План развертывания Брандмауэра Azure
Перед развертыванием Брандмауэра Azure необходимо спланировать топологию сети, определить необходимые правила брандмауэра и ознакомиться с этапами развертывания.
Рекомендуемая топология сети
Помните, что Брандмауэр Azure лучше всего развертывается с помощью топологии сети концентратора и периферийной сети со следующими характеристиками:
- Виртуальная сеть, которая выступает в качестве центральной точки подключения. Эта сеть является виртуальной сетью концентратора.
- Одна или несколько виртуальных сетей, которые являются одноранговыми по отношению к концентратору. Эти одноранговые сети являются периферийными виртуальными сетями и используются для предоставления серверов рабочей нагрузки.
Экземпляр брандмауэра можно развернуть в подсети виртуальной сети концентратора, а затем настроить весь входящий и исходящий трафик, чтобы пройти через брандмауэр. Эта конфигурация будет использоваться при развертывании Брандмауэра Azure для защиты пула узлов Виртуального рабочего стола Azure.
Правила Брандмауэра Azure
Как уже упоминалось, по умолчанию брандмауэр запрещает доступ любым пакетам. Ваша задача — настроить в брандмауэре условия, при соблюдении которых трафик будет пропускаться через брандмауэр. Каждое условие называется правилом. Каждое правило выполняет одну или несколько проверок данных. Только трафик, который проходит все проверки, предусмотренные в правилах брандмауэра, может быть пропущен через него.
В следующей таблице описаны три типа правил, которые можно создать для брандмауэра Azure. Чтобы разрешить соответствующий сетевой трафик для Виртуального рабочего стола Azure, используются правила для приложения и сетевые правила.
| Тип правила | Description |
|---|---|
| Преобразование сетевых адресов (NAT) | Преобразование и фильтрация входящего интернет-трафика в соответствии с общедоступным IP-адресом брандмауэра и указанным номером порта. Например, для подключения к удаленному рабочему столу на виртуальной машине можно использовать правило NAT, чтобы преобразовать общедоступный IP-адрес и порт 3389 вашего брандмауэра в частный IP-адрес виртуальной машины. |
| Приложение | Выполните фильтрацию трафика по полному доменному имени (FQDN) или тегу FQDN. Тег FQDN представляет собой группу полных доменных имен, связанных с хорошо известными службами Майкрософт, например Виртуальным рабочим столом Azure. Например, будет использоваться правило для приложения, разрешающее исходящий трафик для виртуальных машин Виртуального рабочего стола Azure с помощью тега FQDN WindowsVirtualDesktop. |
| Network | Фильтруйте трафик на основе одного или нескольких следующих трех параметров сети: IP-адрес, порт и протокол. Например, используйте сетевое правило, чтобы разрешить трафик от частного IP-адреса локального сервера домена Active Directory в Azure для TCP и UDP-порта 53. Если вы используете доменный сервер Microsoft Entra, вам не нужно создавать сетевое правило. Запросы DNS пересылаются на Azure DNS с IP-адресом 168.63.129.16. |
Брандмауэр Azure применяет правила в порядке приоритета. Правила, основанные на аналитике угроз, всегда получают наивысший приоритет и обрабатываются первыми. После этого правила применяются по типу: правила NAT, а затем сетевые правила, а затем правила приложения. В каждом типе правила обрабатываются в соответствии со значениями приоритета, назначаемыми при создании правила, от самого низкого значения до самого высокого.
Параметры развертывания
Как упоминалось выше, Брандмауэр Azure предлагает множество функций, упрощающих создание правил и управление ими. Эти функции кратко представлены в следующей таблице. Чтобы разрешить сетевой трафик для виртуального рабочего стола Azure, вы будете использовать теги FQDN, но вы также можете использовать эти другие параметры в вашей среде.
| Функция | Description |
|---|---|
| Полное доменное имя | Доменное имя узла либо один или несколько IP-адресов. Добавление полного доменного имени для правила приложения разрешает доступ к этому домену. При использовании полного доменного имени в правиле приложения можно использовать дикие карта, такие как *.google.com. |
| Тег FQDN | Группа хорошо известных полных доменных имен Майкрософт. Добавление тега FQDN к правилу приложения разрешает исходящий доступ к полному доменному имени тега. Например, существуют теги FQDN для служб Обновл. Windows, Виртуального рабочего стола Azure, диагностики Windows, Azure Backup и других. Корпорация Майкрософт управляет тегами FQDN и не может изменять или создавать их. |
| Тег службы | Группа префиксов IP-адресов, связанных с определенной службой Azure. Добавление тега службы к правилу сети разрешает доступ к службе, представленной тегом. Теги служб имеются у десятков служб Azure, в том числе Azure Backup, Azure Cosmos DB, Logic Apps. Корпорация Майкрософт управляет тегами служб и не может изменять или создавать их. |
| Группы IP-адресов | Группа IP-адресов, например 10.2.0.0/16 или 10.1.0.0-10.1.0.31. IP-группу можно использовать в качестве адреса источника в правиле NAT или приложения либо в качестве адреса источника или назначения в правиле сети. |
| Пользовательский DNS | Пользовательский DNS-сервер, который сопоставляет доменные имена с IP-адресами. При использовании пользовательского DNS-сервера, а не DNS Azure необходимо также настроить Брандмауэр Azure в качестве DNS-прокси. |
| DNS-прокси | Вы можете настроить Брандмауэр Azure для работы в качестве DNS-прокси. Это означает, что все клиентские запросы DNS проходят через брандмауэр перед направлением на DNS-сервер. |
Порядок развертывания Брандмауэра Azure
В предыдущем упражнении был создан пул узлов и виртуальная сеть с подсетью. В этой подсети вы развернули виртуальную машину узла сеансов и зарегистрировали подсеть в пуле узлов. В следующих упражнениях вы выполните развертывание Брандмауэра Azure для защиты пула узлов.
Настройте сеть:
- Создайте виртуальную сеть концентратора, содержащую подсеть для развертывания брандмауэра.
- Создайте одноранговые связи звездообразной сети. В следующем упражнении вы выполните пиринговое подключение виртуальной сети концентратора к виртуальной сети, используемой пулом узлов Виртуального рабочего стола Azure.
Развертывание Брандмауэр Azure:
- Разверните Брандмауэр Azure в подсети виртуальной сети концентратора.
- Для исходящего трафика создайте маршрут по умолчанию, который отправляет трафик из всех подсетей на частный IP-адрес брандмауэра.
Создание правил Брандмауэр Azure:
- Настройте брандмауэр с помощью правил фильтрации входящего и исходящего трафика.