firewall rules

Три типа правил брандмауэра Azure

Блокировка по умолчанию

Существует три вида правил, которые можно настроить в брандмауэре Azure, но первая вещь, которую нужно знать про брандмауэр Azure — по умолчанию он блокирует весь трафик.

Виды правил

Существует три вида правил брандмауэра Azure:

  • правила NAT;
  • сетевые правила;
  • правила для приложений.

Правила NAT

Брандмауэр Azure позволяет делиться сетевыми услугами с другими сетями, такими как локальные или Интернет, посредством проверки и регистрации брандмауэром. Этот трафик проходит через внешний публичный IP-адрес брандмауэра.

Microsoft называет такую форму NAT трансляцией сетевых адресов назначения (DNAT).

В правилах используются следующие параметры:

  • Имя – логическое название правила
  • Протокол – TCP или UDP
  • Исходный адрес – конкретный IP-адрес или CIDR-диапазон
  • Адрес назначения – ожидается, что он будет переименован, так как ссылается на внешний адрес брандмауэра, который будет сверяться с правилом
  • Порты назначения – TCP и UDP порты, которые правило будет слушать на внешних IP адресах брандмауэра
  • Транслируемый адрес – IP-адрес службы (виртуальной машины, внутреннего балансировщика нагрузки и т. д.), который в частном порядке размещает или представляет службу
  • Транслируемый порт – порт, на который входящий трафик будет перенаправляться через брандмауэр Azure

Часто, при традиционном управлении брандмауэром, правило NAT, которое направляет трафик, должно сопровождаться соответствующим сетевым правилом, чтобы разрешить трафик. В случае с Azure брандмауэром, после создания правила NAT, брандмауэр автоматически создает скрытое сетевое правило, чтобы снизить сложность управления и сэкономить Ваше время.

traffic flow pattern

Сетевые правила

Любой трафик, за исключением HTTP/HTTPS, которому будет разрешено проходить через брандмауэр, должен иметь сетевое правило — обратите внимание на вышеупомянутую функцию экономии времени в правилах NAT. К примеру, если у меня будет одна подсеть с веб-серверами, которая должна обращаться к SQL серверу в другой подсети, то должно быть сетевое правило, чтобы открыть порт TCP 1433 из исходной подсети в подсеть назначения.

Нижеприведенные параметры используются для настройки правила подсети:

  • Имя – логическое название правила
  • Протокол – TCP, UDP, ICMP или любой другой.
  • Исходный адрес – IP-адрес или CIDR-диапазон
  • Адрес назначения – IP-адрес или CIDR-диапазон
  • Порт назначения – порт назначения трафика

Правила для приложений

Третий и последний тип правил касается трафика HTTP/HTTPS на 7-ом уровне в сетевом стеке.
Здесь Вы указываете какой трафик веб-приложения хотите разрешить пропускать через брандмауэр.

Начнем с целевых полных доменных имен (Target FQDNs), где вы имеете дело со службами сторонних разработчиков:

  • Имя – логическое название правила
  • Исходный адрес – IP адрес источника
  • Протокол – является ли это для HTTP/HTTPS и порта, который прослушивает веб-сервер
  • ЦелевыеFQDN – доменное имя сервиса, например servilon.ru. Можно так же использовать подстановочные знаки, такие как *.servilon.ru (всё на servilon.ru) или даже * (весь Интернет)

Существует второй тип правил для приложений, называемый FQDN Tags, который в документации Microsoft называется «Набором правил инфраструктуры». Помните, что брандмауэр Azure блокирует весть трафик по умолчанию. Если вы не укажете доменное имя или подходящий подстановочный знак, этот трафик не будет разрешен. В результате такие вещи, как Azure Backup или диагностика виртуальных машин, будут заблокированы, если ваша пользовательская маршрутизация (UDR) направляет этот трафик через брандмауэр Azure. Microsoft предоставляет несколько тегов FQDN, которые можно использовать в специальных правилах приложений, чтобы разрешить этот веб-трафик — список, вероятно, со временем будет расти:

  • AppServiceEnvironment – частное развертывание служб приложений Azure
  • Azure Backup – защита служб на основе виртуальных машин
  • MicrosoftActiveProtectionService – антивирус Windows Defender
  • WindowsDiagnostics – хранение данных из ресурсов, подключенных к VNet, в учетную запись хранения
  • WindowsUpdate – исправление виртуальных машин Windows

Обработка правил

Три типа правил можно разделить на два набора:

  1. NAT – это правило маршрутизации, которое направляет трафик с общедоступного IP-адреса на частный IP-адрес, cкрытое сетевое правило создается автоматически для разрешения трафика
  2. Сетевые правила и правила приложений – определяют, какой трафик разрешен через брандмауэр Azure

Поэтому, когда пакет проверяется, чтобы определить, разрешен он или нет (не используется по умолчанию), для фильтрации используются только сетевые правила и правила приложений.

Они обрабатываются в следующем порядке:

  1. Сетевые правила
  2. Правила приложений

На самом деле, порядок немного более подробный, потому что правила приложений бывают двух типов:

  1. Сетевые правила
  2. Правила приложений – Target FQDNs
  3. Правила приложений – FQDN Tags

 

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.