Øvelse – opret en NVA og virtuelle maskiner

Fuldført

I den næste fase af din sikkerhedsimplementering skal du udrulle et netværks virtuelt apparat (NVA) for at sikre og overvåge trafikken mellem dine offentlige frontendservere og interne private servere.

Først skal du konfigurere apparatet til at videresende IP-trafik. Hvis videresendelse af IP ikke er aktiveret, modtages trafik, der dirigeres gennem dit apparat, aldrig af dens tilsigtede destinationsservere.

I denne øvelse skal du installere nva netværksapparat på dmzsubnet undernet. Derefter aktiverer du videresendelse af IP, så trafik fra * og trafik, der bruger den brugerdefinerede rute, sendes til det private undernet undernet.

I følgende trin skal du installere en NVA. Du skal derefter opdatere det virtuelle Azure-NIC og netværksindstillingerne i enheden for at aktivere videresendelse af IP.

Udrul det virtuelle netværksapparat

Hvis du vil bygge NVA, skal du installere en Ubuntu LTS-forekomst.

1. Kør følgende kommando i Cloud Shell for at installere enheden. Erstat <password> med en passende adgangskode efter eget valg for azureuser administratorkonto.

   az vm create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name nva \
       --vnet-name vnet \
       --subnet dmzsubnet \
       --image Ubuntu2204 \
       --admin-username azureuser \
       --admin-password <password>
   

Aktivér videresendelse af IP for Azure-netværksgrænsefladen

I de næste trin aktiverer du IP-videresendelse for nva netværksapparat. Når trafik strømmer til NVA, men er beregnet til et andet mål, dirigerer NVA trafikken til den korrekte destination.

1. Kør følgende kommando for at hente NVA-netværksgrænsefladens id:

   NICID=$(az vm nic list \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --vm-name nva \
       --query "[].{id:id}" --output tsv)
   
   echo $NICID
   

2. Kør følgende kommando for at hente NVA-netværksgrænsefladens navn:

   NICNAME=$(az vm nic show \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --vm-name nva \
       --nic $NICID \
       --query "{name:name}" --output tsv)
   
   echo $NICNAME
   

3. Kør følgende kommando for at aktivere videresendelse af IP for netværksgrænsefladen:

   az network nic update --name $NICNAME \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --ip-forwarding true
   

Aktivér IP-videresendelse i apparatet

1. Kør følgende kommando for at gemme NVA-den virtuelle maskines offentlige IP-adresse på variablen NVAIP:

   NVAIP="$(az vm list-ip-addresses \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name nva \
       --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
       --output tsv)"
   
   echo $NVAIP
   

2. Kør følgende kommando for at aktivere videresendelse af IP i NVA:

   ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'
   

   Når du bliver bedt om det, skal du angive den adgangskode, du brugte, da du oprettede den virtuelle maskine.