Руководство. Фильтрация сетевого трафика с помощью групп безопасности сети на портале Azure

  • Статья

Группа безопасности сети позволяет фильтровать входящий и исходящий трафик ресурсов Azure в виртуальной сети Azure.

Группы безопасности сети содержат правила безопасности, которые фильтруют трафик по IP-адресу, порту и протоколу. Если группа безопасности сети связана с подсетью, правила безопасности применяются к ресурсам, развернутыми в этой подсети.

Diagram of resources created during tutorial.

В этом руководстве описано следующее:

  • Создание группы безопасности сети и правил безопасности.
  • Создание групп безопасности приложений
  • Создание виртуальной сети и привязка группы безопасности сети к подсети.
  • Развертывание виртуальных машин и связывание их сетевых интерфейсов с группами безопасности приложений.

Необходимые компоненты

Вход в Azure

Войдите на портал Azure.

Создание виртуальной сети

Следующая процедура создает виртуальную сеть с подсетью ресурсов.

  1. На портале найдите и выберите "Виртуальные сети".

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите Создать.
    Введите test-rg в name.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя. Введите vnet-1.
    Область/регион Выберите регион Восточная часть США 2.

    Screenshot of Basics tab of Create virtual network in the Azure portal.

  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

  5. Нажмите кнопку "Рядом ", чтобы перейти на вкладку IP-адресов .

  6. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

  7. В разделе "Изменить подсеть" введите или выберите следующие сведения:

    Параметр Значение
    Сведения о подсети
    Шаблон подсети Оставьте значение по умолчанию по умолчанию.
    Имя. Введите подсеть-1.
    Начальный адрес Оставьте значение по умолчанию 10.0.0.0.
    Размер подсети Оставьте значение по умолчанию /24(256 адресов).

    Screenshot of default subnet rename and configuration.

  8. Выберите Сохранить.

  9. Выберите "Проверка и создание " в нижней части экрана и при прохождении проверки нажмите кнопку "Создать".

Создание групп безопасности приложений

Группа безопасности приложений позволяет группировать серверы с аналогичными функциями, например веб-серверы.

  1. В поле поиска в верхней части портала введите группу безопасности приложений. Выберите группы безопасности приложений в результатах поиска.

  2. Выберите + Создать.

  3. На вкладке Основы страницы Создание группы безопасности приложений введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите asg-web.
    Область/регион Выберите регион Восточная часть США 2.

  4. Выберите Review + create (Просмотреть и создать).

  5. Выберите + Создать.

  6. Повторите предыдущие шаги, указав следующие значения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите asg-mgmt.
    Область/регион Выберите регион Восточная часть США 2.

  7. Выберите Review + create (Просмотреть и создать).

  8. Нажмите кнопку создания.

Создание группы безопасности сети

Группа безопасности сети защищает трафик в вашей виртуальной сети.

  1. В поле поиска в верхней части портала введите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

    Примечание.

    В результатах поиска для групп безопасности сети могут отображаться группы безопасности сети (классическая модель). Выберите группы безопасности сети.

  2. Выберите + Создать.

  3. На вкладке Основы страницы Создание группы безопасности сети введите или выберите указанные ниже значения параметров:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите nsg-1.
    Расположение Выберите регион Восточная часть США 2.

  4. Выберите Review + create (Просмотреть и создать).

  5. Нажмите кнопку создания.

Связывание группы безопасности сети с подсетью

В этом разделе описано, как связать группу безопасности сети с подсетью созданной ранее виртуальной сети.

  1. В поле поиска в верхней части портала введите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

  2. Выберите nsg-1.

  3. Выберите подсети из раздела Параметры nsg-1.

  4. На странице Подсети выберите + Связать:

    Screenshot of Associate a network security group to a subnet.

  5. В разделе "Связать подсеть" выберите виртуальную сеть-1 (test-rg) для виртуальной сети.

  6. Выберите подсеть-1 для подсети и нажмите кнопку "ОК".

Создание правил безопасности

  1. Выберите правила безопасности для входящего трафика в разделе Параметры nsg-1.

  2. На странице правил безопасности для входящего трафика нажмите кнопку +Добавить.

  3. Создайте правило безопасности, разрешающее порты 80 и 443 группе безопасности asg-web application. На странице "Добавление правила безопасности для входящего трафика" введите или выберите следующие сведения:

    Параметр Значение
    Оригинал Оставьте значение по умолчанию Любое.
    Диапазоны исходных портов Оставьте значение по умолчанию для (*).
    Назначение Выберите Группа безопасности приложений.
    Конечные группы безопасности приложений Выберите asg-web.
    Service Оставьте значение по умолчанию Настраиваемое.
    Диапазоны портов назначения Введите 80,443.
    Протокол Выберите TCP.
    Действие Оставьте значение по умолчанию Разрешить.
    Приоритет Оставьте значение по умолчанию 100.
    Имя. Введите allow-web-all.

  4. Выберите Добавить.

  5. Выполните предыдущие действия со следующими сведениями:

    Параметр Значение
    Оригинал Оставьте значение по умолчанию Любое.
    Диапазоны исходных портов Оставьте значение по умолчанию для (*).
    Назначение Выберите Группа безопасности приложений.
    Группа безопасности приложений для назначения Выберите asg-mgmt.
    Service Выберите RDP.
    Действие Оставьте значение по умолчанию Разрешить.
    Приоритет Оставьте значение по умолчанию 110.
    Имя. Введите allow-rdp-all.

  6. Выберите Добавить.

    Внимание

    В этой статье RDP (порт 3389) предоставляется в Интернете для виртуальной машины, назначенной группе безопасности приложений asg-mgmt .

    В рабочих средах рекомендуется не открывать порт 3389 для доступа из Интернета, а подключиться к ресурсам Azure, которыми вы хотите управлять, с помощью VPN-подключения, частного сетевого подключения или Бастиона Azure.

    Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.

Создание виртуальных машин

Создайте две виртуальные машины в виртуальной сети.

  1. На портале найдите и выберите "Виртуальные машины".

  2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

  3. В подменю Создать виртуальную машину введите или выберите следующую информацию на вкладке Основные сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Virtual machine name Введите vm-1.
    Область/регион Выберите регион (США) Восточная часть США 2.
    Параметры доступности Оставьте значение по умолчанию для параметра Избыточность инфраструктуры не требуется.
    Тип безопасности Выберите Стандартное.
    Изображения Выберите Windows Server 2022 Datacenter — x64-го поколения 2-го поколения.
    Точечный экземпляр Azure Оставьте значение по умолчанию (флажок снят).
    Размер Выберите размер.
    Учетная запись администратора
    Username Введите имя пользователя.
    Пароль Введите пароль.
    Подтверждение пароля Введите пароль еще раз.
    Правила входящего порта
    Выбрать входящие порты Выберите Отсутствует.

  4. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".

  5. На вкладке Сеть введите или выберите следующие значения параметров.

    Параметр Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите виртуальную сеть-1.
    Подсеть Выберите подсеть-1 (10.0.0.0/24).
    Общедоступный IP-адрес Оставьте значение по умолчанию "Новый общедоступный IP-адрес".
    Группа безопасности сети сетевого адаптера Выберите Отсутствует.

  6. Перейдите на вкладку Просмотр и создание или нажмите синюю кнопку Просмотр и создание внизу страницы.

  7. Нажмите кнопку создания. На развертывание может потребоваться несколько минут.

  8. Повторите предыдущие шаги, чтобы создать вторую виртуальную машину с именем vm-2.

Связывание сетевых интерфейсов с группой безопасности приложений

При создании виртуальной машины Azure создает сетевой интерфейс для каждой виртуальной машины и подключает их к виртуальным машинам.

Добавьте сетевой интерфейс для каждой виртуальной машины в одну из созданных ранее групп безопасности приложений:

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите vm-1.

  3. Выберите сеть из раздела Параметры vm-1.

  4. Перейдите на вкладку Группы безопасности приложений, а затем выберите Настройка групп безопасности приложений.

    Screenshot of Configure application security groups.

  5. В разделе "Настройка групп безопасности приложений" выберите asg-web в раскрывающемся меню "Группы безопасности приложений" и нажмите кнопку "Сохранить".

  6. Повторите предыдущие шаги для vm-2, выбрав asg-mgmt в раскрывающемся меню групп безопасности приложений.

Тестирование фильтров трафика

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите vm-2.

  3. На странице обзора нажмите кнопку Подключение и выберите собственный RDP.

  4. Щелкните Скачать RDP-файл.

  5. Откройте скачанный RDP-файл и нажмите Подключиться. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

  6. Нажмите ОК.

  7. При подключении может появиться предупреждение о сертификате. Если вы получили предупреждение, выберите Да или Продолжить, чтобы продолжить процесс подключения.

    Подключение выполнено успешно, так как входящий трафик из Интернета в группу безопасности приложений asg-mgmt разрешен через порт 3389.

    Сетевой интерфейс для vm-2 связан с группой безопасности приложений asg-mgmt и разрешает подключение.

  8. Откройте сеанс PowerShell на виртуальной машине-2. Подключение в vm-1, используя следующее:

    mstsc /v:vm-1

    Подключение RDP от vm-2 к vm-1 завершается успешно, так как по умолчанию виртуальные машины в одной сети могут взаимодействовать друг с другом по любому порту.

    Невозможно создать подключение RDP к виртуальной машине-1 из Интернета. Правило безопасности для asg-web запрещает подключения к порту 3389 входящего трафика из Интернета. По умолчанию входящий трафик из Интернета запрещен для всех ресурсов.

  9. Чтобы установить Microsoft IIS на виртуальной машине виртуальной машины 1 , введите следующую команду из сеанса PowerShell на виртуальной машине 1 :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools

  10. После завершения установки IIS отключитесь от виртуальной машины-1 , которая оставляет вас в подключении к удаленному рабочему столу виртуальной машины 2 .

  11. Отключитесь от виртуальной машины vm-2 .

  12. Найдите виртуальную машину-1 в поле поиска на портале.

  13. На странице обзора vm-1 обратите внимание на общедоступный IP-адрес виртуальной машины. Адрес, показанный в следующем примере: 20.230.55.178, адрес отличается:

    Screenshot of Public IP address of a virtual machine in the Overview page.

  14. Чтобы убедиться, что вы можете получить доступ к веб-серверу vm-1 из Интернета, откройте браузер в Интернете на компьютере и перейдите к ней http://<public-ip-address-from-previous-step>.

Вы видите страницу IIS по умолчанию, так как входящий трафик из Интернета в группу безопасности приложений asg-web application разрешен через порт 80.

Сетевой интерфейс, подключенный к vm-1 , связан с группой безопасности веб-приложения asg и разрешает подключение.

Очистка ресурсов

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы:

  1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов test-rg.

  3. На странице test-rg выберите "Удалить группу ресурсов".

  4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Следующие шаги

Изучив это руководство, вы:

  • Создали группу безопасности сети и связали ее с подсетью виртуальной сети.
  • Создали группы безопасности приложений для сети и управления.
  • Создали две виртуальные машины и связали их сетевые интерфейсы с группами безопасности приложений.
  • Протестировали сетевую фильтрацию группы безопасности приложений.

Дополнительные сведения о группах безопасности сети см. в статьях Безопасность сети и Create, change, or delete a network security group (Создание, изменение или удаление группы безопасности сети).

Azure маршрутизирует трафик между подсетями по умолчанию. Вместо этого вы можете перенаправлять трафик между подсетями через виртуальную машину, которая используется в качестве брандмауэра.

Чтобы узнать, как создать таблицу маршрутов, перейдите к следующему руководству.

Создание таблицы маршрутов