Oefening: een NVA en virtuele machines maken

10 minuten

In de volgende fase van uw beveiligingsimplementatie implementeert u een virtueel netwerkapparaat om verkeer tussen uw openbare front-endservers en interne privé-servers te beveiligen en te bewaken.

Configureer eerst het apparaat om IP-verkeer door te sturen. Als doorsturen via IP niet is ingeschakeld, wordt het via uw apparaat gerouteerde verkeer nooit ontvangen door de beoogde doelservers.

In deze oefening implementeert u het nva-netwerkapparaat in het dmzsubnet-subnet . Vervolgens schakelt u doorsturen via IP in, zodat verkeer van * en verkeer dat gebruikmaakt van de aangepaste route wordt verzonden naar het subnet privatesubnet .

Diagram van een virtueel netwerkapparaat waarvoor doorsturen via IP is ingeschakeld.

In de volgende stappen implementeert u een NVA. Vervolgens werkt u de virtuele NIC van Azure en de netwerkinstellingen in het apparaat bij om doorsturen via IP in te schakelen.

Opmerking

Deze oefening is optioneel. Als u deze oefening wilt voltooien, moet u een Azure-abonnement maken voordat u begint. Als u geen Azure-account hebt of als u er op dit moment geen wilt maken, kunt u de instructies doorlezen zodat u de informatie begrijpt die wordt gepresenteerd.

Het virtuele netwerkapparaat implementeren

Implementeer een Ubuntu LTS-instantie om de NVA te maken.

Voer in Azure Cloud Shell de volgende opdracht uit om het apparaat te implementeren. Vervang <password> door een geschikt wachtwoord van uw keuze voor het azureuser-beheerdersaccount en myResourceGroupName door de naam van uw resourcegroep.
```
az vm create \
    --resource-group "myResourceGroupName" \
    --name nva \
    --vnet-name vnet \
    --subnet dmzsubnet \
    --image Ubuntu2204 \
    --admin-username azureuser \
    --admin-password <password>
```

Doorsturen via IP inschakelen voor de Azure-netwerkinterface

In de volgende stappen schakelt u doorsturen via IP in voor het nva-netwerkapparaat . Als verkeer naar de NVA gaat, maar is bedoeld voor een ander doel, stuurt de NVA dat verkeer naar de juiste bestemming.

Voer de volgende opdracht uit om de id van de NVA-netwerkinterface op te halen:

NICID=$(az vm nic list \
    --resource-group "myResourceGroupName" \
    --vm-name nva \
    --query "[].{id:id}" --output tsv)

echo $NICID

Voer de volgende opdracht uit om de naam van de NVA-netwerkinterface op te halen:

NICNAME=$(az vm nic show \
    --resource-group "myResourceGroupName" \
    --vm-name nva \
    --nic $NICID \
    --query "{name:name}" --output tsv)

echo $NICNAME

Voer de volgende opdracht uit om doorsturen via IP in te schakelen voor de netwerkinterface:

az network nic update --name $NICNAME \
    --resource-group "myResourceGroupName" \
    --ip-forwarding true

Doorsturen via IP inschakelen in het apparaat

Voer de volgende opdracht uit om het openbare IP-adres van de virtuele NVA-machine op te slaan in de variabele NVAIP:

NVAIP="$(az vm list-ip-addresses \
    --resource-group "myResourceGroupName" \
    --name nva \
    --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
    --output tsv)"

echo $NVAIP

Voer de volgende opdracht uit om doorsturen via IP in te schakelen binnen de NVA:
```
ssh -t -o StrictHostKeyChecking=no azureuser@$NVAIP 'sudo sysctl -w net.ipv4.ip_forward=1; exit;'
```
Voer het wachtwoord in dat u hebt gebruikt bij het maken van de virtuele machine wanneer u hierom wordt gevraagd.

Feedback

Is deze pagina nuttig?