<!—

示範:標題:「Azure 網路安全性群組 (NSG)」學習路徑/課程模組/單元:「學習路徑:描述 Microsoft 安全性解決方案的功能;課程模組 1:描述 Azure 中的基本安全性功能;單元 6:描述 Azure 網路安全性群組」 — —>

示範:Azure 網路安全性群組 (NSG)

此示範對應至下列 Learn 內容:

  • 學習路徑:描述 Microsoft 安全性解決方案的功能
  • 課程模組:描述 Azure 中的基本安全性功能
  • 單元:描述 Azure 網路安全性群組

示範案例

在本示範中,您將探索 Azure 中網路安全性群組的功能,並將 NSG 套用至預先建立的虛擬機器。 首先,您會簡短顯示授權實驗室託管服務提供者 (ALH) 預先建立的 VM 相關資訊。 接著,使用設定為示範前設定所屬的 NSG,您將能展示 NSG 的基本參數和預設的輸入和輸出規則。 您會將 VM 介面指派給 NSG、建立新的 RDP 規則以允許連線到 VM,最後進行測試。

示範第 1 部分

在此部分,您將檢視與在安裝示範 (DEMO_00_pre_demo_setup.md) 中建立的 VM 相關聯的一些參數。

  1. 開啟 Microsoft Edge。 在網址列中,輸入 https://portal.azure.com 並使用授權實驗室主機工具 (ALH) 所提供的 Azure 認證登入。 這可讓您前往 Azure 服務首頁。

  2. 在頁面頂端藍色搜尋方塊中,輸入 Virtual Machines,然後從搜尋結果中選取 Virtual Machines

  3. 從虛擬機器頁面中,選取所列的 VM [SC900-WinVM]**。 此 VM 應該已建立為示範前設定的一部分。 如果未列出,請立即建立。

  4. 您現在位於 SC900-WinVM 頁面。 請注意 VM 的一些基本資訊。

  5. 在左側導覽面板中,選取 [網路]**
    1. 預設檢視用於輸入連接埠規則。 請注意,此 VM 的網路介面未設定網路安全性群組。 如果您選取 [輸出連接埠規則],也是如此。
    2. 選取 [網路介面] 旁的 [有效安全性規則]**。 請注意,它會顯示「網路介面未與任何網路安全性群組或應用程式安全性群組建立關聯」。

  6. 講者請注意:如果您嘗試檢查連線頁面上的連接埠狀態,您會收到「無法驗證」訊息。 這不一定表示連接埠不會公開。 您會發現使用指派的 NSG 採取相同動作時,會收到「無法存取」的描述,表示連接埠上的流量遭到封鎖。

  7. 保持開啟此瀏覽器索引標籤。

示範第 2 部分

在此部分中,您要將介面指派給 NSG,討論預設的輸入和輸出規則,展現規則的運作方式。 作為示範前設定的一部分,VM 應將網路介面指派給 NSG,以及為 RDP 流量建立新的輸入規則。

  1. 開啟新的瀏覽器索引標籤至 Azure 入口網站 (portal.azure.com) ,然後在頁面頂端的藍色搜尋列中,輸入網路安全性群組群組。 從結果中,選取 [網路安全性群組]** (請勿選取 [傳統網路安全性群組])。

  2. 選擇已建立的 NSG 作為示範前設定的一部分。 如果您沒有預先建立,請現在操作。 選取 [ 建立網路安全性群組]**,並指定下列設定:
    1. 訂用帳戶:保留預設值 (這是授權實驗室託管服務提供者所提供的 Azure 訂用帳戶)
    2. 資源群組:**LabsSC900 ** (VM 所使用的相同資源群組) 。
    3. 名稱:** NSG-SC900**
    4. 區域:保留預設值。
    5. 選取 [檢閱 + 建立]**,然後選取 [建立]**。
    6. 部署完成後 (過程非常迅速),請選取 [前往資源]**

  3. 在頁面頂端的 [基本資訊] 底下,您會看到您所建立 NSG 的一些基本資訊。 請注意兩點:沒有任何自訂安全性規則,也沒有與此 NSG 相關聯的子網路和網路介面。 雖然沒有自訂安全性規則,但每個 NSG 都包含預設的輸入和輸出規則,如頁面上所示。 檢閱輸入和輸出規則。 預設輸入規則會拒絕不是來自虛擬網路或 Azure 負載平衡器的所有輸入流量。 輸出規則會拒絕虛擬網路之間流量和對網際網路的輸出流量以外的所有輸出流量。

  4. 從 NSG-SC900 頁面的左側導覽窗格中,選取 [設定] 之下的 [網路介面]**
    1. 選取 [+ 建立關聯]**
    2. 在選取網路介面關聯的欄位中,選取向下箭號、選取 [sc900-winvmXXX]**,然後選取視窗底部的 [確定]**。 一旦介面與 NSG 建立關聯,就會顯示在清單上。
  5. 選取 VM 的瀏覽器索引標籤,以傳回 VM。 您應該會看到現在已連結至 VM 介面的 NSG。 輸入連接埠規則資料表隨即顯示。 預設輸入規則會拒絕不是來自虛擬網路或 Azure 負載平衡器的所有輸入流量。 若進行測試,您將檢查 RDP 埠 3389 上的狀態。
    1. 從頁面頂端選取 [連線] **,然後針對連接埠 3389 (RDP) 選取 [檢查存取權]**,您會看到「無法存取」。
    2. 雖然僅針對 RDP 連接埠 3389 進行測試,但所有不是來自另一個虛擬網路或負載平衡器的輸入網路流量都會遭到封鎖。
  6. 現在您將建立新的規則,以允許 RDP 連接埠的輸入流量。 在左側導覽窗格中,選取 [網路]**。 應顯示輸入連接埠規則資料表 (輸入連接埠規則索引標籤會加上底線)。 從頁面右側,選取 [新增輸入連接埠規則]**。 請務必記得說明,您無法移除預設規則,但可以建立優先順序更高的規則來加以覆寫。 在 [新增輸入安全性規則] 的視窗中,指定下列設定:
    1. 來源:任意
    2. 來源連接埠範圍:*
    3. 目的地:任何
    4. 服務:RDP
    5. 動作:允許
    6. 優先順序:1000;請注意:編號較小的規則優先順序較高,應首先進行處理。
    7. 名稱:保留預設名稱,或建立自己的描述性名稱。
    8. 請注意頁面底部的警告符號。 我們只使用 RDP 進行測試,以及示範 NSG 的功能。
    9. 選取新增
  7. 規則佈建完成後,即會出現於輸入規則的清單中 (您可能需要重新整理畫面)。

示範第 3 部分

在 NSG 與您的 VM 和所建立 RDP 規則建立關聯後,您會藉由測試與 VM 的 RDP 連線來顯示 NSG 的影響。

  1. 開啟瀏覽器索引標籤的 [SC900-WinVM – Microsoft Azure]。

  2. 從左側導覽面板選取 [連線]**
    1. 您可以直接選取 [檢查存取權]**。 狀態應會顯示為「可存取」。 或者,有時間的話,您可以透過在 Windows 上開啟遠端桌面連線執行個體來連線到 VM。 此選項會在成功連線時開啟 VM。 步驟如下所示:
      1. 在您的 Windows 搜尋列中,輸入遠端桌面連線 **,然後選取 [開啟]**。
      2. 在 [電腦 ] ** 旁的欄位中輸入 VM 的公用 IP 位址。
      3. 輸入 IP 位址之後,使用者名稱應該會出現在您輸入 IP 位址的欄位下方。 如果沒有,請展開 [顯示選項]**,然後輸入 VM 的使用者名稱並選取 [連線]**。
      4. [遠端桌面連線] 視窗隨即開啟,顯示無法驗證遠端電腦的身分識別。 是否依然要連線? 選取 [是]**
      5. 您現在已連線至 VM。 向學員強調,在這種情況下,您能夠連線至 VM,因為您建立的輸入流量規則允許透過 RDP 向 VM 傳送輸入流量。
      6. 選取藍色索引標籤中的底線 _ 以顯示 VM 的 IP 位址,藉此將 VM 最小化。 這可讓您回到 [SC900-WinVM 連線] 頁面。

  3. 從左側導覽面板中選取 [網路]**,然後從主視窗選取 [輸出連接埠規則]**。 談論預設輸出規則。 預設規則允許從任何虛擬網路到任何其他虛擬網路的輸出 VNet 流量,並允許輸出網際網路流量。 拒絕任何其他類型輸出流量。 您無法移除預設規則,但可以建立優先順序較高的規則,就像建立輸入規則一樣來覆寫。

  4. 如果時間允許,且想要展示輸出流量的類似步驟,請導覽下面所列的選擇性示範部分。 否則請離開 VM,但請讓瀏覽器上的 Azure 索引標籤保持開啟,以供下一個示範使用。

(選擇性) 示範第 4 部分

在此部分中,您將展示目前的 NSG 輸出規則允許來自 VM 的輸出網際網路流量。 接著,您將建立規則封鎖來自 VM 的輸出網際網路流量,最後嘗試從 VM 存取網際網路來顯示新建規則的影響。

  1. 開啟上一個步驟中最小化的 VM。 在此您將顯示對網際網路的輸出網際網路連線能力,這是由其中一個預設輸出規則所啟用。 一旦 VM 開啟並以使用者身分登入,請選取 [Microsoft Edge] ** 以開啟瀏覽器。 因為這是您第一次開啟 Microsoft Edge,您可能會看到快顯視窗、選取 [不使用您的資料開始],接著選取 [不使用此資料繼續],然後選取 [確認並開始瀏覽]**。
    1. 在瀏覽器網址列中輸入 www.bing.com,確認您可以連線至搜尋引擎。
    2. 確認您可存取 www.bing.com 之後,請關閉 VM 中的瀏覽器視窗,但是讓 VM 保持運作。
  2. 選取藍色索引標籤中的底線 _ 以顯示 VM 的 IP 位址,藉此將 VM 最小化。 這可讓您回到 [SC900-WinVM 連線] 頁面。

  3. 在左側導覽面板中,選取 [網路]**

  4. 請選取輸出連接埠規則索引標籤。您將會看到預設輸出規則。 請注意預設規則 「AllowInternetOutBound」。 此規則允許所有輸出網際網路流量。 您無法移除預設規則,但可以建立一個較高優先順序的規則來覆寫預設規則。 從頁面右側,選取 [新增輸出連接埠規則]**

  5. 在新增輸入安全性規則的視窗中,指定下列設定:
    1. 來源:任意
    2. 來源連接埠範圍:*
    3. 目的地:服務標記
    4. 目的地服務標記:網路
    5. 服務:** 自訂 ** (保留預設值)
    6. 目的地連接埠範圍:* (請確保在目的地連接埠範圍欄位中輸入星號)
    7. 通訊協定:Any
    8. 動作:Deny
    9. 優先順序:1000
    10. 名稱:保留預設名稱,或建立自己的描述性名稱。
    11. 選取新增

  6. 佈建規則後會出現在輸出規則清單中。 雖然出現在清單中,但需要幾分鐘的時間才會生效 (請稍候幾分鐘,再繼續進行後續步驟)。

  7. 返回您的 VM (VM 圖示應該顯示在頁面底部的工作列上)。

  8. 開啟 VM 中的 Microsoft Edge 瀏覽器,然後輸入 www.bing.com。 此頁面不應顯示。 請注意:如果您能夠連線至網際網路並驗證輸出規則的所有參數都已正確設定,則可能是因為該規則需要幾分鐘才會生效。 關閉瀏覽器,等候幾分鐘後再試一次。 請注意:實驗室環境中的 Azure 訂用帳戶可能會經歷比正常還要長的延遲。

  9. 選取 [顯示 IP 位址之頁面頂端的 X]**,以關閉遠端桌面連線。 快顯視窗隨即出現,指出您的遠端工作階段將會中斷連線。 選取 [確定]**。

  10. 保持在瀏覽器中開啟 Azure 索引標籤,以進行下一個 Azure 示範。

檢閱

在本示範中,您展示了與 NSG 關聯的資訊和設定,包含將介面與 NSG 關聯的流程,並展示預設輸入和輸出規則,最後為建立新規則的步驟。