Руководство. Фильтрация сетевого трафика с помощью группы безопасности сети

Группа безопасности сети позволяет фильтровать входящий и исходящий трафик ресурсов Azure в виртуальной сети Azure.

Группы безопасности сети содержат правила безопасности, которые фильтруют трафик по IP-адресу, порту и протоколу. Если группа безопасности сети связана с подсетью, правила безопасности применяются к ресурсам, развернутыми в этой подсети.

Схема ресурсов, созданных во время руководства.

В этом руководстве описано следующее:

  • Создание группы безопасности сети и правил безопасности.
  • Создание групп безопасности приложений
  • Создание виртуальной сети и привязка группы безопасности сети к подсети.
  • Развертывание виртуальных машин и связывание их сетевых интерфейсов с группами безопасности приложений.

Необходимые компоненты

Следующая процедура создает виртуальную сеть с подсетью ресурсов.

  1. На портале найдите и выберите "Виртуальные сети".

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите Создать.
    Введите test-rg в name.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя. Введите vnet-1.
    Область/регион Выберите регион Восточная часть США 2.

    Снимок экрана: вкладка

  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

  5. Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .

  6. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

  7. В области "Изменить подсеть" введите или выберите следующие сведения:

    Параметр Значение
    Сведения о подсети
    Шаблон подсети Оставьте значение по умолчанию по умолчанию.
    Имя. Введите подсеть-1.
    Начальный адрес Оставьте значение по умолчанию 10.0.0.0.
    Размер подсети Оставьте значение по умолчанию /24(256 адресов).

    Снимок экрана: переименование и настройка подсети по умолчанию.

  8. Выберите Сохранить.

  9. Выберите "Рецензирование" и "Создать " в нижней части экрана. После прохождения проверки выберите Создать.

Создание групп безопасности приложений

Группа безопасности приложений позволяет группировать серверы с аналогичными функциями, например веб-серверы.

  1. В поле поиска в верхней части портала введите группу безопасности приложений. Выберите группы безопасности приложений в результатах поиска.

  2. Выберите + Создать.

  3. На вкладке "Основы" создайте группу безопасности приложений, введите или выберите следующую информацию:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите asg-web.
    Область/регион Выберите регион Восточная часть США 2.
  4. Выберите Review + create (Просмотреть и создать).

  5. Выберите + Создать.

  6. Повторите предыдущие шаги, указав следующие значения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите asg-mgmt.
    Область/регион Выберите регион Восточная часть США 2.
  7. Выберите Review + create (Просмотреть и создать).

  8. Нажмите кнопку создания.

Создание группы безопасности сети

Группа безопасности сети защищает трафик в вашей виртуальной сети.

  1. В поле поиска в верхней части портала введите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

    Примечание.

    В результатах поиска для групп безопасности сети могут отображаться группы безопасности сети (классическая модель). Выберите группы безопасности сети.

  2. Выберите + Создать.

  3. На вкладке "Основы" группы безопасности сети введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Имя. Введите nsg-1.
    Расположение Выберите регион Восточная часть США 2.
  4. Выберите Review + create (Просмотреть и создать).

  5. Нажмите кнопку создания.

Связывание группы безопасности сети с подсетью

В этом разделе описано, как связать группу безопасности сети с подсетью созданной ранее виртуальной сети.

  1. В поле поиска в верхней части портала введите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

  2. Выберите nsg-1.

  3. Выберите подсети из раздела "Параметры" nsg-1.

  4. На странице Подсети выберите + Связать:

    Снимок экрана: связывание группы безопасности сети с подсетью.

  5. В разделе "Связать подсеть" выберите виртуальную сеть-1 (test-rg) для виртуальной сети.

  6. Выберите подсеть-1 для подсети и нажмите кнопку "ОК".

Создание правил безопасности

  1. Выберите правила безопасности для входящего трафика в разделе "Параметры" nsg-1.

  2. На странице правил безопасности для входящего трафика нажмите кнопку +Добавить.

  3. Создайте правило безопасности, разрешающее порты 80 и 443 группе безопасности asg-web application. На странице "Добавление правила безопасности для входящего трафика" введите или выберите следующие сведения:

    Параметр Значение
    Оригинал Оставьте значение по умолчанию Любое.
    Диапазоны исходных портов Оставьте значение по умолчанию для (*).
    Назначение Выберите Группа безопасности приложений.
    Конечные группы безопасности приложений Выберите asg-web.
    Service Оставьте значение по умолчанию Настраиваемое.
    Диапазоны портов назначения Введите 80,443.
    Протокол Выберите TCP.
    Действие Оставьте значение по умолчанию Разрешить.
    Приоритет Оставьте значение по умолчанию 100.
    Имя. Введите allow-web-all.
  4. Выберите Добавить.

  5. Выполните предыдущие действия со следующими сведениями:

    Параметр Значение
    Оригинал Оставьте значение по умолчанию Любое.
    Диапазоны исходных портов Оставьте значение по умолчанию для (*).
    Назначение Выберите Группа безопасности приложений.
    Группа безопасности приложений для назначения Выберите asg-mgmt.
    Service Выберите RDP.
    Действие Оставьте значение по умолчанию Разрешить.
    Приоритет Оставьте значение по умолчанию 110.
    Имя. Введите allow-rdp-all.
  6. Выберите Добавить.

Внимание

В этой статье RDP (порт 3389) предоставляется в Интернете для виртуальной машины, назначенной группе безопасности приложений asg-mgmt .

В рабочих средах рекомендуется не открывать порт 3389 для доступа из Интернета, а подключиться к ресурсам Azure, которыми вы хотите управлять, с помощью VPN-подключения, частного сетевого подключения или Бастиона Azure.

Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.

Создание виртуальных машин

Создайте две виртуальные машины в виртуальной сети.

  1. На портале найдите и выберите "Виртуальные машины".

  2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

  3. В подменю Создать виртуальную машину введите или выберите следующую информацию на вкладке Основные сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Virtual machine name Введите vm-web.
    Область/регион Выберите регион (США) Восточная часть США 2.
    Параметры доступности Оставьте значение по умолчанию для параметра Избыточность инфраструктуры не требуется.
    Тип безопасности Выберите Стандартное.
    Изображения Выберите Windows Server 2022 Datacenter — x64-го поколения 2-го поколения.
    Точечный экземпляр Azure Оставьте значение по умолчанию (флажок снят).
    Размер Выберите размер.
    Учетная запись администратора
    Username Введите имя пользователя.
    Пароль Введите пароль.
    Подтверждение пароля Введите пароль еще раз.
    Правила входящего порта
    Выбрать входящие порты Выберите Отсутствует.
  4. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".

  5. На вкладке Сеть введите или выберите следующие значения параметров.

    Параметр Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите виртуальную сеть-1.
    Подсеть Выберите подсеть-1 (10.0.0.0/24).
    Общедоступный IP-адрес Оставьте значение по умолчанию "Новый общедоступный IP-адрес".
    Группа безопасности сети сетевого адаптера Выберите Отсутствует.
  6. Перейдите на вкладку Просмотр и создание или нажмите синюю кнопку Просмотр и создание внизу страницы.

  7. Нажмите кнопку создания. Развертывание виртуальной машины может занять несколько минут.

  8. Повторите предыдущие шаги, чтобы создать вторую виртуальную машину с именем vm-mgmt.

Связывание сетевых интерфейсов с группой безопасности приложений

При создании виртуальной машины Azure создает сетевой интерфейс для каждой виртуальной машины и подключает их к виртуальным машинам.

Добавьте сетевой интерфейс для каждой виртуальной машины в одну из созданных ранее групп безопасности приложений:

  1. В поле поиска в верхней части портала введите Виртуальная машина. Выберите виртуальные машины в результатах поиска, а затем выберите vm-web.

  2. Выберите группы безопасности приложений из раздела "Сеть" виртуальной машины.

  3. Выберите "Добавить группы безопасности приложений", а затем на вкладке "Добавить группы безопасности приложений" выберите asg-web. Наконец, нажмите Добавить.

    Снимок экрана: настройка групп безопасности приложения.

  4. Повторите предыдущие шаги для vm-mgmt, выбрав asg-mgmt на вкладке "Добавление групп безопасности приложений".

Тестирование фильтров трафика

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите vm-mgmt.

  3. На странице "Обзор" нажмите кнопку "Подключиться" и выберите "Собственный RDP".

  4. Щелкните Скачать RDP-файл.

  5. Откройте скачанный RDP-файл и нажмите Подключиться. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

  6. Нажмите ОК.

  7. Во время процесса подключения может появиться предупреждение о сертификате. Если вы получили предупреждение, выберите Да или Продолжить, чтобы продолжить процесс подключения.

    Подключение выполнено успешно, так как входящий трафик из Интернета в группу безопасности приложений asg-mgmt разрешен через порт 3389.

    Сетевой интерфейс для vm-mgmt связан с группой безопасности приложений asg-mgmt и разрешает подключение.

  8. Откройте сеанс PowerShell в vm-mgmt. Подключитесь к vm-web , используя следующее:

    mstsc /v:vm-web
    

    Подключение RDP из vm-mgmt к vm-web завершается успешно, так как виртуальные машины в одной сети могут взаимодействовать друг с другом через любой порт по умолчанию.

    Вы не можете создать подключение RDP к виртуальной веб-виртуальной машине из Интернета. Правило безопасности для asg-web запрещает подключения к порту 3389 входящего трафика из Интернета. По умолчанию входящий трафик из Интернета запрещен для всех ресурсов.

  9. Чтобы установить Microsoft IIS на виртуальной веб-виртуальной машине, введите следующую команду из сеанса PowerShell на виртуальной веб-виртуальной машине:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  10. После завершения установки IIS отключитесь от виртуальной веб-виртуальной машины, которая оставляет вас в подключении к удаленному рабочему столу виртуальной машины vm-mgmt .

  11. Отключитесь от виртуальной машины mgmt .

  12. Найдите виртуальную машину в поле поиска на портале.

  13. На странице обзора виртуальной машины обратите внимание на общедоступный IP-адрес виртуальной машины. Адрес, показанный в следующем примере: 203.0.113.103. Ваш адрес отличается:

    Снимок экрана: общедоступный IP-адрес виртуальной машины на странице

  14. Чтобы убедиться, что вы можете получить доступ к веб-серверу виртуальной машины из Интернета, откройте браузер в Интернете на компьютере и перейдите к http://<public-ip-address-from-previous-step>ней.

Вы видите страницу IIS по умолчанию, так как входящий трафик из Интернета в группу безопасности приложений asg-web application разрешен через порт 80.

Сетевой интерфейс, подключенный к vm-web , связан с группой безопасности asg-web application и разрешает подключение.

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

  1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов test-rg.

  3. На странице test-rg выберите "Удалить группу ресурсов".

  4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Следующие шаги

Изучив это руководство, вы:

  • Создали группу безопасности сети и связали ее с подсетью виртуальной сети.
  • Создали группы безопасности приложений для сети и управления.
  • Создали две виртуальные машины и связали их сетевые интерфейсы с группами безопасности приложений.
  • Протестировали сетевую фильтрацию группы безопасности приложений.

Дополнительные сведения о группах безопасности сети см. в статьях Безопасность сети и Create, change, or delete a network security group (Создание, изменение или удаление группы безопасности сети).

Azure маршрутизирует трафик между подсетями по умолчанию. Вместо этого можно выбрать маршрутизацию трафика между подсетями через виртуальную машину, выступая в качестве брандмауэра, например.

Чтобы узнать, как создать таблицу маршрутов, перейдите к следующему руководству.