Tutorial: Filtern des Netzwerkdatenverkehrs mit einer Netzwerksicherheitsgruppe

Sie können eine Netzwerksicherheitsgruppe verwenden, um eingehenden und ausgehenden Netzwerkdatenverkehr von und zu Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern.

Netzwerksicherheitsgruppen enthalten Sicherheitsregeln, die Netzwerkdatenverkehr nach IP-Adresse, Port und Protokoll filtern. Wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist, werden Sicherheitsregeln auf Ressourcen angewendet, die in diesem Subnetz bereitgestellt werden.

Abbildung: Ressourcen, die während des Tutorials erstellt wurden.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen von Netzwerksicherheitsgruppe und Sicherheitsregeln
  • Erstellen von Anwendungssicherheitsgruppen
  • Erstellen eines virtuellen Netzwerks und Zuweisen einer Netzwerksicherheitsgruppe zu einem Subnetz
  • Bereitstellen virtueller Computer und Zuordnen ihrer Netzwerkschnittstellen zu den Anwendungssicherheitsgruppen

Voraussetzungen

Mit dem folgenden Verfahren wird ein virtuelles Netzwerk mit einem Ressourcensubnetz erstellt.

  1. Suchen Sie im Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.

  2. Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.

  3. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie Neu erstellen.
    Geben Sie test-rg für Name ein.
    Wählen Sie OK aus.
    Instanzendetails
    Name Geben Sie vnet-1 ein.
    Region Wählen Sie USA, Osten 2 aus.

    Screenshot der Registerkarte „Grundlagen“ auf der Seite „Virtuelles Netzwerk erstellen“ im Azure-Portal.

  4. Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.

  5. Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.

  6. Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.

  7. Geben Sie im Bereich Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Subnetzdetails
    Subnetzvorlage Behalten Sie die Standardeinstellung als Standard bei.
    Name Geben Sie subnet-1 ein.
    Startadresse Übernehmen Sie den Standardwert 10.0.0.0.
    Subnetzgröße Übernehmen Sie den Standardwert /24 (256 Adressen).

    Screenshot der Umbenennung und Konfiguration des Standardsubnetzes.

  8. Wählen Sie Speichern.

  9. Wählen Sie unten auf dem Bildschirm die Option Überprüfen + erstellen aus. Wenn die Überprüfung erfolgreich war, wählen Sie Erstellen aus.

Erstellen von Anwendungssicherheitsgruppen

Mithilfe einer Anwendungssicherheitsgruppe (ASG) können Sie Server mit ähnlichen Funktionen gruppieren (z. B. Webserver).

  1. Geben Sie im Suchfeld oben im Portal Anwendungssicherheitsgruppe ein. Wählen Sie in den Suchergebnissen Anwendungssicherheitsgruppen aus.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundeinstellungen unter Anwendungssicherheitsgruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie asg-web ein.
    Region Wählen Sie USA, Osten 2 aus.
  4. Klicken Sie auf Überprüfen + erstellen.

  5. Wählen Sie + Erstellen aus.

  6. Wiederholen Sie die vorherigen Schritte, und geben Sie die folgenden Werte an:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie asg-mgmt ein.
    Region Wählen Sie USA, Osten 2 aus.
  7. Klicken Sie auf Überprüfen + erstellen.

  8. Klicken Sie auf Erstellen.

Erstellen einer Netzwerksicherheitsgruppe

Eine Netzwerksicherheitsgruppe (NSG) schützt den Netzwerkdatenverkehr in Ihrem virtuellen Netzwerk.

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

    Hinweis

    In den Suchergebnissen für Netzwerksicherheitsgruppen wird möglicherweise Netzwerksicherheitsgruppen (klassisch) angezeigt. Wählen Sie Netzwerksicherheitsgruppen aus.

  2. Wählen Sie + Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundeinstellungen unter Netzwerksicherheitsgruppe erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Name Geben Sie nsg-1 ein.
    Standort Wählen Sie USA, Osten 2 aus.
  4. Klicken Sie auf Überprüfen + erstellen.

  5. Klicken Sie auf Erstellen.

Zuordnen einer Netzwerksicherheitsgruppe zu einem Subnetz

In diesem Abschnitt ordnen Sie die Netzwerksicherheitsgruppe dem Subnetz des zuvor erstellten virtuellen Netzwerks zu.

  1. Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen ein. Wählen Sie in den Suchergebnissen Netzwerksicherheitsgruppen aus.

  2. Wählen Sie nsg-1 aus.

  3. Wählen Sie Subnetze im Abschnitt Einstellungen von nsg-1 aus.

  4. Klicken Sie auf der Seite Subnetze auf + Zuordnen:

    Screenshot der Zuordnung einer Netzwerksicherheitsgruppe zu einem Subnetz

  5. Wählen Sie unter Subnetz zuordnen die Option vnet-1 (test-rg) für Virtuelles Netzwerk aus.

  6. Wählen Sie subnet-1 als Subnetz aus, und klicken Sie dann auf OK.

Erstellen von Sicherheitsregeln

  1. Wählen Sie im Abschnitt Einstellungen von nsg-1 die Option Eingangssicherheitsregeln aus.

  2. Wählen Sie auf der Seite Eingangssicherheitsregeln die Option + Hinzufügen aus.

  3. Erstellen Sie eine Sicherheitsregel, die für die Anwendungssicherheitsgruppe asg-web die Ports 80 und 443 zulässt. Geben Sie auf der Seite Eingangssicherheitsregel hinzufügen die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    `Source` Übernehmen Sie den Standardwert Beliebig.
    Source port ranges Übernehmen Sie den Standardwert (*).
    Destination Wählen Sie Anwendungssicherheitsgruppe aus.
    Ziel-Anwendungssicherheitsgruppen Wählen Sie asg-web aus.
    Dienst Übernehmen Sie den Standardwert Benutzerdefiniert.
    Zielportbereiche Geben Sie 80,443 ein.
    Protocol Wählen Sie TCP aus.
    Aktion Übernehmen Sie den Standardwert Zulassen.
    Priorität Übernehmen Sie den Standardwert 100.
    Name Geben Sie allow-web-all ein.
  4. Wählen Sie Hinzufügen.

  5. Führen Sie die vorherigen Schritte mit den folgenden Informationen aus:

    Einstellung Wert
    `Source` Übernehmen Sie den Standardwert Beliebig.
    Source port ranges Übernehmen Sie den Standardwert (*).
    Destination Wählen Sie Anwendungssicherheitsgruppe aus.
    Ziel-Anwendungssicherheitsgruppe Wählen Sie asg-mgmt aus.
    Dienst Wählen Sie RDP aus.
    Aktion Übernehmen Sie den Standardwert Zulassen.
    Priorität Übernehmen Sie den Standardwert 110.
    Name Geben Sie allow-rdp-all ein.
  6. Wählen Sie Hinzufügen.

Achtung

In diesem Artikel wird RDP (Port 3389) für die VM, die der Anwendungssicherheitsgruppe asg-mgmt zugewiesen ist, im Internet verfügbar gemacht.

In Produktionsumgebungen empfiehlt es sich, eine VPN-basierte oder private Netzwerkverbindung mit den zu verwaltenden Azure-Ressourcen herzustellen oder Azure Bastion für die Verbindungsherstellung zu verwenden, anstatt den Port 3389 im Internet verfügbar zu machen.

Weitere Informationen zu Azure Bastion finden Sie unter Was ist Azure Bastion?.

Erstellen von virtuellen Computern

Erstellen Sie zwei virtuelle Computer (VMs) im virtuellen Netzwerk.

  1. Suchen Sie im Portal nach Virtuelle Computer, und klicken Sie darauf.

  2. Wählen Sie unter VM die Option + Erstellen und dann Azure-VM aus.

  3. Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie test-rg aus.
    Instanzendetails
    Name des virtuellen Computers Geben Sie vm-web ein.
    Region Wählen Sie (USA) USA, Osten 2 aus.
    Verfügbarkeitsoptionen Übernehmen Sie den Standardwert Keine Infrastrukturredundanz erforderlich.
    Sicherheitstyp Wählen Sie Standard aus.
    Image Wählen Sie Windows Server 2022 Datacenter – x64 Gen2 aus.
    Azure Spot-Instanz Übernehmen Sie die Standardeinstellung (deaktiviert).
    Size Wählen Sie eine Größe aus.
    Administratorkonto
    Username Geben Sie einen Benutzernamen ein.
    Kennwort Geben Sie ein Kennwort ein.
    Kennwort bestätigen Geben Sie das Kennwort erneut ein.
    Regeln für eingehende Ports
    Eingangsports auswählen Wählen Sie Keine.
  4. Wählen Sie Weiter: Datenträger und dann Weiter: Netzwerk aus.

  5. Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein, bzw. wählen Sie sie aus:

    Einstellung Wert
    Netzwerkschnittstelle
    Virtuelles Netzwerk Wählen Sie vnet-1 aus.
    Subnet Wählen Sie Subnetz-1 (10.0.0.0/24) aus.
    Öffentliche IP-Adresse Übernehmen Sie den Standardwert einer neuen öffentlichen IP-Adresse.
    NIC-Netzwerksicherheitsgruppe Wählen Sie Keine.
  6. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.

  7. Klicken Sie auf Erstellen. Die Bereitstellung der VM kann einige Minuten dauern.

  8. Wiederholen Sie die vorherigen Schritte, um eine zweite VM namens vm-mgmt zu erstellen.

Zuordnen von Netzwerkschnittstellen zu einer Anwendungssicherheitsgruppe

Als Sie die VMs erstellt haben, hat Azure eine Netzwerkschnittstelle für jede VM erstellt und an die VM angefügt.

Fügen Sie die Netzwerkschnittstellen der einzelnen virtuellen Computer einer der Anwendungssicherheitsgruppen hinzu, die Sie zuvor erstellt haben:

  1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer und dann vm-web aus.

  2. Wählen Sie im Abschnitt Netzwerk von vm-web die Option Anwendungssicherheitsgruppen aus.

  3. Wählen Sie Anwendungssicherheitsgruppen hinzufügen und dann auf der Registerkarte Anwendungssicherheitsgruppen hinzufügen die Option asg-web aus. Klicken Sie abschließend auf Hinzufügen.

    Screenshot der Konfiguration von Anwendungssicherheitsgruppen

  4. Wiederholen Sie die vorherigen Schritte für vm-mgmt, und wählen Sie auf der Registerkarte Anwendungssicherheitsgruppen hinzufügen die Option asg-mgmt aus.

Testen von Datenverkehrsfiltern

  1. Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.

  2. Wählen Sie vm-mgmt aus.

  3. Wählen Sie auf der Seite Übersicht die Schaltfläche Verbinden und dann natives RDP aus.

  4. Wählen Sie RDP-Datei herunterladen aus.

  5. Öffnen Sie die heruntergeladene RDP-Datei, und wählen Sie Verbinden aus. Geben Sie den Benutzernamen und das Kennwort ein, den/das Sie beim Erstellen des virtuellen Computers angegeben haben.

  6. Wählen Sie OK aus.

  7. Während des Verbindungsprozesses wird unter Umständen eine Zertifikatwarnung angezeigt. Sollte eine Warnung angezeigt werden, wählen Sie Ja bzw. Weiter aus, um mit der Verbindungsherstellung fortzufahren.

    Die Verbindung wird erfolgreich hergestellt, da eingehender Datenverkehr aus dem Internet an die Anwendungssicherheitsgruppe asg-mgmt über Port 3389 zugelassen wird.

    Die Netzwerkschnittstelle für vm-mgmt ist der Anwendungssicherheitsgruppe asg-mgmt zugeordnet und lässt die Verbindung zu.

  8. Öffnen Sie eine PowerShell-Sitzung für vm-mgmt. Stellen Sie wie folgt eine Verbindung mit vm-web her:

    mstsc /v:vm-web
    

    Die RDP-Verbindung zwischen vm-mgmt und vm-web ist erfolgreich, da virtuelle Computer im selben Netzwerk standardmäßig über jeden Port miteinander kommunizieren können.

    Es ist nicht möglich, über das Internet eine RDP-Verbindung mit dem virtuellen Computer vm-web herzustellen. Die Sicherheitsregel für asg-web verhindert eingehende Verbindungen aus dem Internet an Port 3389. Eingehender Datenverkehr aus dem Internet wird standardmäßig für alle Ressourcen verweigert.

  9. Geben Sie den folgenden Befehl über eine PowerShell-Sitzung auf dem virtuellen Computer vm-web ein, um Microsoft IIS auf dem virtuellen Computer vm-web zu installieren:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  10. Trennen Sie nach Abschluss der IIS-Installation die Verbindung mit dem virtuellen Computer vm-web. Dadurch befinden Sie sich in der Remotedesktopverbindung des virtuellen Computers vm-mgmt.

  11. Trennen Sie die Verbindung mit der VM vm-mgmt.

  12. Suchen Sie über das Suchfeld des Portals nach vm-web.

  13. Notieren Sie sich auf der Seite Übersicht unter vm-web die Angabe für Öffentliche IP-Adresse für Ihre VM. Die im folgenden Beispiel gezeigte Adresse lautet 203.0.113.103. Ihre Adresse unterscheidet sich:

    Screenshot der öffentlichen IP-Adresse einer VM auf der Übersichtsseite

  14. Navigieren Sie auf Ihrem Computer in einem Internetbrowser zu http://<public-ip-address-from-previous-step>, um sich zu vergewissern, dass Sie vom Internet aus auf den Webserver vm-web zugreifen können.

Die IIS-Standardseite wird angezeigt, da eingehender Datenverkehr aus dem Internet an die Anwendungssicherheitsgruppe asg-web über Port 80 zugelassen wird.

Die für vm-web angefügte Netzwerkschnittstelle ist der Anwendungssicherheitsgruppe asg-web zugeordnet und lässt die Verbindung zu.

Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen.

  1. Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.

  2. Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.

  3. Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.

  4. Geben Sie test-rg unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen und wählen Sie dann Löschen aus.

Nächste Schritte

In diesem Tutorial haben Sie:

  • eine Netzwerksicherheitsgruppe erstellt und dem Subnetz eines virtuellen Netzwerks zugeordnet.
  • Anwendungssicherheitsgruppen für das Web und die Verwaltung erstellt.
  • zwei virtueller Computer erstellt und ihre Netzwerkschnittstellen den Anwendungssicherheitsgruppen zugeordnet.
  • die Netzwerkfilterung der Anwendungssicherheitsgruppe getestet.

Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen – Übersicht sowie unter Verwalten einer Netzwerksicherheitsgruppe.

Azure leitet standardmäßig Datenverkehr zwischen Subnetzen weiter. Sie können Datenverkehr zwischen Subnetzen aber beispielsweise auch über einen virtuellen Computer weiterleiten, der als Firewall fungiert.

Im nächsten Tutorial erfahren Sie, wie Sie eine Routingtabelle erstellen.