Руководство. Фильтрация сетевого трафика с помощью групп безопасности сети, используя портал Azure
Группа безопасности сети позволяет фильтровать входящий и исходящий трафик ресурсов Azure в виртуальной сети Azure.
Группы безопасности сети содержат правила безопасности, которые фильтруют трафик по IP-адресу, порту и протоколу. Если группа безопасности сети связана с подсетью, правила безопасности применяются к ресурсам, развернутыми в этой подсети.
В этом руководстве описано следующее:
- Создание группы безопасности сети и правил безопасности.
- Создание групп безопасности приложений
- Создание виртуальной сети и привязка группы безопасности сети к подсети.
- Развертывание виртуальных машин и связывание их сетевых интерфейсов с группами безопасности приложений.
Предварительные требования
- Учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.
Вход в Azure
Войдите на портал Azure.
Создание виртуальной сети
Следующая процедура создает виртуальную сеть с подсетью ресурса.
На портале найдите и выберите Виртуальные сети.
На странице Виртуальные сети выберите команду + Создать.
На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:
Параметр Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите Создать. Введите test-rg в поле Имя. Нажмите кнопку . Сведения об экземпляре Имя Введите vnet-1. Регион Выберите регион Восточная часть США 2. 
Нажмите кнопку Далее , чтобы перейти на вкладку Безопасность .
Нажмите кнопку Далее , чтобы перейти на вкладку IP-адреса .
В поле адресного пространства в разделе Подсети выберите подсеть по умолчанию .
В разделе Изменение подсети введите или выберите следующие сведения:
Параметр Значение Сведения о подсети Шаблон подсети Оставьте значение по умолчанию По умолчанию. Имя Введите подсеть-1. Начальный адрес Оставьте значение по умолчанию 10.0.0.0. Размер подсети Оставьте значение по умолчанию /24 (256 адресов). 
Щелкните Сохранить.
Выберите Просмотр и создание в нижней части экрана, а затем, когда проверка пройдет, нажмите кнопку Создать.
Создание групп безопасности приложений
Группа безопасности приложений позволяет группировать серверы с аналогичными функциями, например веб-серверы.
В поле поиска в верхней части портала введите Группа безопасности приложений. Выберите Группы безопасности приложений в результатах поиска.
Выберите + Создать.
На вкладке Основы страницы Создание группы безопасности приложений введите или выберите следующие сведения:
Параметр Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя Введите asg-web. Регион Выберите регион Восточная часть США 2. Выберите Review + create (Просмотреть и создать).
Выберите + Создать.
Повторите предыдущие шаги, указав следующие значения:
Параметр Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя Введите asg-mgmt. Регион Выберите регион Восточная часть США 2. Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Создание группы безопасности сети
Группа безопасности сети защищает трафик в вашей виртуальной сети.
В поле поиска в верхней части портала введите Группа безопасности сети. В результатах поиска выберите Группы безопасности сети.
Примечание
В результатах поиска для групп безопасности сети могут отображаться группы безопасности сети (классические). Выберите Группы безопасности сети.
Выберите + Создать.
На вкладке Основы страницы Создание группы безопасности сети введите или выберите указанные ниже значения параметров:
Параметр Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя Введите nsg-1. Расположение Выберите регион Восточная часть США 2. Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Связывание группы безопасности сети с подсетью
В этом разделе вы свяжете группу безопасности сети с подсетью созданной ранее виртуальной сети.
В поле поиска в верхней части портала введите Группа безопасности сети. В результатах поиска выберите Группы безопасности сети.
Выберите nsg-1.
Выберите Подсети в разделе Параметрыв nsg-1.
На странице Подсети выберите + Связать:
В разделе Связать подсеть выберите vnet-1 (test-rg) для параметра Виртуальная сеть.
Выберите подсеть-1 в поле Подсеть, а затем нажмите кнопку ОК.
Создание правил безопасности
Выберите Правила безопасности для входящего трафика в разделе Параметрыnsg-1.
На странице Правила безопасности для входящего трафика выберите + Добавить.
Создайте правило безопасности, которое разрешает использовать порты 80 и 443 в группе безопасности приложений asg-web . На странице Добавление правила безопасности для входящего трафика введите или выберите следующие сведения:
Параметр Значение Источник Оставьте значение по умолчанию Любое. Диапазоны исходных портов Оставьте значение по умолчанию для (*). Назначение Выберите Группа безопасности приложений. Конечные группы безопасности приложений Выберите asg-web. Служба Оставьте значение по умолчанию Настраиваемое. Диапазоны портов назначения Введите 80,443. Протокол Выберите TCP. Действие Оставьте значение по умолчанию Разрешить. Приоритет Оставьте значение по умолчанию 100. Имя Введите allow-web-all. Выберите Добавить.
Выполните предыдущие шаги, указав следующие сведения:
Параметр Значение Источник Оставьте значение по умолчанию Любое. Диапазоны исходных портов Оставьте значение по умолчанию для (*). Назначение Выберите Группа безопасности приложений. Группа безопасности приложений для назначения Выберите asg-mgmt. Служба Выберите RDP. Действие Оставьте значение по умолчанию Разрешить. Приоритет Оставьте значение по умолчанию 110. Имя Введите allow-rdp-all. Выберите Добавить.
Внимание!
В этой статье RDP (порт 3389) предоставляется в Интернете для виртуальной машины, назначенной группе безопасности приложений asg-mgmt .
В рабочих средах рекомендуется не открывать порт 3389 для доступа из Интернета, а подключиться к ресурсам Azure, которыми вы хотите управлять, с помощью VPN-подключения, частного сетевого подключения или Бастиона Azure.
Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.
Создание виртуальных машин
Создайте две виртуальные машины в виртуальной сети.
На портале найдите и выберите Виртуальные машины.
В разделе Виртуальные машины выберите + Создать, а затем — Виртуальная машина Azure.
В подменю Создать виртуальную машину введите или выберите следующую информацию на вкладке Основные сведения:
Параметр Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите test-rg. Сведения об экземпляре Имя виртуальной машины Введите vm-1. Регион Выберите регион (США) Восточная часть США 2. Параметры доступности Оставьте значение по умолчанию для параметра Избыточность инфраструктуры не требуется. Тип безопасности Выберите Стандартная. Image Выберите Windows Server 2022 Datacenter — x64-го поколения. Точечный экземпляр Azure Оставьте значение по умолчанию (флажок снят). Размер Выберите размер. Учетная запись администратора Имя пользователя Введите имя пользователя. Пароль Введите пароль. Подтверждение пароля Введите пароль еще раз. Правила входящего порта Выбрать входящие порты Выберите Отсутствует. Выберите Next: Disks (Далее: диски)и Next: Networking (Далее: сеть).
На вкладке Сеть введите или выберите следующие значения параметров.
Параметр Значение Сетевой интерфейс Виртуальная сеть Выберите vnet-1. Подсеть Выберите подсеть 1 (10.0.0.0/24). Общедоступный IP-адрес Оставьте значение по умолчанию "Новый общедоступный IP-адрес". Сетевая группа безопасности сетевого адаптера Выберите Отсутствует. Перейдите на вкладку Просмотр и создание или нажмите синюю кнопку Просмотр и создание внизу страницы.
Нажмите кнопку создания. На развертывание может потребоваться несколько минут.
Повторите предыдущие шаги, чтобы создать вторую виртуальную машину с именем vm-2.
Связывание сетевых интерфейсов с группой безопасности приложений
При создании виртуальной машины Azure создает сетевой интерфейс для каждой виртуальной машины и подключает их к виртуальным машинам.
Добавьте сетевой интерфейс для каждой виртуальной машины в одну из созданных ранее групп безопасности приложений:
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-1.
Выберите Сеть в разделе Параметрыстатьи vm-1.
Перейдите на вкладку Группы безопасности приложений, а затем выберите Настройка групп безопасности приложений.
В разделе Настройка групп безопасности приложений выберите asg-web в раскрывающемся меню Группы безопасности приложений , а затем выберите Сохранить.
Повторите предыдущие шаги для vm-2, выбрав asg-mgmt в раскрывающемся меню Группы безопасности приложений .
Тестирование фильтров трафика
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-2.
На странице Обзор нажмите кнопку Подключиться , а затем выберите Собственный RDP.
Щелкните Скачать RDP-файл.
Откройте скачанный RDP-файл и нажмите Подключиться. Введите имя пользователя и пароль, указанные при создании виртуальной машины.
Щелкните ОК.
При подключении может появиться предупреждение о сертификате. Если вы получили предупреждение, выберите Да или Продолжить, чтобы продолжить процесс подключения.
Подключение выполнено успешно, так как входящий трафик из Интернета в группу безопасности приложений asg-mgmt разрешен через порт 3389.
Сетевой интерфейс для vm-2 связан с группой безопасности приложений asg-mgmt и разрешает подключение.
Откройте сеанс PowerShell на виртуальной машине vm-2. Подключитесь к vm-1 , используя следующее:
mstsc /v:vm-1Подключение по протоколу RDP из vm-2 к vm-1 выполняется успешно, так как виртуальные машины в одной сети могут взаимодействовать друг с другом через любой порт по умолчанию.
Невозможно создать подключение по протоколу RDP к виртуальной машине vm-1 из Интернета. Правило безопасности для asg-web запрещает входящий трафик через Интернет через порт 3389. По умолчанию входящий трафик из Интернета запрещен для всех ресурсов.
Чтобы установить Microsoft IIS на виртуальной машине vm-1 , введите следующую команду из сеанса PowerShell на виртуальной машине vm-1 :
Install-WindowsFeature -name Web-Server -IncludeManagementToolsПосле завершения установки IIS отключитесь от виртуальной машины vm-1 , в связи с чем вы будете подключены к удаленному рабочему столу виртуальной машины vm-2 .
Отключитесь от виртуальной машины vm-2 .
Найдите vm-1 в поле поиска на портале.
На странице Обзорvm-1 запишите общедоступный IP-адрес виртуальной машины. В следующем примере показан адрес 20.230.55.178, ваш адрес отличается:
Чтобы убедиться, что у вас есть доступ к веб-серверу vm-1 из Интернета, откройте браузер на компьютере и перейдите по адресу
http://<public-ip-address-from-previous-step>.
Вы увидите страницу IIS по умолчанию, так как входящий трафик из Интернета в группу безопасности приложений asg-web разрешен через порт 80.
Сетевой интерфейс, подключенный к vm-1 , связан с группой безопасности приложений asg-web и разрешает подключение.
Очистка ресурсов
Завершив использование созданных ресурсов, вы можете удалить группу ресурсов и все ее ресурсы.
Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.
На странице Группы ресурсов выберите группу ресурсов test-rg .
На странице test-rg выберите Удалить группу ресурсов.
Введите test-rg в поле Введите имя группы ресурсов, чтобы подтвердить удаление , и выберите Удалить.
Дальнейшие действия
Изучив это руководство, вы:
- Создали группу безопасности сети и связали ее с подсетью виртуальной сети.
- Создали группы безопасности приложений для сети и управления.
- Создали две виртуальные машины и связали их сетевые интерфейсы с группами безопасности приложений.
- Протестировали сетевую фильтрацию группы безопасности приложений.
Дополнительные сведения о группах безопасности сети см. в статьях Безопасность сети и Create, change, or delete a network security group (Создание, изменение или удаление группы безопасности сети).
Azure маршрутизирует трафик между подсетями по умолчанию. Вместо этого вы можете перенаправлять трафик между подсетями через виртуальную машину, которая используется в качестве брандмауэра.
Чтобы узнать, как создать таблицу маршрутов, перейдите к следующему руководству.