Реализация брандмауэра центра обработки данных в Azure Stack HCI

  • 8 мин

Вы уверены, что возможности распределенного сетевого брандмауэра (SDN) в Azure Stack HCI помогут повысить безопасность сетевой инфраструктуры. В этом уроке вы оцениваете функциональные возможности и полезность брандмауэра центра обработки данных в Azure Stack HCI, реализуя его в вашей среде проверки концепции.

Реализация брандмауэра центра обработки данных

Базовая процедура реализации политики брандмауэра центра обработки данных состоит из следующих шагов. Эти действия можно выполнить с помощью PowerShell, Windows Администратор Center или System Center диспетчер виртуальных машин (VMM).

  1. Создание объекта списка управления доступом (ACL).

  2. В ACL определите одно или несколько правил для входящего и исходящего трафика, которые разрешают или запрещают сетевой трафик на востоке и северо-юге на основе любого из следующих критериев:

    • Протокол , представляющий протокол уровня 4 и устанавливающий значение TCP, UDP или ALL. Значение ВСЕ предполагает протокол ICMP наряду с TCP и UDP.
    • Префикс исходного адреса, представляющий префикс IP-адреса источника входящего или исходящего сетевого пакета. Звездочка * является диким карта обозначая все IP-адреса.
    • Диапазон исходных портов, представляющий один или несколько номеров портов, из которых создается входящий или исходящий сетевой пакет. Звездочка * является диким карта обозначая все номера портов.
    • Префикс адреса назначения, представляющий префикс IP-адреса назначения входящего или исходящего сетевого пакета. Звездочка * — это дикая карта, обозначающая все префиксы IP-адресов.
    • Диапазон портов назначения, представляющий один или несколько номеров портов, предназначенных для входящих или исходящих сетевых пакетов. Звездочка * является диким карта обозначая все номера портов.

  3. Для каждого правила укажите следующие параметры:

    • Действие, представляющее результат правила в случае обнаружения совпадения, и задайте значение Allow или Deny.
    • Приоритет , представляющий приоритет правила в отношении других правил в том же ACL. Каждое правило в одном ACL должно иметь уникальный приоритет, который можно задать для любого значения от 100 до 65000. Меньшее числовое значение обозначает более высокий приоритет.

  4. При необходимости включите ведение журнала для отдельных правил брандмауэра.

  5. Примените правила, определенные в объекте ACL, к целевому область, который может быть любым из следующих объектов:

    • Подсеть виртуальной сети.
    • Подсеть логической сети.
    • Сетевой интерфейс виртуальной машины, подключенной к виртуальной или логической подсети сети.

    Примечание.

    Применение списков ACL к подсетям виртуальных или логических сетей упрощает администрирование, но иногда вам может понадобиться сделать ограничения выборочными. В этом случае вы можете назначить ACL отдельному сетевому интерфейсу виртуальной машины.

    В случае нескольких списков управления доступом между источником и назначением результирующее ограничение зависит от направления сетевого трафика. Для входящего трафика ACL подсети применяется перед назначенным ACL сетевого интерфейса. Для исходящего трафика эта последовательность будет отменена.

Оценка возможностей брандмауэра центра обработки данных

Без применения каких-либо настраиваемых правил ACL сетевой интерфейс по умолчанию разрешает весь исходящий трафик, но блокирует весь входящий трафик. Чтобы оценить функциональные возможности брандмауэра центра обработки данных, сначала создайте ACL с правилом, которое разрешает весь входящий сетевой трафик, предназначенный для область, к которому применяется ACL. Затем определите и ограничьте определенный трафик входящего трафика. Наконец, примените ACL к целевой подсети виртуальной сети.

  1. После создания ACL добавьте правило allow-all со следующими параметрами, которые разрешают весь трафик входящего трафика:

    Префикс исходного адреса Префикс адреса назначения Протокол Исходный порт Порт назначения Тип Действие Приоритет
    * * ВСЕ * * Входящий трафик Allow 1000

    На следующем снимку экрана показана панель входа в Центр контроль доступа Центра Администратор Windows с созданным правилом allow-all.

    Screenshot of the Windows Admin Center ACL entry pane with an allow-all rule being created.

  2. После разрешения всего входящего трафика определите типы трафика, которые необходимо заблокировать.

    Например, может потребоваться ограничить подключение через службу удаленного управления Windows (WinRM) между подсетями. Этот тип ограничения может ограничить влияние эксплойтов, которые перемещаются позже после компрометации одной виртуальной машины. Вы по-прежнему разрешаете подключение WinRM в одной подсети.

    Примените следующие параметры, чтобы создать новое правило, исходя из предположения, что исходная подсеть имеет диапазон IP-адресов 192.168.0.0/24.

    Префикс исходного адреса Префикс адреса назначения Протокол Исходный порт Порт назначения Тип Действие Приоритет
    192.168.0.0/24 * TCP * 5985,5986 Входящий трафик Блокировка 500
    * * ВСЕ * * Входящий трафик Allow 1000

    На следующем снимка экрана показана панель входа в Центр Администратор Центра контроль доступа ссозданным правилом deny-winrm.

    Screenshot of the Windows Admin Center ACL entry pane with a deny-winrm rule being created.

  3. Теперь назначьте ACL примеру целевой подсети виртуальной сети, которая имеет префикс IP-адреса 192.168.100.0/24.

    Screenshot of the Windows Admin Center virtual networks pane with the virtual subnet ACL assignment being created.

  4. После завершения оценки удалите назначение ACL из целевого область, чтобы отменить изменения в поведение фильтрации по умолчанию.