分享方式:


教學課程:使用網路安全組篩選網路流量

您可以使用網路安全性群組在 Azure 虛擬網路中篩選進出 Azure 資源的輸入和輸出網路流量。

網路安全性群組包含可依 IP 位址、連接埠和通訊協定篩選網路流量的安全性規則。 當網路安全性群組與子網路相關聯時,安全性規則會套用至該子網路中部署的資源。

教學課程期間建立的資源圖表。

在本教學課程中,您會了解如何:

  • 建立網路安全性群組和安全性規則
  • 建立應用程式安全性群組
  • 建立虛擬網路,並將網路安全性群組與子網路產生關聯
  • 部署虛擬機器,並將其網路介面與應用程式安全性群組建立關聯

必要條件

下列程序會建立具有資源子網路的虛擬網路。

  1. 在入口網站中,搜尋並選取 [虛擬網路]

  2. 在 [虛擬網路] 頁面上,選取 [+ 建立]。

  3. 在 [建立虛擬網路] 的 [基本] 索引標籤中,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [新建]
    在 [名稱] 中輸入 test-rg
    選取 [確定]。
    [執行個體詳細資料]
    名稱 輸入 vnet-1
    區域 選取 [美國東部 2]

    此螢幕擷取畫面顯示 Azure 入口網站中 [建立虛擬網路] 的 [基本] 索引標籤。

  4. 選取 [下一步],繼續前往 [安全性] 索引標籤。

  5. 選取 [下一步],繼續前往 [IP 位址] 索引標籤。

  6. 在 [子網路] 下的 [位址空間] 方塊中,選取 [預設] 子網路。

  7. 在 [編輯子網路] 窗格中,輸入或選取下列資訊:

    設定
    子網路詳細資料
    子網路範本 將預設值保留為 [Default]
    名稱 輸入 subnet-1
    起始位址 保留預設值 [10.0.0.0]
    子網路大小 保留預設值 /24(256 個位址)

    顯示預設子網路重新命名和設定的螢幕擷取畫面。

  8. 選取 [儲存]。

  9. 選取畫面底部的 [檢閱 + 建立]。 通過驗證之後,選取 [建立]

建立應用程式安全性群組

應用程式安全性群組 (ASG) 可讓您將具有類似功能 (例如 web 伺服器) 的伺服器群組在一起。

  1. 在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組]

  2. 選取 + 建立

  3. 在 [建立應用程式安全性群組] 的 [基本] 索引標籤中,輸入或選取此資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [test-rg]
    [執行個體詳細資料]
    名稱 輸入 asg-web
    區域 選取 [美國東部 2]
  4. 選取 [檢閱 + 建立]。

  5. 選取 + 建立

  6. 重複先前的步驟,指定以下值:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [test-rg]
    [執行個體詳細資料]
    名稱 輸入 asg-mgmt
    區域 選取 [美國東部 2]
  7. 選取 [檢閱 + 建立]。

  8. 選取 建立

建立網路安全性群組

網路安全性群組 (NSG) 可保護虛擬網路中的網路流量。

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 在搜尋結果中選取 [網路安全性群組]

    注意

    網路安全性群組的搜尋結果中,您可能會看到網路安全性群組 (傳統)。 選取 [網路安全性群組]

  2. 選取 + 建立

  3. 在 [建立網路安全性群組] 的 [基本] 索引標籤上,輸入或選取此資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [test-rg]
    [執行個體詳細資料]
    名稱 輸入 nsg-1
    Location 選取 [美國東部 2]
  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

將網路安全性群組關聯至子網路

在本節中,您會將網路安全性群組與您稍早建立的虛擬網路子網路產生關聯。

  1. 在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 在搜尋結果中選取 [網路安全性群組]

  2. 選取 nsg-1

  3. nsg-1 的 [設定] 區段選取 [子網路]

  4. 在 [子網路] 頁面中,選取 [+ 關聯]

    將網路安全性群組與子網路建立關聯的螢幕擷取畫面。

  5. 在 [產生子網路關聯] 底下,針對 [虛擬網路] 選取 vnet-1 (test-rg)

  6. 針對 [子網路] 選取 subnet-1,然後選取 [確定]

建立安全性規則

  1. nsg-1 的 [設定] 區段選取 [輸入安全性規則]

  2. 在 [輸入安全性規則] 頁面中,選取 [+ 新增]

  3. 建立安全性規則,允許連接埠 80 和 443 連至 asg-web 應用程式安全性群組。 在 [新增輸入安全性規則] 中,輸入或選取下列資訊:

    設定
    來源 保留 [任何] 的預設值。
    來源連接埠範圍 保留預設值 (*)
    Destination 選取 [應用程式安全性群組]
    目的地應用程式安全性群組 選取 asg-web
    服務 保留 [自訂] 的預設值。
    目的地連接埠範圍 輸入 [80,443]
    通訊協定 選取 [TCP]。
    動作 保留 [允許] 的預設值。
    優先順序 保留 [100] 的預設值。
    名稱 輸入 allow-web-all
  4. 選取 [新增]。

  5. 使用下列資訊完成先前的步驟:

    設定
    來源 保留 [任何] 的預設值。
    來源連接埠範圍 保留預設值 (*)
    Destination 選取 [應用程式安全性群組]
    目的地應用程式安全性群組 選取 asg-mgmt
    服務 選取 [RDP]
    動作 保留 [允許] 的預設值。
    優先順序 保留 [110] 的預設值。
    名稱 輸入 allow-rdp-all
  6. 選取 [新增]。

警告

在本文中,針對獲指派 asg-mgmt 應用程式安全性群組的 VM,RDP (連接埠 3389) 會對網際網路公開。

針對生產環境,建議您使用 VPN、私人網路連線或 Azure Bastion 來連結至您想要管理的 Azure 資源,而非將連接埠 3389 公開至網際網路。

如需 Azure Bastion 的詳細資訊,請參閱何謂 Azure Bastion?

建立虛擬機器

在虛擬網路中建立兩個虛擬機器 (VM)。

  1. 在入口網站中,搜尋並選取 [虛擬機器]

  2. 在 [虛擬機器] 中,選取 [+ 建立],然後選取 [Azure 虛擬機器]

  3. 在 [建立虛擬機器] 的 [基本] 索引標籤中輸入或選取此資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [test-rg]
    [執行個體詳細資料]
    虛擬機器名稱 輸入 vm-web
    區域 選取 [(美國) 美國東部 2]
    可用性選項 保留預設值 [不需要基礎結構備援]
    安全性類型 選取 [標準]。
    映像 選取 [Windows Server 2022 Datacenter - x64 Gen2]
    Azure Spot 執行個體 保留預設值 [未核取]。
    大小 選取大小。
    系統管理員帳戶
    使用者名稱 輸入使用者名稱。
    密碼 輸入密碼。
    確認密碼 重新輸入密碼。
    輸入連接埠規則
    選取輸入連接埠 選取 [無]。
  4. 選取 [下一步:磁碟],然後選取 [下一步:網路]

  5. 在 [網路] 索引標籤中,輸入或選取以下資訊:

    設定
    網路介面
    虛擬網路 選取 [vnet-1]
    子網路 選取 [subnet-1 (10.0.0.0/24)]
    公用 IP 保留新公用 IP 的預設值。
    NIC 網路安全性群組 選取 [無]。
  6. 選取 [檢閱 + 建立] 索引頁面,或是選取頁面底部的 [檢閱 + 建立] 藍色按鈕。

  7. 選取 建立。 VM 的部署可能需要幾分鐘。

  8. 重複上述步驟,以建立一個名為 vm-mgmt 的第二台虛擬機器。

將網路介面關聯至 ASG

當您建立 VM 時,Azure 已針對每部 VM 建立網路介面,並將之連結到 VM。

將每部 VM 的網路介面新增至其中一個您先前建立的應用程式安全性群組中:

  1. 在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中選取 [虛擬機器],然後選取 [vm-web]

  2. vm-web 的 [網路] 區段中選取 [應用程式安全性群組]

  3. 選取 [新增應用程式安全性群組],然後在 [新增應用程式安全性群組] 索引標籤中,選取 [asg-web]。 最後,選取 [新增]

    設定應用程式安全性群組的螢幕擷取畫面。

  4. 針對 vm-mgmt 重複上述步驟,並在 [新增應用程式安全性群組] 索引標籤中選取 [asg-mgmt]

測試流量篩選

  1. 在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。

  2. 選取 [vm-mgmt]

  3. 在 [概觀] 頁面上,選取 [連線] 按鈕,然後選取 [原生 RDP]

  4. 選取 [下載 RDP 檔案]

  5. 開啟所下載的 RDP 檔案,然後選取 [連線]。 輸入在建立 VM 時所指定的使用者名稱與密碼。

  6. 選取 [確定]。

  7. 您可能會在連線過程中收到憑證警告。 如果您收到警告,請選取 [是] 或 [繼續] 以繼續進行連線。

    連線成功,因為允許透過連接埠 3389 從網際網路至 asg-mgmt 應用程式安全性群組的輸入流量。

    vm-mgmt 的網路介面與 asg-mgmt 應用程式安全性群組相關聯,並允許連線。

  8. vm-mgmt 上開啟 PowerShell 工作階段。使用下列項目來連線到 vm-web

    mstsc /v:vm-web
    

    vm-mgmtvm-web 的 RDP 連線成功,因為相同網路中的虛擬機器預設可透過任何連接埠與彼此通訊。

    您無法從網際網路建立與 vm-web 虛擬機器的 RDP 連線。 asg-web 的安全性規則會防止從網際網路到連接埠 3389 的輸入連線。 預設會拒絕從網際網路到所有資源的輸入流量。

  9. 若要在 vm-web 虛擬機器上安裝 Microsoft IIS,請從 vm-web 虛擬機器的 PowerShell 工作階段輸入下列命令:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  10. 完成 IIS 安裝之後,請將 vm-web 虛擬機器中斷連線,以留在 vm-mgmt 虛擬機器遠端桌面連線中。

  11. vm-mgmt VM 中斷連線。

  12. 在入口網站搜尋方塊中搜尋 vm-web

  13. vm-web 的 [概觀] 頁面上,記下 VM 的 [公用 IP 位址]。 下列範例中顯示的位址是 203.0.113.103。 您的位址不同:

    [概觀] 頁面中虛擬機器公用 IP 位址的螢幕擷取畫面。

  14. 若要確認您可以從網際網路存取 vm-web Web 伺服器,請在電腦上開啟網際網路瀏覽器,並瀏覽至 http://<public-ip-address-from-previous-step>

您會看到 IIS 預設頁面,因為允許透過連接埠 80 從網際網路至 asg-web 應用程式安全性群組的輸入流量。

vm-web 連結的網路介面與 asg-web 應用程式安全性群組相關聯,並允許連線。

當完成了使用您所建立的資源時,您可以刪除資源群組及其所有資源。

  1. 在 Azure 入口網站中,搜尋並選取 [資源群組]。

  2. 在 [資源群組] 頁面上,選取 [test-rg] 資源群組。

  3. 在 [test-rg] 頁面上,選取 [刪除資源群組]

  4. 在 [輸入資源群組名稱以確認刪除] 中輸入 test-rg,然後選取 [刪除]

下一步

在本教學課程中,您已:

  • 您已建立網路安全性群組,並將其關聯至虛擬網路子網路。
  • 已建立於用於 Web 和管理的應用程式安全性群組。
  • 建立兩個虛擬機器,並將其網路介面與應用程式安全性群組產生關聯。
  • 已測試應用程式安全性群組網路篩選。

若要深入了解網路安全性群組,請參閱網路安全性群組概觀管理網路安全性群組

Azure 依預設會路由傳送子網路之間的流量。 您可以改為選擇透過一台 VM (例如充當防火牆) 在子網路之間路由傳送流量。

若想了解如何建立路由表,請移至下一個教學課程。