教學課程:使用 Azure 入口網站透過網路安全性群組篩選網路流量
您可以使用網路安全性群組在 Azure 虛擬網路中篩選進出 Azure 資源的輸入和輸出網路流量。
網路安全性群組包含可依 IP 位址、連接埠和通訊協定篩選網路流量的安全性規則。 當網路安全性群組與子網路相關聯時,安全性規則會套用至該子網路中部署的資源。
在本教學課程中,您會了解如何:
- 建立網路安全性群組和安全性規則
- 建立應用程式安全性群組
- 建立虛擬網路,並將網路安全性群組與子網路產生關聯
- 部署虛擬機器,並將其網路介面與應用程式安全性群組建立關聯
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 您可以免費建立帳戶。
登入 Azure
登入 Azure 入口網站。
建立虛擬網路
下列程序會建立具有資源子網路的虛擬網路。
在入口網站中,搜尋並選取 [虛擬網路]。
在 [虛擬網路] 頁面上,選取 [+ 建立]。
在 [建立虛擬網路] 的 [基本] 索引標籤中,輸入或選取下列資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [新建]
在 [名稱] 中輸入 test-rg。
選取 [確定]。[執行個體詳細資料] 名稱 輸入 vnet-1。 區域 選取 [美國東部 2]。 選取 [下一步],繼續前往 [安全性] 索引標籤。
選取 [下一步],繼續前往 [IP 位址] 索引標籤。
在 [子網路] 的 [位址空間] 方塊中,選取 [預設] 子網路。
在 [編輯子網路] 中,輸入或選取下列資訊:
設定 值 子網路詳細資料 子網路範本 保留預設值 [Default]。 名稱 輸入 subnet-1。 起始位址 保留預設值 [10.0.0.0]。 子網路大小 保留預設值 /24(256 個位址)。 選取 [儲存]。
選取畫面底部的 [檢閱 + 建立],然後在驗證通過時,選取 [建立]。
建立應用程式安全性群組
應用程式安全性群組 (ASG) 可讓您將具有類似功能 (例如 web 伺服器) 的伺服器群組在一起。
在入口網站頂端的搜尋方塊中,輸入應用程式安全性群組。 在搜尋結果中選取 [應用程式安全性群組]。
選取 + 建立。
在 [建立應用程式安全性群組] 的 [基本] 索引標籤中,輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 名稱 輸入 asg-web。 區域 選取 [美國東部 2]。 選取 [檢閱 + 建立]。
選取 + 建立。
重複先前的步驟,指定以下值:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 名稱 輸入 asg-mgmt。 區域 選取 [美國東部 2]。 選取 [檢閱 + 建立]。
選取 建立。
建立網路安全性群組
網路安全性群組 (NSG) 可保護虛擬網路中的網路流量。
在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 在搜尋結果中選取 [網路安全性群組]。
注意
在網路安全性群組的搜尋結果中,您可能會看到網路安全性群組 (傳統)。 選取 [網路安全性群組]。
選取 + 建立。
在 [建立網路安全性群組] 的 [基本] 索引標籤上,輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 名稱 輸入 nsg-1。 Location 選取 [美國東部 2]。 選取 [檢閱 + 建立]。
選取 建立。
將網路安全性群組關聯至子網路
在本節中,您會將網路安全性群組與您稍早建立的虛擬網路子網路產生關聯。
在入口網站頂端的搜尋方塊中,輸入網路安全性群組。 在搜尋結果中選取 [網路安全性群組]。
選取 nsg-1。
從 nsg-1 的 [設定] 區段選取 [子網路]。
在 [子網路] 頁面中,選取 [+ 關聯]:
在 [產生子網路關聯] 底下,針對 [虛擬網路] 選取 vnet-1 (test-rg)。
針對 [子網路] 選取 subnet-1,然後選取 [確定]。
建立安全性規則
從 nsg-1 的 [設定] 區段選取 [輸入安全性規則]。
在 [輸入安全性規則] 頁面中,選取 [+ 新增]。
建立安全性規則,允許連接埠 80 和 443 連至 asg-web 應用程式安全性群組。 在 [新增輸入安全性規則] 中,輸入或選取下列資訊:
設定 值 來源 保留 [任何] 的預設值。 來源連接埠範圍 保留預設值 (*)。 Destination 選取 [應用程式安全性群組]。 目的地應用程式安全性群組 選取 asg-web。 服務 保留 [自訂] 的預設值。 目的地連接埠範圍 輸入 [80,443]。 通訊協定 選取 [TCP]。 動作 保留 [允許] 的預設值。 優先順序 保留 [100] 的預設值。 名稱 輸入 allow-web-all。 選取 [新增]。
使用下列資訊完成先前的步驟:
設定 值 來源 保留 [任何] 的預設值。 來源連接埠範圍 保留預設值 (*)。 Destination 選取 [應用程式安全性群組]。 目的地應用程式安全性群組 選取 asg-mgmt。 服務 選取 [RDP]。 動作 保留 [允許] 的預設值。 優先順序 保留 [110] 的預設值。 名稱 輸入 allow-rdp-all。 選取 [新增]。
警告
在本文中,針對獲指派 asg-mgmt 應用程式安全性群組的 VM,RDP (連接埠 3389) 會對網際網路公開。
針對生產環境,建議您使用 VPN、私人網路連線或 Azure Bastion 來連結至您想要管理的 Azure 資源,而非將連接埠 3389 公開至網際網路。
如需 Azure Bastion 的詳細資訊,請參閱何謂 Azure Bastion?。
建立虛擬機器
在虛擬網路中建立兩個虛擬機器 (VM)。
在入口網站中,搜尋並選取 [虛擬機器]。
在 [虛擬機器] 中,選取 [+ 建立],然後選取 [Azure 虛擬機器]。
在 [建立虛擬機器] 的 [基本] 索引標籤中輸入或選取此資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 虛擬機器名稱 輸入 vm-1。 區域 選取 [(美國) 美國東部 2]。 可用性選項 保留預設值 [不需要基礎結構備援]。 安全性類型 選取 [標準]。 映像 選取 [Windows Server 2022 Datacenter - x64 Gen2]。 Azure Spot 執行個體 保留預設值 [未核取]。 大小 選取大小。 系統管理員帳戶 使用者名稱 輸入使用者名稱。 密碼 輸入密碼。 確認密碼 重新輸入密碼。 輸入連接埠規則 選取輸入連接埠 選取 [無]。 選取 [下一步:磁碟],然後選取 [下一步:網路]。
在 [網路] 索引標籤中,輸入或選取以下資訊:
設定 值 網路介面 虛擬網路 選取 [vnet-1]。 子網路 選取 [subnet-1 (10.0.0.0/24)]。 公用 IP 保留新公用 IP 的預設值。 NIC 網路安全性群組 選取 [無]。 選取 [檢閱 + 建立] 索引頁面,或是選取頁面底部的 [檢閱 + 建立] 藍色按鈕。
選取 建立。 VM 可能需要幾分鐘的時間部署。
重複上述步驟,以建立名為 vm-2 的第二個虛擬機器。
將網路介面關聯至 ASG
當您建立 VM 時,Azure 已針對每部 VM 建立網路介面,並將之連結到 VM。
將每部 VM 的網路介面新增至其中一個您先前建立的應用程式安全性群組中:
在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中選取 [虛擬機器],然後選取 [vm-1]。
從 vm-1 的 [網路] 區段中選取 [應用程式安全性群組]。
選取 [新增應用程式安全性群組],然後在 [新增應用程式安全性群組] 索引標籤中,選取 [asg-web]。 最後,選取 [新增]。
針對 vm-2 重複上述步驟,並在 [新增應用程式安全性群組] 索引標籤中選取 [asg-mgmt]。
測試流量篩選
在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。
選取 vm-2。
在 [概觀] 頁面上,選取 [連線] 按鈕,然後選取 [原生 RDP]。
選取 [下載 RDP 檔案]。
開啟所下載的 RDP 檔案,然後選取 [連線]。 輸入在建立 VM 時所指定的使用者名稱與密碼。
選取 [確定]。
您可能會在連線程序期間收到憑證警告。 如果您收到警告,請選取 [是] 或 [繼續] 以繼續進行連線。
連線成功,因為允許透過連接埠 3389 從網際網路至 asg-mgmt 應用程式安全性群組的輸入流量。
vm-2 的網路介面與 asg-mgmt 應用程式安全性群組相關聯,並允許連線。
在 vm-2 上開啟 PowerShell 工作階段。 使用下列項目連線至 vm-1:
mstsc /v:vm-1
從 vm-2 到 vm-1 的 RDP 連線成功,因為相同網路中的虛擬機器預設可透過任何連接埠與彼此通訊。
您無法從網際網路建立與 vm-1 虛擬機器的 RDP 連線。 asg-web 的安全性規則會防止從網際網路到連接埠 3389 的輸入連線。 預設會拒絕從網際網路到所有資源的輸入流量。
若要在 vm-1 虛擬機器上安裝 Microsoft IIS,請從 vm-1 虛擬機器的 PowerShell 工作階段輸入下列命令:
Install-WindowsFeature -name Web-Server -IncludeManagementTools
完成 IIS 安裝之後,請將 vm-1 虛擬機器中斷連線,以留在 vm-2 虛擬機器遠端桌面連線中。
從 vm-2 VM 中斷連線。
在入口網站搜尋方塊中搜尋 vm-1。
在 vm-1 的 [概觀] 頁面上,記下 VM 的 [公用 IP 位址]。 下列範例中所示的位址是 20.230.55.178,但您的位址不同:
若要確認您可以從網際網路存取 vm-1 Web 伺服器,請在電腦上開啟網際網路瀏覽器,並瀏覽至
http://<public-ip-address-from-previous-step>
。
您會看到 IIS 預設頁面,因為允許透過連接埠 80 從網際網路至 asg-web 應用程式安全性群組的輸入流量。
vm-1 連結的網路介面與 asg-web 應用程式安全性群組相關聯,並允許連線。
清除資源
使用完已建立的資源後,您可以刪除資源群組及其所有資源:
在 Azure 入口網站中,搜尋並選取 [資源群組]。
在 [資源群組] 頁面上,選取 [test-rg] 資源群組。
在 [test-rg] 頁面上,選取 [刪除資源群組]。
在 [輸入資源群組名稱以確認刪除] 中輸入 test-rg,然後選取 [刪除]。
下一步
在本教學課程中,您已:
- 您已建立網路安全性群組,並將其關聯至虛擬網路子網路。
- 已建立於用於 Web 和管理的應用程式安全性群組。
- 建立兩個虛擬機器,並將其網路介面與應用程式安全性群組產生關聯。
- 已測試應用程式安全性群組網路篩選。
若要深入了解網路安全性群組,請參閱網路安全性群組概觀和管理網路安全性群組。
Azure 依預設會路由傳送子網路之間的流量。 您可以改採其他方式,例如,透過作為防火牆的 VM 路由傳送子網路之間的流量。
若想了解如何建立路由表,請移至下一個教學課程。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應