Delen via

Zelfstudie: Uw openbare load balancer beveiligen met Azure DDoS Protection

  • Artikel

Azure DDoS Protection maakt verbeterde DDoS-risicobeperkingsmogelijkheden mogelijk, zoals adaptieve afstemming, waarschuwingsmeldingen voor aanvallen en bewaking om uw openbare load balancers te beschermen tegen grootschalige DDoS-aanvallen.

Belangrijk

Voor Azure DDoS Protection worden kosten in rekening gebracht wanneer u de netwerkbeveiligings-SKU gebruikt. Overschrijdingskosten zijn alleen van toepassing als meer dan 100 openbare IP-adressen in de tenant worden beveiligd. Zorg ervoor dat u de resources in deze zelfstudie verwijdert als u de resources in de toekomst niet gebruikt. Zie Prijzen voor Azure DDoS Protection voor meer informatie over prijzen. Zie Wat is Azure DDoS Protection? voor meer informatie over Azure DDoS-beveiliging.

In deze zelfstudie leert u het volgende:

  • Maak een DDoS Protection-plan.
  • Maak een virtueel netwerk waarvoor de DDoS Protection- en Bastion-service is ingeschakeld.
  • Maak een openbare SKU-load balancer met front-end-IP, statustest, back-endconfiguratie en taakverdelingsregel.
  • Maak een NAT-gateway voor uitgaande internettoegang voor de back-endpool.
  • Maak een virtuele machine en installeer en configureer IIS vervolgens op de VM's om de regels voor het doorsturen van poorten en taakverdeling te demonstreren.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Vereisten

  • Een Azure-account met een actief abonnement.

Een DDoS-beveiligingsplan maken

  1. Meld u aan bij het Azure-portaal.

  2. Voer in het zoekvak boven aan de portal DDoS-beveiliging in. Selecteer DDoS-beveiligingsplannen in de zoekresultaten en selecteer vervolgens + Maken.

  3. Voer op het tabblad Basis van de pagina Een DDoS-beveiligingsplan maken de volgende gegevens in of selecteer deze:

    Schermopname van het maken van een DDoS-beveiligingsplan.

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Nieuw maken.
    Voer TutorLoadBalancer-rg in.
    Selecteer OK.
    Exemplaardetails
    Naam Voer myDDoSProtectionPlan in.
    Regio Selecteer (VS) VS - oost.

  4. Selecteer Beoordelen en maken en selecteer Vervolgens Maken om het DDoS-beveiligingsplan te implementeren.

Het virtuele netwerk maken

In deze sectie maakt u een virtueel netwerk, subnet, Azure Bastion-host en koppelt u het DDoS Protection-plan. Het virtuele netwerk en subnet bevatten de load balancer en virtuele machines. De bastionhost wordt gebruikt om de virtuele machines veilig te beheren en IIS te installeren om de load balancer te testen. Het DDoS Protection-plan beveiligt alle openbare IP-resources in het virtuele netwerk.

Belangrijk

De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

  1. Voer in het zoekvak boven aan de portal het virtuele netwerk in. Selecteer Virtual Networks in de zoekresultaten.

  2. Selecteer + Maken in virtuele netwerken.

  3. Voer in Virtueel netwerk maken de volgende gegevens in of selecteer deze op het tabblad Basisbeginselen:

    Instelling Value
    Projectgegevens
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer TutorLoadBalancer-rg
    Exemplaardetails
    Naam Voer myVNet in
    Regio Selecteer VS - oost

  4. Selecteer het tabblad IP-adressen of selecteer Volgende: IP-adressen onderaan de pagina.

  5. Voer op het tabblad IP-adressen deze gegevens in:

    Instelling Weergegeven als
    IPv4-adresruimte Voer 10.1.0.0/16 in

  6. Onder Subnetnaam selecteert u het woord standaard. Als er geen subnet aanwezig is, selecteert u +Subnet toevoegen.

  7. Voer in Subnet bewerken deze gegevens in:

    Instelling Weergegeven als
    Subnetnaam Voer myBackendSubnet in
    Subnetadresbereik Voer 10.1.0.0/24 in

  8. Selecteer Opslaan of Toevoegen.

  9. Selecteer het tabblad Beveiliging.

  10. Selecteer onder BastionHost de optie Inschakelen. Voer deze gegevens in:

    Instelling Weergegeven als
    Bastion-naam Voer myBastionHost in
    AzureBastionSubnet-adresruimte Voer 10.1.1.0/26 in
    Openbaar IP-adres Selecteer Nieuw maken.
    Voer bij Naam myBastionIP in.
    Selecteer OK.

  11. Selecteer Inschakelen onder DDoS-netwerkbeveiliging. Selecteer vervolgens in de vervolgkeuzelijst myDDoSProtectionPlan.

    Schermopname van het inschakelen van DDoS tijdens het maken van een virtueel netwerk.

  12. Selecteer het tabblad Controleren + maken of klik op de knop Controleren + maken.

  13. Selecteer Maken.

    Notitie

    Het virtuele netwerk en subnet worden onmiddellijk gemaakt. Het maken van de Bastion-host wordt verzonden als een taak en wordt binnen 10 minuten voltooid. U kunt doorgaan met de volgende stappen terwijl de Bastion-host wordt gemaakt.

Load balancer maken

In deze sectie maakt u een zone-redundante load balancer waarmee virtuele machines worden verdeeld. Met zone-redundantie kunnen een of meer beschikbaarheidszones mislukken en overleeft het gegevenspad zolang één zone in de regio een goede status behoudt.

Tijdens het maken van de load balancer configureert u het volgende:

  • IP-adres voor front-end
  • Back-endpool
  • Regels voor binnenkomende taakverdeling
  • Statustest

  1. Voer in het zoekvak boven aan de portal load balancer in. Selecteer Load balancers in de zoekresultaten.

  2. Selecteer + Maken op de pagina Load balancer.

  3. Typ of selecteer de volgende informatie op het tabblad Basisbeginselen van de pagina Load balancer maken:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer TutorLoadBalancer-rg.
    Exemplaardetails
    Naam Voer myLoadBalancer in
    Regio Selecteer VS - oost.
    SKU Laat de standaardwaarde Standard staan.
    Type Selecteer Openbaar.
    Laag Laat de standaardregio (s) staan.

    Schermopname van het tabblad Standaard load balancer maken.

  4. Selecteer Volgende: Front-end-IP-configuratie onder aan de pagina.

  5. Selecteer in front-end-IP-configuratie de optie + Een front-end-IP-configuratie toevoegen.

  6. Voer myFrontend in Naam in.

  7. Selecteer IPv4 voor de IP-versie.

  8. Selecteer het IP-adres voor het IP-type.

    Notitie

    Zie het voorvoegsel van het openbare IP-adres van Azure voor meer informatie over IP-voorvoegsels.

  9. Selecteer Nieuw maken in openbaar IP-adres.

  10. Voer in Add a public IP address myPublicIP for Name in.

  11. Selecteer Zone-redundant in beschikbaarheidszone.

    Notitie

    In regio's met Beschikbaarheidszones hebt u de mogelijkheid om geen zone (standaardoptie), een specifieke zone of zone-redundant te selecteren. De keuze is afhankelijk van uw specifieke vereisten voor domeinfouten. In regio's zonder Beschikbaarheidszones wordt dit veld niet weergegeven.
    Zie het overzicht van beschikbaarheidszones voor meer informatie over beschikbaarheidszones.

  12. Laat de standaardinstelling van Microsoft Network staan voor routeringsvoorkeur.

  13. Selecteer OK.

  14. Selecteer Toevoegen.

  15. Selecteer Volgende: Back-endpools onder aan de pagina.

  16. Selecteer + Een back-endpool toevoegen op het tabblad Back-endpools.

  17. Voer myBackendPool in voor naam in back-endpool toevoegen.

  18. Selecteer myVNet in virtueel netwerk.

  19. Selecteer het IP-adres voor de configuratie van de back-endpool.

  20. Selecteer Opslaan.

  21. Selecteer Volgende: Regels voor inkomend verkeer onder aan de pagina.

  22. Selecteer + Een taakverdelingsregel toevoegen onder Taakverdelingsregel op het tabblad Regels voor inkomend verkeer.

  23. Voer in Taakverdelingsregel toevoegen de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Naam Voer myHTTPRule in
    IP-versie Selecteer IPv4 of IPv6 , afhankelijk van uw vereisten.
    IP-adres voor front-end Selecteer myFrontend (te maken).
    Back-endpool Selecteer myBackendPool.
    Protocol Selecteer TCP.
    Poort Voer 80 in.
    Back-endpoort Voer 80 in.
    Statustest Selecteer Nieuw maken.
    Voer in Naam myHealthProbe in.
    Selecteer TCP in Protocol.
    Laat de rest van de standaardwaarden staan en selecteer OK.
    Sessiepersistentie Selecteer Geen.
    Time-out voor inactiviteit (minuten) Voer 15 in of selecteer deze.
    Opnieuw instellen van TCP Selecteer Ingeschakeld.
    Zwevend IP-adres Selecteer Uitgeschakeld.
    Uitgaande SNAT (Source Network Address Translation) Laat de standaardwaarde van (aanbevolen) Uitgaande regels gebruiken om leden van de back-endpool toegang te bieden tot internet.

  24. Selecteer Toevoegen.

  25. Selecteer de blauwe knop Beoordelen en maken onderaan de pagina.

  26. Selecteer Maken.

    Notitie

    In dit voorbeeld maken we een NAT-gateway om uitgaande internettoegang te bieden. Het tabblad Regels voor uitgaand verkeer in de configuratie wordt overgeslagen omdat dit optioneel is en niet nodig is met de NAT-gateway. Zie Wat is Azure Virtual Network NAT? Zie Source Network Address Translation (SNAT) voor uitgaande verbindingen in Azure voor meer informatie over uitgaande verbindingen

NAT-gateway maken

In deze sectie maakt u een NAT-gateway voor uitgaande internettoegang voor resources in het virtuele netwerk. Voor andere opties voor uitgaande regels raadpleegt u Network Address Translation (SNAT) voor uitgaande verbindingen.

  1. Voer in het zoekvak boven aan de portal NAT-gateway in. Selecteer NAT-gateways in de zoekresultaten.

  2. Selecteer + Maken in NAT-gateways.

  3. Voer in de NAT-gateway (Network Address Translation) de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer TutorLoadBalancer-rg.
    Exemplaardetails
    NAT-gatewaynaam Voer myNATgateway in.
    Regio Selecteer VS - oost.
    Availability zone Selecteer Geen.
    Time-out voor inactiviteit (minuten) Voer 15 in.

  4. Selecteer het tabblad Uitgaand IP-adres of selecteer Volgende: Uitgaand IP-adres onderaan de pagina.

  5. Selecteer in uitgaand IP-adres een nieuw openbaar IP-adres maken naast openbare IP-adressen.

  6. Voer myNATgatewayIP in naam in.

  7. Selecteer OK.

  8. Selecteer het tabblad Subnet of selecteer de knop Volgende: Subnet onderaan de pagina.

  9. Selecteer myVNet in het tabblad Virtueel netwerk op het tabblad Subnet.

  10. Selecteer myBackendSubnet onder Subnetnaam.

  11. Selecteer de blauwe knop Controleren + maken onder aan de pagina of selecteer het tabblad Beoordelen en maken .

  12. Selecteer Maken.

Virtuele machines maken

In deze sectie maakt u twee VM's (myVM1 en myVM2) in twee verschillende zones (Zone 1 en Zone 2).

Deze VM's worden toegevoegd aan de back-endpool van de load balancer die eerder is gemaakt.

  1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

  2. Selecteer + Virtuele Azure-machine maken>in virtuele machines.

  3. In Een virtuele machine maken voert u de volgende waarden in of selecteert u deze op het tabblad Basisinformatie:

    Instelling Weergegeven als
    Projectgegevens
    Abonnement Selecteer uw Azure-abonnement
    Resourcegroep Selecteer TutorLoadBalancer-rg
    Exemplaardetails
    Virtual machine name Voer myVM1 in
    Regio Selecteer ((VS) VS - oost)
    Beschikbaarheidsopties Selecteer Beschikbaarheidszones
    Availability zone Zone 1 selecteren
    Beveiligingstype Selecteer Standaard.
    Afbeelding Selecteer Windows Server 2022 Datacenter: Azure Edition - Gen2
    Azure Spot-exemplaar Laat de standaardwaarde uitgeschakeld.
    Tekengrootte Kies een VM-grootte of kies de standaardinstelling
    Beheerdersaccount
    Username Voer een gebruikersnaam in
    Wachtwoord Voer een wachtwoord in
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in
    Regels voor binnenkomende poort
    Openbare poorten voor inkomend verkeer Selecteer Geen

  4. Selecteer het tabblad Netwerken of selecteer Volgende: Schijven en vervolgens Volgende: Netwerken.

  5. Selecteer of voer op het tabblad Netwerken de volgende gegevens in:

    Instelling Weergegeven als
    Netwerkinterface
    Virtueel netwerk myVNet selecteren
    Subnet myBackendSubnet selecteren
    Openbare IP Selecteer Geen.
    NIC-netwerkbeveiligingsgroep Selecteer Geavanceerd
    Netwerkbeveiligingsgroep configureren Sla deze instelling over totdat de rest van de instellingen is voltooid. Voltooid nadat u een back-endpool hebt geselecteerd.
    NIC verwijderen wanneer vm wordt verwijderd Laat de standaardwaarde uitgeschakeld.
    Versneld netwerken Laat de standaardwaarde geselecteerd.
    Load balancing
    Opties voor taakverdeling
    Opties voor taakverdeling Azure Load Balancer selecteren
    Een load balancer selecteren Selecteer myLoadBalancer
    Een back-endpool selecteren Selecteer myBackendPool
    Netwerkbeveiligingsgroep configureren Selecteer Nieuw maken.
    Voer in de netwerkbeveiligingsgroep maken myNSG in Naam in.
    Selecteer onder Regels voor inkomend verkeer de optie +Een regel voor binnenkomend verkeer toevoegen.
    Selecteer HTTP onder Service.
    Voer onder Prioriteit 100 in.
    Voer in Naam myNSGRule
    Select Add OK in

  6. Selecteer Controleren + maken.

  7. Controleer de instellingen en selecteer vervolgens Maken.

  8. Volg de stappen 1 tot en met 7 om een andere VIRTUELE machine te maken met de volgende waarden en alle andere instellingen die hetzelfde zijn als myVM1:

    Instelling VM 2
    Naam myVM2
    Availability zone Zone 2
    Netwerkbeveiligingsgroep Het bestaande myNSG selecteren

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:

  • Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
  • De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
  • Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.

Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.

Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.

IIS installeren

  1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

  2. Selecteer myVM1.

  3. Selecteer op de pagina Overzicht de optie Verbinding maken en daarna Bastion.

  4. Voer de gebruikersnaam en het wachtwoord in die zijn ingevoerd tijdens het maken van de VM.

  5. Selecteer Verbinding maken.

  6. Navigeer op het bureaublad van de server naar >Start Windows PowerShell>Windows PowerShell.

  7. In het venster PowerShell voert u de volgende opdrachten uit om het volgende te doen:

    • De IIS-server installeren
    • Het standaard iisstart.htm-bestand verwijderen
    • Een nieuw iisstart.htm-bestand toevoegen waarin de naam van de VM wordt weergegeven:
     # Install IIS server role
 Install-WindowsFeature -name Web-Server -IncludeManagementTools

 # Remove default htm file
 Remove-Item  C:\inetpub\wwwroot\iisstart.htm

 # Add a new htm file that displays server name
 Add-Content -Path "C:\inetpub\wwwroot\iisstart.htm" -Value $("Hello World from " + $env:computername)

  8. Sluit de Bastion-sessie met myVM1.

  9. Herhaal stap 1 tot en met 8 om IIS en het bijgewerkte iisstart.htm-bestand op myVM2 te installeren.

Test de load balancer

  1. Voer in het zoekvak boven aan de pagina het openbare IP-adres in. Selecteer Openbare IP-adressen in de zoekresultaten.

  2. Selecteer myPublicIP in openbare IP-adressen.

  3. Kopieer het item in het IP-adres. Plak het openbare IP-adres in de adresbalk van uw browser. De aangepaste VM-pagina van de IIS-webserver wordt weergegeven in de browser.

    Schermopname van de load balancer-test.

Resources opschonen

Verwijder de resourcegroep, de load balancer en alle gerelateerde resources, wanneer u deze niet meer nodig hebt. Selecteer hiervoor de resourcegroep TutorLoadBalancer-rg die de resources bevat en selecteer vervolgens Verwijderen.

Volgende stappen

Ga naar het volgende artikel om te lezen hoe u dit doet:

Een openbare load balancer maken met een back-end op basis van IP