Självstudie: Filtrera nätverkstrafik med en nätverkssäkerhetsgrupp med hjälp av Azure Portal

Du kan använda en nätverkssäkerhetsgrupp för att filtrera inkommande och utgående nätverkstrafik till och från Azure-resurser i ett virtuellt Azure-nätverk.

Nätverkssäkerhetsgrupper innehåller säkerhetsregler som filtrerar nätverkstrafik efter IP-adress, port och protokoll. När en nätverkssäkerhetsgrupp är associerad med ett undernät tillämpas säkerhetsregler på resurser som distribueras i det undernätet.

I den här guiden får du lära dig att:

  • Skapa en nätverkssäkerhetsgrupp och säkerhetsregler
  • Skapa programsäkerhetsgrupper
  • Skapa ett virtuellt nätverk och associera en nätverkssäkerhetsgrupp med ett undernät
  • Distribuera virtuella datorer och associera deras nätverksgränssnitt med programsäkerhetsgrupperna
  • Testa trafikfilter

Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Förutsättningar

  • En Azure-prenumeration

Logga in på Azure

Logga in på Azure-portalen.

Skapa ett virtuellt nätverk

  1. På menyn Azure Portal väljer du + Skapa en resurs>Nätverk Virtuellt>nätverk eller söker efter Virtual Network i sökrutan i portalen.

  2. Välj Skapa.

  3. På fliken Grunder i Skapa virtuellt nätverk anger eller väljer du den här informationen:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj Skapa ny.
    Ange myResourceGroup.
    Välj OK.
    Instansinformation
    Name Ange myVNet.
    Region Välj USA, östra.
  4. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  5. Välj Skapa.

Skapa programsäkerhetsgrupper

Med en programsäkerhetsgrupp (ASG: er) kan du gruppera servrar med liknande funktioner, till exempel webbservrar.

  1. På menyn Azure Portal väljer du + Skapa en resurs>Nätverksprogramsäkerhetsgrupp> eller söker efter Programsäkerhetsgrupp i portalens sökruta.

  2. Välj Skapa.

  3. På fliken Grundläggande i Skapa en programsäkerhetsgrupp anger eller väljer du den här informationen:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Name Ange myAsgWebServers.
    Region Välj (USA) USA, östra.
  4. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  5. Välj Skapa.

  6. Upprepa föregående steg och ange följande värden:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Name Ange myAsgMgmtServers.
    Region Välj (USA) USA, östra.
  7. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  8. Välj Skapa.

Skapa en nätverkssäkerhetsgrupp

En nätverkssäkerhetsgrupp (NSG) skyddar nätverkstrafik i ditt virtuella nätverk.

  1. På menyn Azure Portal väljer du + Skapa en resurs>Nätverkssäkerhetsgrupp> eller söker efter Nätverkssäkerhetsgrupp i portalens sökruta.

  2. Välj Skapa.

  3. På fliken Grundläggande i Skapa nätverkssäkerhetsgrupp anger eller väljer du den här informationen:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Name Ange myNSG.
    Location Välj (USA) USA, östra.
  4. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  5. Välj Skapa.

Associera nätverkssäkerhetsgrupp till undernät

I det här avsnittet associerar du nätverkssäkerhetsgruppen med undernätet för det virtuella nätverk som du skapade tidigare.

  1. Sök efter myNsg i portalens sökruta.

  2. Välj Undernät i avsnittet Inställningari myNSG.

  3. På sidan Undernät väljer du + Associera:

    Skärmbild av Associera en nätverkssäkerhetsgrupp till ett undernät.

  4. Under Associera undernät väljer du myVNet för Virtuellt nätverk.

  5. Välj standard för Undernät och välj sedan OK.

Skapa säkerhetsregler

  1. Välj Inkommande säkerhetsregler i avsnittet Inställningari myNSG.

  2. På sidan Inkommande säkerhetsregler väljer du + Lägg till:

    Skärmbild av inkommande säkerhetsregler i en nätverkssäkerhetsgrupp.

  3. Skapa en säkerhetsregel som tillåter portarna 80 och 443 till programsäkerhetsgruppen myAsgWebServers. På sidan Lägg till inkommande säkerhetsregel anger eller väljer du den här informationen:

    Inställning Värde
    Källa Låt standardvärdet Alla vara kvar.
    Källportintervall Låt standardvärdet (*)vara kvar.
    Mål Välj Programsäkerhetsgrupp.
    Målprogramsäkerhetsgrupper Välj myAsgWebServers.
    Tjänst Låt standardvärdet Anpassad vara kvar.
    Målportintervall Ange 80 443.
    Protokoll Välj TCP.
    Åtgärd Låt standardvärdet Tillåt vara kvar.
    Prioritet Låt standardvärdet vara 100.
    Name Ange Allow-Web-All.

    Skärmbild av Lägg till inkommande säkerhetsregel i en nätverkssäkerhetsgrupp.

  4. Välj Lägg till.

  5. Slutför steg 3–4 igen med hjälp av den här informationen:

    Inställning Värde
    Källa Låt standardvärdet Alla vara kvar.
    Källportintervall Låt standardvärdet (*)vara kvar.
    Mål Välj Programsäkerhetsgrupp.
    Målprogramsäkerhetsgrupp Välj myAsgMgmtServers.
    Tjänst Låt standardvärdet Anpassad vara kvar.
    Målportintervall Ange 3389.
    Protokoll Välj Valfri.
    Åtgärd Låt standardvärdet Tillåt vara kvar.
    Prioritet Låt standardvärdet vara 110.
    Name Ange Allow-RDP-All.
  6. Välj Lägg till.

    Varning

    I den här artikeln exponeras RDP (port 3389) på Internet för den virtuella dator som har tilldelats programsäkerhetsgruppen myAsgMgmtServers .

    I produktionsmiljöer rekommenderar vi att du ansluter till Azure-resurser som du vill hantera med hjälp av vpn, privat nätverksanslutning eller Azure Bastion i stället för att exponera port 3389 för Internet.

    Mer information om Azure Bastion finns i Vad är Azure Bastion?.

När du har slutfört steg 1–3 granskar du de regler som du skapat. Listan bör se ut som listan i följande exempel:

Skärmbild av säkerhetsregler för en nätverkssäkerhetsgrupp.

Skapa virtuella datorer

Skapa två virtuella datorer i det virtuella nätverket.

Skapa din första virtuella dator

  1. På Azure Portal-menyn väljer du + Skapa en virtuell datorförberäkning> av resurs> eller söker efter Virtuell dator i portalens sökruta.

  2. I Skapa en virtuell dator anger eller väljer du den här informationen på fliken Grundläggande inställningar:

    Inställning Värde
    Projektinformation
    Prenumeration Välj din prenumeration.
    Resursgrupp Välj myResourceGroup.
    Instansinformation
    Namn på virtuell dator Ange myVMWeb.
    Region Välj (USA) USA, östra.
    Alternativ för tillgänglighet Lämna standardvärdet Ingen infrastrukturredundans krävs.
    Säkerhetstyp Lämna standardvärdet Standard.
    Bild Välj Windows Server 2019 Datacenter – Gen2.
    Azure Spot-instans Låt standardvärdet vara avmarkerat.
    Storlek Välj Standard_D2s_V3.
    Administratörskonto
    Användarnamn Ange ett användarnamn.
    Lösenord Ange ett lösenord.
    Bekräfta lösenordet Ange lösenordet igen.
    Regler för inkommande portar
    Välj inkommande portar Välj Ingen.
  3. Välj fliken Nätverk.

  4. På fliken Nätverk anger eller väljer du följande information:

    Inställning Värde
    Nätverksgränssnitt
    Virtuellt nätverk Välj myVNet.
    Undernät Välj standard (10.0.0.0/24).
    Offentlig IP-adress Lämna standardvärdet för en ny offentlig IP-adress.
    Nätverkssäkerhetsgrupp för nätverkskort Välj Ingen.
  5. Välj fliken Granska + skapa eller välj den blå knappen Granska + skapa längst ned på sidan.

  6. Välj Skapa. Det kan ta några minuter att distribuera den virtuella datorn.

Skapa den andra virtuella datorn

Slutför steg 1–6 igen, men i steg 2 anger du myVMMgmt som Namn på virtuell dator.

Vänta tills de virtuella datorerna har slutfört distributionen innan du går vidare till nästa avsnitt.

Koppla nätverksgränssnitt till en ASG

När du skapade de virtuella datorerna skapade Azure ett nätverksgränssnitt för varje virtuell dator och kopplade det till den virtuella datorn.

Lägg till nätverksgränssnittet för varje virtuell dator i någon av de programsäkerhetsgrupper som du skapade tidigare:

  1. Sök efter myVMWeb i portalens sökruta.

  2. Välj Nätverk i avsnittet Inställningar på den virtuella datorn myVMWeb .

  3. Välj fliken Programsäkerhetsgrupper och välj sedan Konfigurera programsäkerhetsgrupper.

    Skärmbild av Konfigurera programsäkerhetsgrupper.

  4. I Konfigurera programsäkerhetsgrupper väljer du myAsgWebServers. Välj Spara.

    Skärmbild som visar hur du associerar programsäkerhetsgrupper med ett nätverksgränssnitt.

  5. Slutför steg 1 och 2 igen, sök efter den virtuella datorn myVMMgmt och välj ASG:en myAsgMgmtServers .

Testa trafikfilter

  1. Sök efter myVMMgmt i portalens sökruta.

  2. På sidan Översikt väljer du knappen Anslut och sedan RDP.

  3. Välj Hämta RDP-fil.

  4. Öppna den nedladdade rdp-filen och välj Anslut. Ange det användarnamn och lösenord som du angav när du skapade den virtuella datorn.

  5. Välj OK.

  6. Du kan få en certifikatvarning under anslutningsprocessen. Om du får varningen väljer du Ja eller Fortsätt för att fortsätta med anslutningen.

    Anslutningen lyckas eftersom inkommande trafik från Internet till programsäkerhetsgruppen myAsgMgmtServers tillåts via port 3389.

    Nätverksgränssnittet för myVMMgmt är associerat med programsäkerhetsgruppen myAsgMgmtServers och tillåter anslutningen.

  7. Öppna en PowerShell-session på myVMMgmt. Anslut till myVMWeb med följande:

    mstsc /v:myVmWeb
    

    RDP-anslutningen från myVMMgmt till myVMWeb lyckas eftersom virtuella datorer i samma nätverk kan kommunicera med varandra via valfri port som standard.

    Du kan inte skapa en RDP-anslutning till den virtuella datorn myVMWeb från Internet. Säkerhetsregeln för myAsgWebServers förhindrar anslutningar till port 3389 inkommande från Internet. Inkommande trafik från Internet nekas till alla resurser som standard.

  8. Om du vill installera Microsoft IIS på den virtuella datorn myVMWeb anger du följande kommando från en PowerShell-session på den virtuella datorn myVMWeb :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  9. När IIS-installationen är klar kopplar du från den virtuella datorn myVMWeb , vilket lämnar dig i den virtuella datorn myVMMgmt fjärrskrivbordsanslutning.

  10. Koppla från den virtuella datorn myVMMgmt .

  11. Sök efter myVMWeb i portalens sökruta.

  12. På sidan Översikt i myVMWeb noterar du den offentliga IP-adressen för den virtuella datorn. Adressen som visas i följande exempel är 23.96.39.113, men din adress är annorlunda:

    Skärmbild av offentlig IP-adress för en virtuell dator på sidan Översikt.

  13. Bekräfta att du kan komma åt webbservern myVMWeb från Internet genom att öppna en webbläsare på datorn och bläddra till http://<public-ip-address-from-previous-step>.

Du ser IIS-standardsidan eftersom inkommande trafik från Internet till programsäkerhetsgruppen myAsgWebServers tillåts via port 80.

Nätverksgränssnittet som är kopplat till myVMWeb är associerat med programsäkerhetsgruppen myAsgWebServers och tillåter anslutningen.

Rensa resurser

Ta bort resursgruppen, skalningsuppsättningen och alla resurser som den innehåller:

  1. Skriv myResourceGroup i sökrutan överst i portalen. När du ser myResourceGroup i sökresultatet väljer du den.
  2. Välj Ta bort resursgrupp.
  3. Skriv myResourceGroup i SKRIV RESURSGRUPPSNAMNET: och välj Ta bort.

Nästa steg

I den här kursen får du:

  • Skapade en nätverkssäkerhetsgrupp och kopplade den till ett virtuellt nätverksundernät.
  • Skapade programsäkerhetsgrupper för webb och hantering.
  • Två virtuella datorer skapades och deras nätverksgränssnitt kopplades till programsäkerhetsgrupperna.
  • Testade nätverksfiltreringen för programsäkerhetsgruppen.

Mer information om nätverkssäkerhetsgrupper finns i Översikt över nätverkssäkerhetsgrupper och Hantera en nätverkssäkerhetsgrupp.

Azure dirigerar som standard trafik mellan undernät. Du kan i stället välja att exempelvis dirigera trafik mellan undernät via en virtuell dator, som fungerar som en brandvägg.

Gå vidare till nästa självstudie om du vill veta hur du skapar en routningstabell.