Поделиться через

Руководство по развертыванию брандмауэра с помощью Защиты от атак DDoS Azure

  • Статья

В этой статье показано, как создать Брандмауэр Azure с защищенной виртуальной сетью DDoS. Защита от атак DDoS Azure обеспечивает расширенные возможности защиты от атак DDoS, такие как адаптивная настройка, уведомления об оповещениях об атаках атак DDoS, а также мониторинг для защиты брандмауэра от крупномасштабных атак DDoS.

Внимание

Защита от атак DDoS Azure взимает затраты при использовании SKU защиты сети. Плата за превышение расходов применяется только в том случае, если более 100 общедоступных IP-адресов защищены в клиенте. Убедитесь, что ресурсы в этом руководстве удалены, если вы не используете ресурсы в будущем. Дополнительные сведения о ценах см. в разделе "Цены на защиту от атак DDoS Azure". Дополнительные сведения о защите от атак DDoS Azure см. в статье "Что такое защита от атак DDoS Azure?".

В этом руководстве вы создадите упрощенную виртуальную сеть с двумя подсетями для легкого развертывания. Защита сети от атак DDoS Azure включена для виртуальной сети.

  • AzureFirewallSubnet — в этой подсети находится брандмауэр.
  • Workload-SN — в этой подсети находится сервер рабочей нагрузки. Трафик этой подсети проходит через брандмауэр.

Схема сетевой инфраструктуры брандмауэра с защитой от атак DDoS.

Для развертываний в рабочей среде рекомендуется использовать звездообразную модель, в которой брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки размещены в одноранговых виртуальных сетях в одном регионе с одной или несколькими подсетями.

В этом руководстве описано следующее:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра и политики брандмауэра;
  • Создание маршрута по умолчанию
  • настройка правила приложения для предоставления доступа к www.google.com
  • настройка сетевых правил для предоставления доступа к внешним DNS-серверам;
  • настройка правила NAT для подключения к тестовому серверу по протоколу удаленного рабочего стола;
  • тестирование брандмауэра.

При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Настройка сети

Сначала создайте группу ресурсов, необходимых для развертывания брандмауэра. Затем создайте виртуальную сеть, подсети и тестовый сервер.

Создание или изменение группы ресурсов

Группа ресурсов содержит все ресурсы, необходимые для работы с этим руководством.

  1. Войдите на портал Azure.

  2. В меню портал Azure выберите группы ресурсов или найдите и выберите группы ресурсов на любой странице, а затем нажмите кнопку "Добавить". Введите или выберите следующие значения:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Введите Test-FW-RG.
    Область/регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.

  3. Выберите Review + create (Просмотреть и создать).

  4. Нажмите кнопку создания.

Создайте план защиты от атак DDoS

  1. В поле поиска в верхней части портала введите защиту от атак DDoS. Выберите планы защиты от атак DDoS в результатах поиска и нажмите кнопку +Создать.

  2. На вкладке "Основные сведения" на странице "Создание плана защиты от атак DDoS" введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Сведения об экземпляре
    Имя. Введите myDDoSProtectionPlan.
    Область/регион Выберите регион.

  3. Выберите "Просмотр и создание ", а затем нажмите кнопку "Создать ", чтобы развернуть план защиты от атак DDoS.

Создание виртуальной сети

В этой виртуальной сети будет содержаться две подсети.

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Выберите Сети.

  3. Найдите пункт Виртуальная сеть и выберите его.

  4. Нажмите кнопку "Создать", а затем введите или выберите следующие значения:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя. Введите test-FW-VN.
    Область/регион Выберите использованное ранее расположение.

  5. Нажмите кнопку "Далее": IP-адреса.

  6. Для адресного пространства IPv4 примите значение по умолчанию 10.1.0.0/16.

  7. В разделе Подсеть выберите по умолчанию.

  8. Измените Имя подсети на AzureFirewallSubnet. Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.

  9. Для диапазона адресов введите 10.1.1.0/26.

  10. Выберите Сохранить.

    Теперь создайте подсеть для сервера рабочей нагрузки.

  11. Нажмите Добавить подсеть.

  12. В поле Имя подсети введите Workload-SN.

  13. Для диапазона адресов подсети введите 10.1.2.0/24.

  14. Выберите Добавить.

  15. Нажмите кнопку "Далее": безопасность.

  16. В разделе "Защита от сети DDoS" выберите "Включить".

  17. Выберите myDDoSProtectionPlan в плане защиты от атак DDoS.

  18. Выберите Review + create (Просмотреть и создать).

  19. Нажмите кнопку создания.

Создание виртуальной машины

Теперь создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть Workload-SN.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Выберите Центр обработки данных Windows Server 2019.

  3. Введите или выберите следующие значения для виртуальной машины:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Virtual machine name Введите Srv-Work.
    Область/регион Выберите использованное ранее расположение.
    Username Введите имя пользователя.
    Пароль Введите пароль.

  4. В разделе Правила для входящих портов, Общедоступные входящие порты выберите Нет.

  5. Примите другие значения по умолчанию и нажмите кнопку Далее: Диски.

  6. Примите значения по умолчанию для диска и нажмите кнопку "Далее: сеть".

  7. Убедитесь, что выбрана виртуальная сеть Test-FW-VN и подсеть Workload-SN.

  8. В поле Общедоступный IP-адрес выберите значение Нет.

  9. Примите другие значения по умолчанию и нажмите кнопку "Далее: управление".

  10. Выберите Отключить, чтобы отключить диагностику загрузки. Примите другие значения по умолчанию и выберите Просмотр и создание.

  11. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

  12. Когда развертывание будет завершено, выберите ресурс Srv-Work и запишите частный IP-адрес для последующего использования.

Развертывание брандмауэра и политики

Разверните брандмауэр в виртуальной сети.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Введите брандмауэр в поле поиска и нажмите клавишу ВВОД.

  3. Выберите Брандмауэр, а затем щелкните Создать.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя. Введите Test-FW01.
    Область/регион Выберите использованное ранее расположение.
    Управление брандмауэром Выберите " Использовать политику брандмауэра" для управления этим брандмауэром.
    Политика брандмауэра Выберите " Добавить новую" и введите fw-test-pol.
    Выберите тот же регион, который вы использовали ранее.
    Выберите виртуальную сеть Выберите "Использовать существующий", а затем выберите Test-FW-VN.
    Общедоступный IP-адрес Выберите " Добавить новое" и введите fw-pip для имени.

  5. Примите остальные значения по умолчанию и выберите Проверка и создание.

  6. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание может занять несколько минут.

  7. По завершении развертывания перейдите в группу ресурсов Test-FW-RG и выберите брандмауэр Test-FW01.

  8. Запишите частный и общедоступный IP-адреса брандмауэра. Эти адреса вам пригодятся позже.

Создание маршрута по умолчанию

Для подсети Workload-SN настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

  1. В меню портала Azure выберите Все службы или выполните поиск и выберите Все службы на любой странице.

  2. В разделе Сети выберите Таблицы маршрутов.

  3. Нажмите кнопку "Создать", а затем введите или выберите следующие значения:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Область/регион Выберите использованное ранее расположение.
    Имя. Введите маршрут брандмауэра.

  4. Выберите Review + create (Просмотреть и создать).

  5. Нажмите кнопку создания.

После завершения развертывания выберите Перейти к ресурсу.

  1. На странице Брандмауэр — маршрут выберите Подсети, а затем выберите Связать.
  2. Выберите Виртуальная сеть>Test-FW-VN.
  3. В качестве подсети выберите Workload-SN. Убедитесь, что для этого маршрута выбрана только подсеть Workload-SN. В противном случае брандмауэр не будет работать правильно.
  4. Нажмите ОК.
  5. Выберите Маршруты, а затем нажмите кнопку Добавить.
  6. В поле "Имя маршрута" введите fw-dg.
  7. Для префикса адреса введите 0.0.0.0/0/0.
  8. В поле Тип следующего прыжка выберите Виртуальный модуль. На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.
  9. Для адреса следующего прыжка введите частный IP-адрес брандмауэра, который вы указали ранее.
  10. Нажмите ОК.

Настройка правила приложения

Это правило приложения, разрешающее исходящий доступ к www.google.com.

  1. Откройте группу ресурсов Test-FW-RG и выберите политику брандмауэра fw-test-pol.
  2. Выберите Правила приложений.
  3. Щелкните Добавить коллекцию правил.
  4. В поле "Имя" введите App-Coll01.
  5. В качестве приоритета введите 200.
  6. В разделе Действие коллекции правил выберите Разрешить.
  7. В разделе "Правила" введите Allow-Google.
  8. В поле Тип источника выберите IP-адрес.
  9. В качестве источника введите 10.0.2.0/24.
  10. В параметре Protocol:port введите http, https.
  11. В поле Тип назначения выберите пункт FQDN.
  12. Для назначения введите www.google.com
  13. Выберите Добавить.

Брандмауэр Azure содержит встроенную коллекцию правил для целевых полных доменных имен инфраструктуры, которые разрешены по умолчанию. Эти доменные имена предназначены для платформы и не могут использоваться для других целей. См. дополнительные сведения об FQDN инфраструктуры.

Настройка правила сети

Это сетевое правило, предоставляющее двум IP-адресам исходящий доступ на порт 53 (DNS).

  1. Выберите Сетевые правила.
  2. Щелкните Добавить коллекцию правил.
  3. В поле "Имя" введите Net-Coll01.
  4. В качестве приоритета введите 200.
  5. В разделе Действие коллекции правил выберите Разрешить.
  6. В разделе Группы коллекции правил выберите DefaultNetworkRuleCollectionGroup.
  7. В разделе "Правила" введите allow-DNS.
  8. В поле Тип источника выберите IP-адрес.
  9. В качестве источника введите 10.0.2.0/24.
  10. В поле Протокол выберите UDP.
  11. Для конечных портов введите 53.
  12. В поле Тип назначения выберите пункт IP-адрес.
  13. Для назначения введите 209.244.0.3,209.244.0.4.
    Это общедоступные DNS-серверы, которыми управляет CenturyLink.
  14. Выберите Добавить.

Настройка правила DNAT

Это правило позволяет подключить удаленный рабочий стол к виртуальной машине Srv-Work через брандмауэр.

  1. Выберите Правила DNAT.
  2. Щелкните Добавить коллекцию правил.
  3. В поле "Имя" введите rdp.
  4. В качестве приоритета введите 200.
  5. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  6. В разделе "Правила" введите rdp-nat.
  7. В поле Тип источника выберите IP-адрес.
  8. Введите для параметра Источник значение *.
  9. В поле Протокол выберите TCP.
  10. В поле Целевые порты введите значение3389.
  11. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
  12. В поле "Назначение" введите общедоступный IP-адрес брандмауэра.
  13. В поле "Переведенный адрес" введите частный IP-адрес Srv-work .
  14. Для параметра Преобразованный порт введите значение 3389.
  15. Выберите Добавить.

Изменение первичного и вторичного адресов DNS для сетевого интерфейса Srv-Work

В целях тестирования в рамках этого руководства настройте первичный и вторичный адреса DNS сервера. Это не является общим требованием службы "Брандмауэр Azure".

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.
  2. Выберите сетевой интерфейс для виртуальной машины Srv-Work.
  3. В разделе Параметры выберите DNS-серверы.
  4. Для параметра DNS-серверы выберите значение Пользовательский.
  5. Введите 209.244.0.3 в текстовое поле Добавить DNS-сервер и 209.244.0.4 — в следующее текстовое поле.
  6. Выберите Сохранить.
  7. Перезапустите виртуальную машину Srv-Work.

тестирование брандмауэра.

Теперь проверьте брандмауэр, чтобы убедиться, что он работает должным образом.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра и войдите на виртуальную машину Srv-Work

  2. Откройте браузер Internet Explorer и перейдите на сайт https://www.google.com.

  3. Если отобразятся системы оповещения безопасности Internet Explorer, выберите ОК>Закрыть.

    Откроется домашняя страница Google.

  4. Перейдите в https://www.microsoft.com.

    Брандмауэр должен вас заблокировать.

Итак, теперь вы убедились в том, что правила брандмауэра работают:

  • Вы можете перейти только к одному разрешенному имени FQDN.
  • Вы можете разрешать имена DNS с помощью настроенного внешнего DNS-сервера.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если он больше не нужен, удалить группу ресурсов Test-FW-RG, чтобы удалить ресурсы, связанные с брандмауэром.

Следующие шаги

Развертывание и настройка Брандмауэр Azure Premium