Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure

Диспетчер брандмауэра Azure — это платформа для управления сетевыми ресурсами и их защиты в большом масштабе. Вы можете связать свои виртуальные сети с планом защиты от атак DDoS в Диспетчере брандмауэра Azure.

Совет

Защита от атак DDoS в настоящее время не поддерживает виртуальные WAN. Тем не менее можно обойти это ограничение, принудительно перенаправив Интернет-трафик в брандмауэр Azure в виртуальной сети, с которой связан план защиты от атак DDoS.

В рамках одного клиента планы защиты от атак DDoS можно применять к виртуальным сетям в нескольких подписках. Дополнительные сведения о планах защиты от атак DDoS см. в разделе "Защита от атак DDoS Azure".

Чтобы увидеть, как это работает, создайте политику брандмауэра, а затем виртуальную сеть, защищенную брандмауэром Azure. Затем создайте план защиты от атак DDoS, после чего свяжете его с виртуальной сетью.

Создание политики брандмауэра.

Создайте политику брандмауэра с помощью диспетчера брандмауэра.

  1. На портале Azure откройте диспетчер брандмауэра.
  2. Выберите Политики Брандмауэра Azure.
  3. Щелкните Создание политики Брандмауэра Azure.
  4. Для параметра Группа ресурсов выберите DDoS-Test-rg.
  5. В разделе Сведения о политике укажите имя и введите fw-pol-01.
  6. В поле Регион выберите Западная часть США 2.
  7. Выберите Review + create (Просмотреть и создать).
  8. Выберите Создать.

Создание защищенной виртуальной сети

С помощью диспетчера брандмауэра создайте защищенную виртуальную сеть.

  1. Откройте Диспетчер брандмауэра.
  2. Выберите Виртуальные сети.
  3. Выберите Создать защищенную виртуальную сеть.
  4. Для параметра Группа ресурсов выберите DDoS-Test-rg.
  5. В поле Регион выберите Западная часть США 2.
  6. В качестве имени виртуальной сети концентратора введите Hub-vnet-01.
  7. В поле Диапазон адресов введите 10.0.0.0/16.
  8. Выберите Далее. Брандмауэр Azure.
  9. Для общедоступного IP-адреса выберите Добавить новый и введите fw-pip в качестве имени и нажмите кнопку ОК.
  10. Для параметра Адресное пространство подсети брандмауэра введите 10.0.0.0/24.
  11. Выберите fw-pol-01 в качестве значения Политики брандмауэра.
  12. Выберите Далее: проверка и создание.
  13. Выберите Создать.

Создайте план защиты от атак DDoS.

Создайте план защиты от атак DDoS с помощью диспетчера брандмауэра. На странице Планы защиты от атак DDoS можно создавать планы защиты Azure от атак DDoS и управлять ими.

Screenshot of the Firewall Manager DDoS Protection Plans page

  1. Откройте Диспетчер брандмауэра.
  2. Выберите Планы защиты от атак DDoS.
  3. Выберите Создать.
  4. В поле Группа ресурсов выберите Создать новую.
  5. Введите DDos-Test-rg для имени группы ресурсов.
  6. В разделе Сведения об экземпляре введите Имя, DDoS-plan-01.
  7. В поле Регион выберите (США) Западная часть США 2.
  8. Выберите Review + create (Просмотреть и создать).
  9. Выберите Создать.

Связывание плана защиты от атак DDoS

Теперь вы можете связать план защиты от атак DDoS с защищенной виртуальной сетью.

  1. Откройте Диспетчер брандмауэра.
  2. Выберите Виртуальные сети.
  3. Установите флажок напротив Hub-vnet-01.
  4. Выберите Управление безопасностью, Добавить план защиты от атак DDoS.
  5. Для плана защиты от атак DDoS нажмите кнопку "Включить".
  6. Для параметра План защиты от атак DDoS выберите DDoS-plan-01.
  7. Выберите Добавить.
  8. После завершения развертывания нажмите кнопку Обновить.

Теперь вы должны увидеть, что у виртуальной сети есть связанный план защиты от атак DDoS.

Screenshot showing virtual network with DDoS Protection Plan

Следующие шаги