Zelfstudie: Netwerkverkeer filteren met een netwerkbeveiligingsgroep met behulp van Azure Portal

U kunt een netwerkbeveiligingsgroep gebruiken om binnenkomend en uitgaand netwerkverkeer naar en van Azure-resources in een virtueel Azure-netwerk te filteren.

Netwerkbeveiligingsgroepen bevatten beveiligingsregels die netwerkverkeer filteren op IP-adres, poort en protocol. Wanneer een netwerkbeveiligingsgroep is gekoppeld aan een subnet, worden beveiligingsregels toegepast op resources die in dat subnet zijn geïmplementeerd.

Diagram of resources created during tutorial.

In deze zelfstudie leert u het volgende:

  • Een netwerkbeveiligingsgroep en beveiligingsregels maken
  • Toepassingsbeveiligingsgroepen maken
  • Een virtueel netwerk maken en een netwerkbeveiligingsgroep koppelen aan een subnet
  • Virtuele machines implementeren en hun netwerkinterfaces koppelen aan de toepassingsbeveiligingsgroepen

Vereisten

  • Een Azure-account met een actief abonnement. U kunt gratis een account maken.

Aanmelden bij Azure

Meld u aan bij het Azure-portaal.

Een virtueel netwerk maken

Met de volgende procedure maakt u een virtueel netwerk met een resourcesubnet.

  1. Zoek en selecteer virtuele netwerken in de portal.

  2. Selecteer + Maken op de pagina Virtuele netwerken.

  3. Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer Nieuw maken.
    Voer test-rg in Naam in.
    Selecteer OK.
    Exemplaardetails
    Naam Voer vnet-1 in.
    Regio Selecteer VS - oost 2.

    Screenshot of Basics tab of Create virtual network in the Azure portal.

  4. Selecteer Volgendeom door te gaan naar het tabblad Beveiliging.

  5. Selecteer Volgendeom door te gaan naar het tabblad IP-adressen.

  6. Selecteer in het adresruimtevak in Subnetten het standaardsubnet .

  7. Voer in het subnet Bewerken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Details van subnet
    Subnetsjabloon Laat de standaardwaarde staan.
    Naam Voer subnet-1 in.
    Beginadres Laat de standaardwaarde 10.0.0.0 staan.
    Subnetgrootte Laat de standaardwaarde /24(256 adressen) staan.

    Screenshot of default subnet rename and configuration.

  8. Selecteer Opslaan.

  9. Selecteer Beoordelen en maken onder aan het scherm en selecteer Maken wanneer de validatie is geslaagd.

Toepassingsbeveiligingsgroepen maken

Met een toepassingsbeveiligingsgroep (ASG's) kunt u servers groeperen met vergelijkbare functies, zoals webservers.

  1. Voer in het zoekvak boven aan de portal toepassingsbeveiligingsgroep in. Selecteer Toepassingsbeveiligingsgroepen in de zoekresultaten.

  2. Selecteer + Maken.

  3. Voer op het tabblad Basisbeginselen van Een toepassingsbeveiligingsgroep maken deze gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Naam Voer asg-web in.
    Regio Selecteer VS - oost 2.
  4. Selecteer Controleren + maken.

  5. Selecteer + Maken.

  6. Herhaal de vorige stappen en geef de volgende waarden op:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Naam Voer asg-mgmt in.
    Regio Selecteer VS - oost 2.
  7. Selecteer Controleren + maken.

  8. Selecteer Maken.

Een netwerkbeveiligingsgroep maken

Een netwerkbeveiligingsgroep (NSG) beveiligt netwerkverkeer in uw virtuele netwerk.

  1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

    Notitie

    In de zoekresultaten voor netwerkbeveiligingsgroepen ziet u mogelijk netwerkbeveiligingsgroepen (klassiek). Selecteer Netwerkbeveiligingsgroepen.

  2. Selecteer + Maken.

  3. Voer op het tabblad Basisbeginselen van Netwerkbeveiligingsgroep maken deze gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Naam Voer nsg-1 in.
    Locatie Selecteer VS - oost 2.
  4. Selecteer Controleren + maken.

  5. Selecteer Maken.

Netwerkbeveiligingsgroep koppelen aan subnet

In deze sectie koppelt u de netwerkbeveiligingsgroep aan het subnet van het virtuele netwerk dat u eerder hebt gemaakt.

  1. Voer in het zoekvak boven aan de portal netwerkbeveiligingsgroep in. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

  2. Selecteer nsg-1.

  3. Selecteer Subnetten in de sectie Instellingen van nsg-1.

  4. Selecteer + Koppelen op de pagina Subnetten:

    Screenshot of Associate a network security group to a subnet.

  5. Selecteer onder Subnet koppelen vnet-1 (test-rg) voor virtueel netwerk.

  6. Selecteer subnet-1 voor subnet en selecteer vervolgens OK.

Beveiligingsregels maken

  1. Selecteer Inkomende beveiligingsregels in de sectie Instellingen van nsg-1.

  2. Selecteer + Toevoegen op de pagina Voor binnenkomende beveiligingsregels.

  3. Maak een beveiligingsregel waarmee poorten 80 en 443 worden toegestaan aan de asg-webtoepassingsbeveiligingsgroep . Voer op de pagina Binnenkomende beveiligingsregel toevoegen de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Source Laat de standaardwaarde Any staan.
    Poortbereiken van bron Laat de standaardwaarde (*)staan.
    Doel Selecteer Toepassingsbeveiligingsgroep.
    Doeltoepassingsbeveiligingsgroepen Selecteer asg-web.
    Service Laat de standaardwaarde aangepast staan.
    Poortbereiken van doel Voer 80.443 in.
    Protocol Selecteer TCP.
    Actie Laat de standaardwaarde Toestaan staan.
    Prioriteit Laat de standaardwaarde van 100 staan.
    Naam Voer allow-web-all in.
  4. Selecteer Toevoegen.

  5. Voer de vorige stappen uit met de volgende informatie:

    Instelling Weergegeven als
    Source Laat de standaardwaarde Any staan.
    Poortbereiken van bron Laat de standaardwaarde (*)staan.
    Doel Selecteer Toepassingsbeveiligingsgroep.
    Beveiligingsgroep van doeltoepassing Selecteer asg-mgmt.
    Service Selecteer RDP.
    Actie Laat de standaardwaarde Toestaan staan.
    Prioriteit Laat de standaardwaarde van 110 staan.
    Naam Voer allow-rdp-all in.
  6. Selecteer Toevoegen.

    Let op

    In dit artikel wordt RDP (poort 3389) blootgesteld aan internet voor de VIRTUELE machine die is toegewezen aan de toepassingsbeveiligingsgroep asg-mgmt .

    Voor productieomgevingen, in plaats van poort 3389 beschikbaar te maken voor internet, is het raadzaam verbinding te maken met Azure-resources die u wilt beheren met behulp van een VPN-, privénetwerkverbinding of Azure Bastion.

    Zie Wat is Azure Bastion? voor meer informatie over Azure Bastion.

Virtuele machines maken

Maak twee virtuele machines (VM's) in het virtuele netwerk.

  1. Zoek en selecteer virtuele machines in de portal.

  2. Selecteer + Maken in virtuele machines en vervolgens de virtuele Azure-machine.

  3. Voer in Een virtuele machine maken deze gegevens in of selecteer deze op het tabblad Basisbeginselen:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Virtual machine name Voer vm-1 in.
    Regio Selecteer (VS) VS - oost 2.
    Beschikbaarheidsopties Laat de standaardwaarde geen infrastructuurredundantie vereist.
    Beveiligingstype Selecteer Standaard.
    Image Selecteer Windows Server 2022 Datacenter - x64 Gen2.
    Azure Spot-exemplaar Laat de standaardwaarde uitgeschakeld.
    Tekengrootte Selecteer een grootte.
    Beheerdersaccount
    Username Voer een gebruikersnaam in.
    Wachtwoord Voer een wachtwoord in.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.
    Regels voor binnenkomende poort
    Binnenkomende poorten selecteren Selecteer Geen.
  4. Selecteer Volgende: Schijven en vervolgens Volgende: Netwerken.

  5. Op het tabblad Netwerken de volgende informatie invoeren of selecteren:

    Instelling Weergegeven als
    Netwerkinterface
    Virtueel netwerk Selecteer vnet-1.
    Subnet Selecteer subnet-1 (10.0.0.0/24).
    Openbare IP Laat de standaardwaarde van een nieuw openbaar IP-adres staan.
    NIC-netwerkbeveiligingsgroep Selecteer Geen.
  6. Selecteer het tabblad Beoordelen + maken of selecteer de blauwe knop Beoordelen en maken onder aan de pagina.

  7. Selecteer Maken. Het kan enkele minuten duren voordat de VM is geïmplementeerd.

  8. Herhaal de vorige stappen om een tweede virtuele machine met de naam vm-2 te maken.

Netwerkinterfaces koppelen aan een ASG

Wanneer u de VIRTUELE machines hebt gemaakt, heeft Azure een netwerkinterface voor elke VIRTUELE machine gemaakt en gekoppeld aan de VIRTUELE machine.

Voeg de netwerkinterface van elke VIRTUELE machine toe aan een van de toepassingsbeveiligingsgroepen die u eerder hebt gemaakt:

  1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

  2. Selecteer vm-1.

  3. Selecteer Netwerken in de sectie Instellingen van vm-1.

  4. Selecteer het tabblad Toepassingsbeveiligingsgroepen en selecteer vervolgens De toepassingsbeveiligingsgroepen configureren.

    Screenshot of Configure application security groups.

  5. Selecteer in de vervolgkeuzelijst Toepassingsbeveiligingsgroepen de optie Asg-web in het vervolgkeuzemenu Toepassingsbeveiligingsgroepen en selecteer Opslaan.

  6. Herhaal de vorige stappen voor vm-2 en selecteer asg-mgmt in het vervolgkeuzemenu toepassingsbeveiligingsgroepen .

Verkeersfilters testen

  1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

  2. Selecteer vm-2.

  3. Selecteer op de pagina Overzicht de knop Verbinding maken en selecteer vervolgens Systeemeigen RDP.

  4. Selecteer RDP-bestand downloaden.

  5. Open het gedownloade RDP-bestand en selecteer Verbinding maken. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine.

  6. Selecteer OK.

  7. U ontvangt mogelijk een certificaatwaarschuwing tijdens het verbindingsproces. Als u de waarschuwing ontvangt, selecteert u Ja of Doorgaan om door te gaan met de verbinding.

    De verbinding slaagt, omdat binnenkomend verkeer van internet naar de toepassingsbeveiligingsgroep asg-mgmt is toegestaan via poort 3389.

    De netwerkinterface voor vm-2 is gekoppeld aan de asg-mgmt-toepassingsbeveiligingsgroep en staat de verbinding toe.

  8. Open een PowerShell-sessie op vm-2. Verbinding maken naar vm-1 met behulp van het volgende:

    mstsc /v:vm-1
    

    De RDP-verbinding van vm-2 naar vm-1 slaagt omdat virtuele machines in hetzelfde netwerk standaard met elkaar kunnen communiceren via elke poort.

    U kunt geen RDP-verbinding maken met de virtuele machine vm-1 via internet. De beveiligingsregel voor het asg-web voorkomt dat verbindingen met poort 3389 binnenkomend vanaf internet. Binnenkomend verkeer van internet wordt standaard geweigerd voor alle resources.

  9. Als u Microsoft IIS wilt installeren op de virtuele machine vm-1 , voert u de volgende opdracht in vanuit een PowerShell-sessie op de virtuele machine vm-1 :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  10. Nadat de IIS-installatie is voltooid, verbreekt u de verbinding met de virtuele machine vm-1 , waardoor u zich in de verbinding met extern bureaublad van de virtuele machine van vm-2 bevindt.

  11. Verbreek de verbinding met de vm-2-VM .

  12. Zoek naar vm-1 in het zoekvak van de portal.

  13. Noteer op de pagina Overzicht van vm-1 het openbare IP-adres voor uw VIRTUELE machine. Het adres dat in het volgende voorbeeld wordt weergegeven, is 20.230.55.178. Uw adres is anders:

    Screenshot of Public IP address of a virtual machine in the Overview page.

  14. Als u wilt bevestigen dat u toegang hebt tot de vm-1-webserver vanaf internet, opent u een internetbrowser op uw computer en bladert u naar http://<public-ip-address-from-previous-step>.

U ziet de standaardpagina van IIS, omdat binnenkomend verkeer van internet naar de asg-webtoepassingsbeveiligingsgroep is toegestaan via poort 80.

De netwerkinterface die is gekoppeld voor vm-1 , is gekoppeld aan de beveiligingsgroep van de asg-webtoepassing en staat de verbinding toe.

Resources opschonen

Wanneer u klaar bent met het gebruik van de resources die u hebt gemaakt, kunt u de resourcegroep en alle bijbehorende resources verwijderen:

  1. Zoek en selecteer Resourcegroepen in de Azure-portal.

  2. Selecteer op de pagina Resourcegroepen de resourcegroep test-rg .

  3. Selecteer op de pagina test-rg de optie Resourcegroep verwijderen.

  4. Voer test-rg in Voer de naam van de resourcegroep in om het verwijderen te bevestigen en selecteer vervolgens Verwijderen.

Volgende stappen

In deze zelfstudie hebt u:

  • Er is een netwerkbeveiligingsgroep gemaakt en gekoppeld aan een subnet van een virtueel netwerk.
  • Er zijn toepassingsbeveiligingsgroepen gemaakt voor web en beheer.
  • Er zijn twee virtuele machines gemaakt en de bijbehorende netwerkinterfaces gekoppeld aan de toepassingsbeveiligingsgroepen.
  • De netwerkfiltering van de toepassingsbeveiligingsgroep getest.

Zie Overzicht van netwerkbeveiligingsgroepen en Een beveiligingsgroep beheren voor meer informatie over netwerkbeveiligingsgroepen.

Azure routeert standaard verkeer tussen subnetten. In plaats daarvan kunt u verkeer routeren tussen subnetten via een virtuele machine, die bijvoorbeeld als een firewall fungeert.

Ga verder met de volgende zelfstudie om te leren hoe u een routetabel maakt.