Краткое руководство. Создание и настройка защиты сети от атак DDoS Azure с помощью портал Azure

  • Статья

Начало работы с защитой сети DDoS Azure с помощью портал Azure.

План защиты от атак DDoS определяет набор виртуальных сетей с включенной защитой от сети DDoS в подписках. Вы можете настроить один план защиты от атак DDoS для организации и связать виртуальные сети из нескольких подписок в одном клиенте Microsoft Entra с одним планом.

В этом кратком руководстве вы создадите план защиты от атак DDoS и свяжите его с виртуальной сетью.

Diagram of DDoS Network Protection.

Необходимые компоненты

Создайте план защиты от атак DDoS

  1. Щелкните Создать ресурс в верхнем левом углу окна портала Azure.

  2. Выполните поиск по запросу DDoS. Когда в результатах поиска появится элемент План защиты от атак DDoS, выберите его.

  3. Нажмите кнопку создания.

  4. Введите или выберите следующие значения:

    Параметр Значение
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите Создать новую, а затем введите MyResourceGroup.
    Имя. Введите MyDdosProtectionPlan.
    Регион Введите Восточная часть США.

  5. Выберите Проверить и создать, а затем — Создать.

Примечание.

Хотя ресурсы плана защиты от атак DDoS должны быть связаны с регионом, пользователи могут включить защиту от атак DDoS на виртуальная сеть в разных регионах и нескольких подписках в одном клиенте Microsoft Entra.

Включение защиты от атак DDoS для виртуальной сети

Включение для новой виртуальной сети

  1. Щелкните Создать ресурс в верхнем левом углу окна портала Azure.

  2. Щелкните Сеть и выберите Виртуальная сеть.

  3. Введите или выберите следующие значения, а затем нажмите кнопку "Далее".

    Параметр Значение
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите Использовать существующую и MyResourceGroup.
    Имя. Введите MyVnet.
    Регион Введите Восточная часть США.

  4. В области "Безопасность" выберите "Включить" на радио защиты сети DDoS Azure.

  5. На панели План защиты от атак DDoS выберите MyDdosProtectionPlan. План, который вы выбираете, может находиться в одной или другой подписке, отличной от виртуальной сети, но обе подписки должны быть связаны с тем же клиентом Microsoft Entra.

  6. Выберите Далее. В области IP-адресов выберите "Добавить адресное пространство IPv4" и введите следующие значения. Нажмите кнопку Добавить.

    Параметр Значение
    Диапазон IPv4-адресов Введите 10.1.0.0/16.
    Имя подсети В разделе Имя подсети выберите ссылку Добавить подсеть и введите mySubnet.
    Диапазон адресов подсети Введите 10.1.0.0/24.

  7. Выберите Проверить и создать, а затем — Создать.

    Gif of creating a virtual network with Azure DDoS Protection.

Примечание.

Невозможно переместить виртуальную сеть в другую группу ресурсов или подписку, если защита от атак DDoS включена для виртуальной сети. Если необходимо переместить виртуальную сеть с включенной защитой от атак DDoS, сначала отключите защиту от атак DDoS, переместите виртуальную сеть и включите защиту от атак DDoS. После перемещения сбрасываются автоматически настраиваемые пороговые значения политик для всех защищенных общедоступных IP-адресов в виртуальной сети.

Включение существующей виртуальной сети

  1. Создайте план защиты от атак DDoS, выполнив действия, описанные в разделе Создание плана защиты от атак DDoS, если у вас нет плана защиты от атак DDoS.

  2. Введите имя виртуальной сети, для которой требуется включить защиту сети DDoS в поле "Поиск ресурсов, служб и документов" в верхней части портал Azure. Когда имя виртуальной сети отобразится в результатах поиска, выберите ее.

  3. В разделе Параметры выберите Защита от атак DDoS.

  4. Выберите Включить. В разделе DDoS protection plan (План защиты от атак DDoS) выберите существующий план защиты от атак DDoS или план, созданный на шаге 1, а затем щелкните Сохранить. План, который вы выбираете, может находиться в одной или другой подписке, отличной от виртуальной сети, но обе подписки должны быть связаны с тем же клиентом Microsoft Entra.

    Gif of enabling DDoS Protection for a virtual network.

Добавление виртуальная сеть в существующий план защиты от атак DDoS

Вы также можете включить план защиты от атак DDoS для существующей виртуальной сети из плана защиты от атак DDoS, а не из виртуальной сети.

  1. Найдите "Планы защиты от атак DDoS" в поле Поиск ресурсов, служб и документов в верхней части портала Azure. Когда в результатах поиска появится элемент Планы защиты от атак DDoS, выберите его.

  2. Выберите нужный план защиты от атак DDoS, который необходимо включить для виртуальной сети.

  3. Выберите Защищенные ресурсы в разделе Настройки.

  4. Нажмите кнопку +Добавить и выберите нужную подписку, группу ресурсов и имя виртуальной сети. Снова нажмите кнопку "Добавить ".

    Gif of adding a virtual network with Azure DDoS Protection.

Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure (предварительная версия)

Диспетчер брандмауэра Azure — это платформа для управления сетевыми ресурсами и их защиты в большом масштабе. Вы можете связать свои виртуальные сети с планом защиты от атак DDoS в Диспетчере брандмауэра Azure. Сейчас эта функция доступна только в общедоступной предварительной версии. См. статью Настройка плана Защиты от атак DDoS Azure с помощью Диспетчера брандмауэра Azure.

Screenshot showing virtual network with DDoS Protection Plan.

Включение защиты от атак DDoS для всех виртуальных сетей

Эта встроенная политика обнаруживает любые виртуальные сети в определенных область, у которых нет поддержки защиты от сети DDoS. Эта политика при необходимости создаст задачу исправления, которая создает связь для защиты виртуальная сеть. Полный список встроенных политик см. в Политика Azure встроенных определений защиты сети Azure DDoS.

Проверка и тестирование

Сначала проверьте сведения о плане защиты от атак DDoS:

  1. В левой верхней части портала выберите Все службы.
  2. Введите DDoS в поле Фильтр. Когда в результатах поиска появится элемент Планы защиты от атак DDos, щелкните его.
  3. Выберите план защиты от атак DDoS из списка.

Должна быть указана виртуальная сеть MyVnet.

Просмотр защищенных ресурсов

В разделе Защищенные ресурсы можно просмотреть список защищенных виртуальных сетей и общедоступных IP-адресов или добавить дополнительные виртуальные сети в план защиты от атак DDoS.

Screenshot showing protected resources.

Отключите для виртуальной сети:

Чтобы отключить защиту от атак DDoS для виртуальной сети, выполните следующие действия.

  1. Введите имя виртуальной сети, для которой необходимо отключить защиту сети DDoS в поле "Поиск ресурсов, служб и документов" в верхней части портала. Когда имя виртуальной сети отобразится в результатах поиска, выберите ее.

  2. В разделе "Защита от сети DDoS" выберите "Отключить".

    Gif of disabling DDoS Protection within virtual network.

Очистка ресурсов

Вы можете сохранить ресурсы для работы со следующим руководством. Если группа ресурсов MyResourceGroup вам больше не нужна, удалите ее. Удалив ее, вы также удалите план защиты от атак DDoS и все связанные с ним ресурсы. Если вам больше не нужен этот план защиты от атак DDoS, удалите все связанные с ним ресурсы, чтобы избежать лишних расходов.

Предупреждение

Это действие необратимо.

  1. На портале Azure найдите и выберите элемент Группы ресурсов или щелкните Группы ресурсов в меню портала Azure.

  2. Прокрутите страницу вниз или используйте фильтр, чтобы найти группу ресурсов MyResourceGroup.

  3. Выберите эту группу ресурсов и щелкните Удалить группу ресурсов.

  4. Введите имя группы ресурсов для подтверждения и щелкните Удалить.

Примечание.

Если вы хотите удалить план защиты от атак DDoS, необходимо сначала удалить его связь со всеми виртуальными сетями.

Следующие шаги

Чтобы узнать, как настроить оповещения метрик с помощью Azure Monitor, перейдите к руководствам.

Настройка оповещений метрик защиты от атак DDoS Azure на портале