanan aplikasi asg-web diizinkan melalui port 80.

Antarmuka jaringan yang dilampirkan untuk vm-1 dikaitkan dengan kelompok keamanan aplikasi asg-web dan memungkinkan koneksi.

Membersihkan sumber daya

Setelah selesai menggunakan sumber daya yang Anda buat, Anda dapat menghapus grup sumber daya dan semua sumber dayanya:

  1. Di portal Microsoft Azure, cari dan pilih Grup sumber daya.

  2. Pada halaman Grup sumber daya, pilih grup sumber daya test-rg .

  3. Pada halaman test-rg , pilih Hapus grup sumber daya.

  4. Masukkan test-rg di Masukkan nama grup sumber daya untuk mengonfirmasi penghapusan, lalu pilih Hapus.

Langkah berikutnya

Di tutorial ini, Anda akan:

  • Membuat grup keamanan jaringan dan mengaitkannya ke subnet jaringan virtual.
  • Membuat grup keamanan aplikasi untuk web dan manajemen.
  • Membuat dua mesin virtual dan mengaitkan antarmuka jaringan mereka dengan kelompok keamanan aplikasi.
  • Menguji pemfilteran jaringan grup keamanan aplikasi.

Untuk mempelajari selengkapnya tentang grup keamanan jaringan, lihat Gambaran umum kelompok keamanan jaringan dan Mengelola kelompok keamanan jaringan.

Azure merutekan lalu lintas antara subnet secara default. Sebagai gantinya, Anda dapat memilih untuk merutekan lalu lintas antar subnet melalui VM, berfungsi sebagai firewall, misalnya.

Untuk mempelajari cara membuat tabel rute, lanjutkan ke tutorial berikutnya.

Membuat tabel rute