实验室:探索 Azure 网络安全组 (NSG)

此实验室与下列 Learn 内容保持一致:

  • 学习路径:描述 Microsoft 安全解决方案的功能
  • 模块:描述 Azure 中的基本安全功能
  • 单元:描述 Azure 网络安全组

实验室场景

在本实验室中,你将探索 Azure 中网络安全组的功能。 探索方法是创建一个网络安全组 (NSG),并将 NSG 分配到预先存在的虚拟机 (VM) 的接口。 配置后,观察默认入站和出站规则,创建新规则,并测试这些规则。 本实验室已为你创建用于 NSG 的 VM,因此请先查看与该 VM 关联的一些信息。

估计时间:30 分钟

任务 1

在此任务中,你将查看与为此实验室创建的 VM 关联的一些参数。

  1. 打开 Microsoft Edge。 在地址栏中输入https://portal.azure.com

  2. 使用管理员凭据登录。
    1. 在“登录”窗口中,输入实验室托管提供商提供的用户名,然后选择“下一步”。
    2. 输入管理员密码,该密码应由实验室托管提供商提供。 选择“登录”。
    3. 如果之前登录过,系统可能会提示你完成辅助身份验证,作为 MFA 的一部分。 如果之前未登录过,系统可能会提示你完成 MFA 注册过程。按照屏幕上的提示设置 MFA。
    4. 如果系统提示保持登录状态,请选择“是”**

  3. 在页面顶部显示 Azure 服务的位置下方,选择“虚拟机”**。 如果未列出,则在页面顶部蓝色栏中的搜索框(显示 Microsoft Azure 的位置旁边)中,输入“虚拟机”,然后在搜索结果中选择“虚拟机”**

  4. 在“虚拟机”页中选择列出的 VM“SC900-WinVM”**

  5. 现在位于“SC900-WinVM”页面。 注意虚拟机的一些基本信息。

  6. 从左侧导航面板,展开“网络”,然后选择“网络设置”。 主窗口的基本部分显示 VM 的网络接口。 请注意,网络安全组旁边没有列出任何内容,因为没有分配给接口的 NSG。

  7. 将此标签页保持打开状态。

任务 2

在此任务中,你将创建网络安全组,将 VM 的网络接口分配给该 NSG,并为 RDP 流量创建新的入站规则。

  1. 从打开的“Azure”标签页中,右键单击页面顶部的“主页”链接,然后选择“在新标签页中打开链接”,打开另一个页面访问 Azure 服务****

  2. 在页面顶部的蓝色搜索栏中输入网络安全组,然后从搜索结果中选择网络安全组。 不要选择网络安全组(经典)

  3. 在页面中心,选择标记为“创建网络安全组”的蓝色按钮**。 或者,可以从“网络安全组”页面顶部选择“+ 创建”**。

  4. 在创建网络安全组页面的基本选项卡上,指定以下设置:
    1. 订阅:保留默认值(这是授权实验室主机托管服务提供商提供的 Azure 订阅)
    2. 资源组:LabsSC900
    3. 名称:NSG-SC900
    4. 区域:保留默认值。
    5. 依次选择“查看 + 创建”、“创建”。

  5. 部署完成后,选择“转到资源”。

  6. 应位于新创建的 NSG 的概述页面上。 如果没有,则从左侧导航面板中选择“概述”**。 在页面顶部显示“概要”的位置下方,你将看到有关创建的 NSG 的一些基本信息。 需要注意的两点是,没有自定义安全规则,也没有与此 NSG 关联的子网和网络接口。 尽管没有自定义安全规则,但每个 NSG 都包含默认的入站和出站规则,如页面上所示。 查看入站和出站规则。 默认入站规则拒绝所有不来自虚拟网络或 Azure 负载均衡器的入站流量。 出站规则拒绝除虚拟网络之间的流量和发到 Internet 的出站流量之外的所有出站流量。

  7. 在“NSG-SC900”页面的左侧导航窗格中,展开“设置”,然后选择“网络接口”。
    1. 选择“关联”。
    2. 在网络接口关联的字段中,依次选择向下箭头、“sc900-winvmXXX”,然后在窗口底部选择“OK”。 一旦接口与 NSG 关联,它就会显示在列表中。 NSG 现在已分配给 VM 的网络接口。

  8. 切换回浏览器上的“SC900-WinVM - Microsoft Azure”选项卡。 刷新该页面。 在显示网络安全组的位置旁边,现在应看到刚刚创建的 NSG 的名称。 如果仍然看不到,请再等待一分钟,然后再次刷新页面。

  9. 从左侧导航面板中选择“连接”**。 在主窗口中,在显示端口号 3389 的位置旁边,选择“检查访问权限”**。 “检查访问权限”功能将信号(流量)发送到 VM 的默认 RDP 端口 3389,以检查它是否可访问。 该过程可能需要一分钟,但你会看到“无法访问”。 这在意料之中,因为 DenyAllInBound NSG 规则拒绝发到 VM 的所有入站流量。

  10. 切换回浏览器上的“NSG-SC900 - Microsoft Azure”标签页**

  11. 从左侧导航窗格中,选择“入站安全策略”。 默认入站规则拒绝所有不来自虚拟网络或 Azure 负载均衡器的入站流量,因此需要设置规则以允许入站 RDP 流量(端口 3389 上的流量)。 回想一下,你不能删除默认规则,但可通过创建优先级更高的规则来替代默认规则。

  12. 在页面顶部选择“添加”。 在“添加入站安全规则”窗口上,指定以下设置:
    1. 来源:任何
    2. 源端口范围:*
    3. 目的地:任何
    4. 服务:RDP
    5. 操作:允许
    6. 优先级:1000**。 数字较小的规则优先级较高,会优先处理。
    7. 名称:保留默认名称或创建自己的描述性名称。
    8. 请注意页面底部的警告标志。 我们仅将 RDP 用于测试目的和演示 NSG 的功能。
    9. 选择“添加

  13. 预配规则后,它将显示在入站规则列表中(可能需要刷新屏幕)。

  14. 请将此浏览器选项卡保持打开状态。

任务 3

在此任务中,你将测试新创建的入站 NSG 规则,以确认是否能与 VM 建立远程桌面 (RDP) 连接。 进入 VM 后,你将检查从 VM 到 Internet 的出站连接。

  1. 在浏览器上打开 SC900-WinVM - Microsoft Azure 标签。

  2. 从左侧导航面板选择连接

  3. 选择检查访问(验证端口是否设置为 3389)。 状态应显示为可访问。 如果仍然看到“无法访问”,请刷新页面并重试,可能需要几分钟时间,检查访问选项才会看到新的入站规则。

  4. 现在点击本地 RDP框中的选择,直接连接到虚拟机。

    1. 在打开的本地 RDP 窗口中,选择下载 RDP 文件
    2. 如果出现下载警告,请选择保留,然后在弹出的窗口中选择打开文件
    3. 此时会打开“远程桌面连接”窗口,选择“连接”。
    4. 系统将提示输入凭据。 输入虚拟机的用户名和密码(请参阅实验指导面板上的资源选项卡)。
    5. 此时会打开一个远程桌面连接窗口:无法验证远程计算机的身份。 您还想连接吗? 选择

  5. 现在已连接到 VM。 在这种情况下,您可以连接到虚拟机,因为您创建的入站流量规则允许通过 RDP 向虚拟机输入流量。 几秒钟后,在欢迎屏幕上可能会出现为您的设备选择隐私设置窗口,请选择接受。 如果出现网络窗口,请选择

  6. RDP 会话中的虚拟机已启动并运行,请测试从虚拟机到互联网的出站连接。
    1. 在打开的虚拟机中,选择 Microsoft Edge 打开浏览器。 由于这是第一次打开 VM 和浏览器,系统可能会提示你输入一些基本设置。
    2. 系统可能会提示你为设备选择隐私设置。 保留默认值并选择“接受”。
    3. 网络侧面板可能会显示。 请选择“否”。
    4. 可能会显示一个窗口,显示“在 Windows 上使用性能最佳的浏览器浏览 Web”,选择“继续”,选择“不使用你的数据开始”,选择“确认并继续”,然后选择“不使用此数据继续”,最后选择“确认并开始浏览”。
    5. 在浏览器地址栏中输入 www.bing.com,并确认你是否能够连接到搜索引擎**
    6. 确认可以访问 www.bing.com 后,请关闭 VM 中的浏览器窗口,但让 VM 保持运行状态。
  7. 通过在显示 VM IP 地址的蓝色选项卡中选择下划线“_”,以最小化 VM。 这样就会返回“SC900-WinVM |连接”页。
  8. 使浏览器选项卡保持打开状态,下一个任务会用到它。

任务 4

在上一个任务中,你已确认可以建立与 VM 的 RDP 连接。 你还在进入 VM 后确认了自己可以建立到 Internet 的出站连接。 出站 Internet 流量是受允许的,因为 NSG 的默认出站规则允许出站 Internet 流量。 在此任务中,你将完成创建自定义出站规则以阻止出站 Internet 流量并测试该规则的过程。

  1. 您应该进入 SC900-WinVM |连接页面。 从左侧导航面板中,选择“网络”**。 如果之前关闭了浏览器选项卡,请选择页面顶部的蓝色搜索栏并选择“虚拟机”,然后依次选择 VM“SC900-WinVM”和“网络**”。

  2. 选择“出站端口规则”选项卡。你将看到默认出站规则。 注意默认规则AllowInternetOutBound。 该规则允许所有出站互联网流量。 您无法删除默认规则,但可以通过创建优先级更高的规则来覆盖它。 从页面右侧选择添加出站端口规则

  3. 在添加出站安全规则页面上,指定以下设置:
    1. 来源:任何
    2. 源端口范围:***
    3. 目的地:服务标记
    4. 目的地服务标记:互联网
    5. 服务:自定义(保留默认值)
    6. 目标端口范围:*(确保在目标端口范围字段中加一个星号)。
    7. 协议:任何
    8. 操作:Deny
    9. 优先级:1000**
    10. 名称:保留默认名称或创建自己的描述性名称。
    11. 选择“添加

  4. 规则配置完成后,将出现在出站规则列表中。 虽然它出现在列表中,但需要几分钟时间才能生效(等待几分钟后再继续下一步)。

  5. 返回虚拟机(页面底部的任务栏上应显示虚拟机的 RDP 图标)。

  6. 在 VM 中打开 Microsoft Edge 浏览器并输入 www.bing.com**。 页面应该不会显示。 如果你能够连接到 Internet,并已验证正确设置了出站规则的所有参数,则很可能是因为规则需要几分钟才能生效。 关闭浏览器,等待几分钟后再试一次。 实验室环境中的 Azure 订阅可能会出现比正常时间更长的延迟。

  7. 选择页面顶部中间显示 IP 地址的 X,关闭远程桌面连接。 此时会出现一个弹出窗口,显示“将断开远程会话连接”。 选择确定

  8. 在窗口左上角显示“Microsoft Azure”的蓝色条下方,选择“主页”以返回到 Azure 服务主页。

  9. 在浏览器中将 Azure 选项卡保持在打开状态。

审阅

本实验室演练了以下过程:设置网络安全组 (NSG),将该 NSG 关联到虚拟机的网络接口,并将新规则添加到 NSG 以允许入站 RDP 流量和阻止出站 Internet 流量。