Oefening: een NVA en virtuele machines maken

Voltooid

In de volgende fase van uw beveiligingsimplementatie implementeert u een virtueel netwerkapparaat om verkeer tussen uw openbare front-endservers en interne privé-servers te beveiligen en te bewaken.

Configureer eerst het apparaat om IP-verkeer door te sturen. Als doorsturen via IP niet is ingeschakeld, wordt het via uw apparaat gerouteerde verkeer nooit ontvangen door de beoogde doelservers.

In deze oefening implementeert u het nva-netwerkapparaat in het dmzsubnet-subnet . Vervolgens schakelt u doorsturen via IP in, zodat verkeer van * en verkeer dat gebruikmaakt van de aangepaste route wordt verzonden naar het subnet privatesubnet .

In de volgende stappen implementeert u een NVA. Vervolgens werkt u de virtuele NIC van Azure en de netwerkinstellingen in het apparaat bij om doorsturen via IP in te schakelen.

Het virtuele netwerkapparaat implementeren

Implementeer een Ubuntu LTS-instantie om de NVA te maken.

1. Voer de volgende opdracht uit in Cloud Shell om het apparaat te implementeren. Vervang <password> door een geschikt wachtwoord voor het beheerdersaccount azureuser.

   az vm create \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name nva \
       --vnet-name vnet \
       --subnet dmzsubnet \
       --image Ubuntu2204 \
       --admin-username azureuser \
       --admin-password <password>
   

Doorsturen via IP inschakelen voor de Azure-netwerkinterface

In de volgende stappen schakelt u doorsturen via IP in voor het nva-netwerkapparaat . Als verkeer naar de NVA gaat, maar is bedoeld voor een ander doel, stuurt de NVA dat verkeer naar de juiste bestemming.

1. Voer de volgende opdracht uit om de id van de NVA-netwerkinterface op te halen:

   NICID=$(az vm nic list \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --vm-name nva \
       --query "[].{id:id}" --output tsv)
   
   echo $NICID
   

2. Voer de volgende opdracht uit om de naam van de NVA-netwerkinterface op te halen:

   NICNAME=$(az vm nic show \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --vm-name nva \
       --nic $NICID \
       --query "{name:name}" --output tsv)
   
   echo $NICNAME
   

3. Voer de volgende opdracht uit om doorsturen via IP in te schakelen voor de netwerkinterface:

   az network nic update --name $NICNAME \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --ip-forwarding true
   

Doorsturen via IP inschakelen in het apparaat

1. Voer de volgende opdracht uit om het openbare IP-adres van de virtuele NVA-machine op te slaan in de variabele NVAIP:

   NVAIP="$(az vm list-ip-addresses \
       --resource-group "<rgn>[sandbox resource group name]</rgn>" \
       --name nva \
       --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
       --output tsv)"
   
   echo $NVAIP
   

2. Voer de volgende opdracht uit om doorsturen via IP in te schakelen binnen de NVA:

   ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'
   

   Voer het wachtwoord in dat u hebt gebruikt bij het maken van de virtuele machine wanneer u hierom wordt gevraagd.