Руководство. Фильтрация сетевого трафика с помощью групп безопасности сети, используя портал Azure

Группа безопасности сети позволяет фильтровать входящий и исходящий трафик ресурсов Azure в виртуальной сети Azure.

Группы безопасности сети содержат правила безопасности, которые фильтруют трафик по IP-адресу, порту и протоколу. Если группа безопасности сети связана с подсетью, правила безопасности применяются к ресурсам, развернутыми в этой подсети.

В этом руководстве описано следующее:

  • Создание группы безопасности сети и правил безопасности.
  • Создание групп безопасности приложений
  • Создание виртуальной сети и привязка группы безопасности сети к подсети.
  • Развертывание виртуальных машин и связывание их сетевых интерфейсов с группами безопасности приложений.
  • Тестирование фильтров трафика

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Предварительные требования

  • Подписка Azure

Вход в Azure

Войдите на портал Azure.

Создание виртуальной сети

  1. В меню на портале Azure выберите + Создать ресурс>Сеть>Виртуальная сеть или выполните поиск по строке виртуальная сеть в поле поиска.

  2. Нажмите кнопку создания.

  3. На вкладке Основы окна Создание виртуальной сети введите или выберите следующие значения параметров:

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите Создать.
    Введите myResourceGroup.
    Нажмите кнопку
    .
    Сведения об экземпляре
    Имя Введите myVNet.
    Регион Выберите Восточная часть США.
  4. Перейдите на вкладку Просмотр и создание или нажмите синюю кнопку Просмотр и создание внизу страницы.

  5. Нажмите кнопку создания.

Создание групп безопасности приложений

Группа безопасности приложений позволяет группировать серверы с аналогичными функциями, например веб-серверы.

  1. В меню на портале Azure выберите + Создать ресурс>Сеть>Группа безопасности приложений или выполните поиск по строке Группа безопасности приложений в поле поиска.

  2. Нажмите кнопку создания.

  3. На вкладке Основы страницы Создание группы безопасности приложений введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите myResourceGroup.
    Сведения об экземпляре
    Имя Введите myAsgWebServers.
    Регион Выберите регион (США) Восточная часть США.
  4. Перейдите на вкладку Просмотр и создание или нажмите синюю кнопку Просмотр и создание внизу страницы.

  5. Нажмите кнопку создания.

  6. Повторите предыдущие шаги, указав следующие значения:

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите myResourceGroup.
    Сведения об экземпляре
    Имя Введите myAsgMgmtServers.
    Регион Выберите регион (США) Восточная часть США.
  7. Перейдите на вкладку Просмотр и создание или нажмите синюю кнопку Просмотр и создание внизу страницы.

  8. Нажмите кнопку создания.

Создание группы безопасности сети

Группа безопасности сети защищает трафик в вашей виртуальной сети.

  1. В меню на портале Azure выберите + Создать ресурс>Сеть>Группа безопасности сети или выполните поиск по строке Группа безопасности сети в поле поиска.

  2. Нажмите кнопку создания.

  3. На вкладке Основы страницы Создание группы безопасности сети введите или выберите указанные ниже значения параметров:

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите myResourceGroup.
    Сведения об экземпляре
    Имя Введите myNSG.
    Расположение Выберите регион (США) Восточная часть США.
  4. Перейдите на вкладку Просмотр и создание или нажмите синюю кнопку Просмотр и создание внизу страницы.

  5. Нажмите кнопку создания.

Связывание группы безопасности сети с подсетью

В этом разделе вы свяжете группу безопасности сети с созданной ранее подсетью виртуальной сети.

  1. Выполните поиск по строке myNsg в поле поиска на портале.

  2. Выберите Подсети в разделе Параметры для myNsg.

  3. На странице Подсети выберите + Связать:

    Снимок экрана: связывание группы безопасности сети с подсетью.

  4. В разделе Связать подсеть выберите myVNet для параметра Виртуальная сеть.

  5. Выберите по умолчанию для параметра Подсеть, а затем нажмите ОК.

Создание правил безопасности

  1. Выберите Правила безопасности для входящего трафика в разделе Параметры для myNSG.

  2. На странице Правила безопасности для входящего трафика выберите + Добавить.

    Снимок экрана: правила безопасности для входящего трафика в группе безопасности сети.

  3. Создайте правило безопасности, которое позволяет использование портов 80 и 443 в группе безопасности приложения myAsgWebServers. На странице Добавление правила безопасности для входящего трафика введите или выберите следующее:

    Параметр Значение
    Источник Оставьте значение по умолчанию Любое.
    Диапазоны исходных портов Оставьте значение по умолчанию для (*).
    Назначение Выберите Группа безопасности приложений.
    Конечные группы безопасности приложений Выберите myAsgWebServers.
    Служба Оставьте значение по умолчанию Настраиваемое.
    Диапазоны портов назначения Введите 80,443.
    Протокол Выберите TCP.
    Действие Оставьте значение по умолчанию Разрешить.
    Приоритет Оставьте значение по умолчанию 100.
    Имя Введите Allow-Web-All.

    Снимок экрана: добавление правила безопасности для входящего трафика в группе безопасности сети.

  4. Выберите Добавить.

  5. Выполните шаги 3–4 еще раз, используя следующие сведения:

    Параметр Значение
    Источник Оставьте значение по умолчанию Любое.
    Диапазоны исходных портов Оставьте значение по умолчанию для (*).
    Назначение Выберите Группа безопасности приложений.
    Группа безопасности приложений для назначения Выберите myAsgMgmtServers.
    Служба Оставьте значение по умолчанию Настраиваемое.
    Диапазоны портов назначения Введите 3389.
    Протокол Любое.
    Действие Оставьте значение по умолчанию Разрешить.
    Приоритет Оставьте значение по умолчанию 110.
    Имя Введите Allow-RDP-All.
  6. Выберите Добавить.

    Внимание!

    В этой статье RDP (порт 3389) доступен в Интернете для виртуальной машины, назначенной группе безопасности приложений myAsgMgmtServers.

    В рабочих средах рекомендуется не открывать порт 3389 для доступа из Интернета, а подключиться к ресурсам Azure, которыми вы хотите управлять, с помощью VPN-подключения, частного сетевого подключения или Бастиона Azure.

    Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.

Выполнив шаги 1–3, просмотрите созданные вами правила. Список должен выглядеть так, как показано на следующем примере:

Снимок экрана: правила безопасности группы безопасности сети.

Создание виртуальных машин

Создайте две виртуальные машины в виртуальной сети.

Создание первой виртуальной машины

  1. В меню на портале Azure выберите + Создать ресурс>Вычисления>Виртуальная машина или выполните поиск по строке виртуальная машина в поле поиска.

  2. В подменю Создать виртуальную машину введите или выберите следующую информацию на вкладке Основные сведения:

    Параметр Значение
    Сведения о проекте
    Подписка Выберите свою подписку.
    Группа ресурсов Выберите myResourceGroup.
    Сведения об экземпляре
    Имя виртуальной машины Введите myVMWeb.
    Регион Выберите регион (США) Восточная часть США.
    Параметры доступности Оставьте значение по умолчанию для параметра Избыточность инфраструктуры не требуется.
    Тип безопасности Оставьте значение по умолчанию Стандартный.
    Образ — Выберите Windows Server 2019 Datacenter (поколение 2) .
    Точечный экземпляр Azure Оставьте значение по умолчанию (флажок снят).
    Размер Выберите Standard_D2s_V3.
    Учетная запись администратора
    Имя пользователя Введите имя пользователя.
    Пароль Введите пароль.
    Подтверждение пароля Введите пароль еще раз.
    Правила входящего порта
    Выбрать входящие порты Выберите Отсутствует.
  3. Перейдите на вкладку Сеть.

  4. На вкладке Сеть введите или выберите следующие значения параметров.

    Параметр Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите myVNet.
    Подсеть Выберите по умолчанию (10.0.0.0/24) .
    Общедоступный IP-адрес Оставьте значение по умолчанию "Новый общедоступный IP-адрес".
    Сетевая группа безопасности сетевого адаптера Выберите Отсутствует.
  5. Перейдите на вкладку Просмотр и создание или нажмите синюю кнопку Просмотр и создание внизу страницы.

  6. Нажмите кнопку создания. На развертывание может потребоваться несколько минут.

Создание второй виртуальной машины

Выполните шаги 1–6 еще раз, но на шаге 2 введите myVMMgmt в качестве имени виртуальной машины.

Дождитесь завершения развертывания виртуальных машин, прежде чем перейти к следующему разделу.

Связывание сетевых интерфейсов с группой безопасности приложений

При создании виртуальной машины Azure создает сетевой интерфейс для каждой виртуальной машины и подключает их к виртуальным машинам.

Добавьте сетевой интерфейс для каждой виртуальной машины в одну из созданных ранее групп безопасности приложений:

  1. Выполните поиск по строке myVMWeb в поле поиска на портале.

  2. Выберите Сеть в разделе Параметры виртуальной машины myVMWeb.

  3. Перейдите на вкладку Группы безопасности приложений, а затем выберите Настройка групп безопасности приложений.

    Снимок экрана: настройка групп безопасности приложения.

  4. В окне Настройка групп безопасности приложений выберите myAsgWebServers. Щелкните Сохранить.

    Снимок экрана: сведения о том, как связать группы безопасности приложения с сетевым интерфейсом.

  5. Выполните шаги 1 и 2 снова, найдите виртуальную машину myVmMgmt и выберите группу безопасности приложений myAsgMgmtServers.

Тестирование фильтров трафика

  1. Выполните поиск по строке myVMMgmt в поле поиска на портале.

  2. На странице Обзор выберите Подключиться, а затем — RDP.

  3. Щелкните Скачать RDP-файл.

  4. Откройте скачанный RDP-файл и нажмите Подключиться. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

  5. Щелкните ОК.

  6. При подключении может появиться предупреждение о сертификате. Если вы получили предупреждение, выберите Да или Продолжить, чтобы продолжить процесс подключения.

    Подключение установлено успешно, так как для порта 3389 разрешен входящий трафик из Интернета в группу безопасности приложений myAsgMgmtServers.

    Сетевой интерфейс для myVMMgmt связан с группой безопасности приложений myAsgMgmtServers и разрешает подключение.

  7. Откройте сеанс PowerShell на myVMMgmt. Подключитесь к myVMWeb с помощью следующего:

    mstsc /v:myVmWeb
    

    RDP-подключение от myVMMgmt к myVMWeb выполняется успешно, так как виртуальные машины в одной сети могут взаимодействовать друг с другом через любой порт по умолчанию.

    К виртуальной машине myVMWeb нельзя установить RDP-подключение из Интернета. Правило безопасности для myAsgWebServers предотвращает подключения к порту 3389 для входящего трафика из Интернета. По умолчанию входящий трафик из Интернета запрещен для всех ресурсов.

  8. Для установки Microsoft IIS на виртуальной машине myVmWeb введите следующую команду из сеанса PowerShell на виртуальной машине myVmWeb:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  9. Когда установка служб IIS завершится, отключитесь от виртуальной машины myVmWeb. Сеанс удаленного рабочего стола виртуальной машины myVmMgmt для вас будет продолжен.

  10. Отключитесь от виртуальной машины myVmMgmt.

  11. Выполните поиск по строке myVMWeb в поле поиска на портале.

  12. На странице Обзор виртуальной машины myVMWeb запишите значение Общедоступный IP-адрес для своей виртуальной машины. Адрес, показанный на следующем примере, — 23.96.39.113, но ваш адрес другой:

    Снимок экрана: общедоступный IP-адрес виртуальной машины на странице

  13. Чтобы убедиться в наличии доступа к веб-серверу myVmWeb из Интернета, откройте веб-браузер на своем компьютере и перейдите по адресу http://<public-ip-address-from-previous-step>.

Отобразится страница IIS по умолчанию, так как для порта 80 разрешен входящий трафик из Интернета в группу безопасности приложений myAsgWebServers.

Сетевой интерфейс, подключенный к myVMMgmt, связан с группой безопасности приложения myAsgMgmtServers и разрешает подключение.

Очистка ресурсов

Удалите группу ресурсов и все содержащиеся в ней ресурсы, когда она станет не нужна.

  1. В поле Поиск в верхней части портала введите myResourceGroup. Когда группа ресурсов myResourceGroup появится в результатах поиска, выберите ее.
  2. Выберите Удалить группу ресурсов.
  3. Введите myResourceGroup в поле TYPE THE RESOURCE GROUP NAME: (Введите имя группы ресурсов:) и нажмите кнопку Удалить.

Дальнейшие действия

Изучив это руководство, вы:

  • Создали группу безопасности сети и связали ее с подсетью виртуальной сети.
  • Создали группы безопасности приложений для сети и управления.
  • Создали две виртуальные машины и связали их сетевые интерфейсы с группами безопасности приложений.
  • Протестировали сетевую фильтрацию группы безопасности приложений.

Дополнительные сведения о группах безопасности сети см. в статьях Безопасность сети и Create, change, or delete a network security group (Создание, изменение или удаление группы безопасности сети).

Azure маршрутизирует трафик между подсетями по умолчанию. Вместо этого вы можете перенаправлять трафик между подсетями через виртуальную машину, которая используется в качестве брандмауэра.

Чтобы узнать, как создать таблицу маршрутов, перейдите к следующему руководству.