Nasazení a konfigurace brány Azure Firewall pomocí webu Azure Portal

Řízení odchozího síťového přístupu je důležitou součástí celkového plánu zabezpečení sítě. Můžete například chtít omezit přístup k webům. Nebo můžete chtít omezit odchozí IP adresy a porty, ke kterým je možné přistupovat.

Jedním ze způsobů, jak můžete řídit odchozí síťový přístup z podsítě Azure, je použít Azure Firewall. Azure Firewall umožňuje nakonfigurovat:

  • Pravidla aplikace, která definují plně kvalifikované názvy domén, ke kterým je možné získat přístup z podsítě.
  • Pravidla sítě, která definují zdrojovou adresu, protokol, cílový port a cílovou adresu.

Síťový provoz podléhá nakonfigurovaným pravidlům brány firewall, když ho směrujete na bránu firewall jako na výchozí bránu podsítě.

V tomto článku vytvoříte zjednodušenou jednu virtuální síť se dvěma podsítěmi pro snadné nasazení.

Pro produkční nasazení se doporučuje hvězdicový model , ve kterém je brána firewall ve své vlastní virtuální síti. Servery úloh jsou v partnerských virtuálních sítích ve stejné oblasti s jednou nebo více podsítěmi.

  • AzureFirewallSubnet – v této podsíti bude brána firewall.
  • Workload-SN – v této podsíti bude server úloh. Provoz této podsítě bude procházet bránou firewall.

Síťová infrastruktura

V tomto článku získáte informace o těchto tématech:

  • Nastavit testovací síťové prostředí
  • Nasadit bránu firewall
  • Vytvoření výchozí trasy
  • Konfigurace pravidla aplikace pro povolení přístupu k www.google.com
  • Nakonfigurovat pravidlo sítě pro povolení přístupu k externím serverům DNS
  • Konfigurace pravidla překladu adres (NAT) pro povolení vzdálené plochy na testovacím serveru
  • Testování brány firewall

Poznámka

Tento článek používá ke správě brány firewall klasická pravidla brány firewall. Upřednostňovanou metodou je použití zásad brány firewall. Pokud chcete tento postup dokončit pomocí zásad brány firewall, přečtěte si kurz: Nasazení a konfigurace Azure Firewall a zásad pomocí Azure Portal

Pokud chcete, můžete tento postup dokončit pomocí Azure PowerShell.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Nastavit síť

Nejprve vytvořte skupinu prostředků obsahující prostředky potřebné k nasazení brány firewall. Pak vytvořte virtuální síť, podsítě a testovací server.

Vytvoření skupiny prostředků

Skupina prostředků obsahuje všechny prostředky použité v tomto postupu.

  1. Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.
  2. V nabídce Azure Portal vyberte skupiny prostředků nebo vyhledejte a vyberte skupiny prostředků z libovolné stránky. Potom vyberte Vytvořit.
  3. V části Předplatné vyberte své předplatné.
  4. Jako Název skupiny prostředků zadejte Test-FW-RG.
  5. V části Umístění skupiny prostředků vyberte umístění. Všechny ostatní prostředky, které vytvoříte, musí být ve stejném umístění.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Vytvoření virtuální sítě

Tato virtuální síť bude mít dvě podsítě.

Poznámka

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v tématu Azure Firewall nejčastější dotazy.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Síťová>virtuální síť.

  3. V části Předplatné vyberte své předplatné.

  4. Jako skupinu prostředků vyberte Test-FW-RG.

  5. Jako Název zadejte Test-FW-VN.

  6. V části Oblast vyberte stejné umístění, které jste použili dříve.

  7. Vyberte Další: IP adresy.

  8. Pro adresní prostor IPv4 přijměte výchozí 10.0.0.0/16.

  9. V části Název podsítě vyberte výchozí.

  10. V případě názvu podsítě ho změňte na AzureFirewallSubnet. Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.

  11. U rozsahu adres změňte rozsah adres na 10.0.1.0/26.

  12. Vyberte Uložit.

    Dále vytvořte podsíť pro server úloh.

  13. Vyberte Přidat podsíť.

  14. Jako název podsítě zadejte Workload-SN.

  15. Jako rozsah adres podsítě zadejte 10.0.2.0/24.

  16. Vyberte Přidat.

  17. Vyberte Zkontrolovat a vytvořit.

  18. Vyberte Vytvořit.

Vytvoření virtuálního počítače

Teď vytvořte virtuální počítač úlohy a umístěte ho do podsítě Workload-SN .

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Windows Server 2019 Datacenter.

  3. Zadejte pro virtuální počítač tyto hodnoty:

    Nastavení Hodnota
    Skupina prostředků Test-FW-RG
    Název virtuálního počítače Srv-Work
    Oblast Stejné jako předchozí
    Image Windows Server 2019 Datacenter
    Uživatelské jméno správce Zadejte uživatelské jméno.
    Heslo Zadejte heslo.
  4. V části Pravidla portů pro příchozíspojení vyberte Veřejné příchozí portymožnost Žádné.

  5. Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.

  6. Přijměte výchozí hodnoty disku a vyberte Další: Sítě.

  7. Ujistěte se, že je pro virtuální síť vybraná síť Test-FW-VN a podsíť je Workload-SN.

  8. Jako veřejnou IP adresu vyberte Žádné.

  9. Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.

  10. V případě diagnostiky spouštění vyberte Zakázat a zakažte diagnostiku spouštění. Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.

  11. Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

  12. Po dokončení nasazení vyberte Srv-Work a poznamenejte si privátní IP adresu, kterou budete muset použít později.

Poznámka

Azure poskytuje výchozí IP adresu odchozího přístupu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus IP adresy odchozího přístupu poskytuje odchozí IP adresu, která není konfigurovatelná.

Další informace najdete v tématu Výchozí odchozí přístup v Azure.

Výchozí IP adresa odchozího přístupu je zakázaná, pokud je virtuálnímu počítači přiřazená veřejná IP adresa nebo je virtuální počítač umístěn v back-endovém fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj. Pokud je prostředek brány překladu síťových adres (NAT) Azure Virtual Network přiřazen k podsíti virtuálního počítače, je výchozí IP adresa odchozího přístupu zakázaná.

Virtuální počítače vytvořené škálovacími sadami virtuálních počítačů v režimu flexibilní orchestrace nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Nasazení brány firewall

Nasaďte do virtuální sítě bránu firewall.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte bránu firewall a stiskněte Enter.

  3. Vyberte Bránu firewall a pak vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <Vaše předplatné>
    Skupina prostředků Test-FW-RG
    Name Test-FW01
    Oblast Vyberte dříve použité umístění.
    Úroveň brány firewall Standard
    Správa brány firewall Použití pravidel brány firewall (classic) ke správě této brány firewall
    Volba virtuální sítě Použít existující: Test-FW-VN
    Veřejná IP adresa Přidat nový
    Název: fw-pip
  5. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  6. Projděte si souhrn a pak vyberte Vytvořit a vytvořte bránu firewall.

    Nasazení může několik minut trvat.

  7. Po dokončení nasazení přejděte do skupiny prostředků Test-FW-RG a vyberte bránu firewall Test-FW01 .

  8. Poznamenejte si privátní a veřejné IP adresy brány firewall. Tyto adresy použijete později.

Vytvoření výchozí trasy

Při vytváření trasy pro odchozí a příchozí připojení přes bránu firewall stačí výchozí trasa na adresu 0.0.0.0/0 s privátní IP adresou virtuálního zařízení. Tím se postaráte o odchozí a příchozí připojení, aby prošla bránou firewall. Pokud například brána firewall plní metodu TCP-handshake a reaguje na příchozí požadavek, bude odpověď přesměrována na IP adresu, která provoz odeslala. Toto chování je úmyslné.

Proto není potřeba vytvořit další trasu definovanou uživatelem, která by zahrnovala rozsah IP adres AzureFirewallSubnet. To může vést k vyřazení připojení. Původní výchozí trasa je dostatečná.

U podsítě Workload-SN nakonfigurujte výchozí trasu v odchozím směru, která půjde přes bránu firewall.

  1. V nabídce webu Azure Portal vyberte Vytvořit prostředek.
  2. V části Sítě vyberte Směrovací tabulka.
  3. V části Předplatné vyberte své předplatné.
  4. Jako skupinu prostředků vyberte Test-FW-RG.
  5. V části Oblast vyberte stejné umístění, které jste použili dříve.
  6. Jako Název zadejte Firewall-route.
  7. Vyberte Zkontrolovat a vytvořit.
  8. Vyberte Vytvořit.

Po dokončení nasazení vyberte Přejít k prostředku.

  1. Na stránce Trasa brány firewall vyberte Podsítě a pak vyberte Přidružit.

  2. Vyberte Virtuální síť>Test-FW-VN.

  3. Jako podsíť vyberte Workload-SN. Ujistěte se, že pro tuto trasu vyberete jenom podsíť Workload-SN , jinak brána firewall nebude fungovat správně.

  4. Vyberte OK.

  5. Vyberte Trasy a pak vyberte Přidat.

  6. Jako název trasy zadejte fw-dg.

  7. Jako cíl předpony adresy vyberte IP adresy.

  8. Jako cílové IP adresy nebo rozsahy CIDR zadejte 0.0.0.0/0.

  9. V části Typ dalšího směrování vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.

  10. V části Adresa dalšího směrování zadejte dříve poznamenanou privátní IP adresu brány firewall.

  11. Vyberte Přidat.

Konfigurace pravidla aplikace

Toto je pravidlo aplikace, které umožňuje odchozí přístup k www.google.com.

  1. Otevřete test-FW-RG a vyberte bránu firewall Test-FW01 .
  2. Na stránce Test-FW01 v části Nastavení vyberte Pravidla (klasická).
  3. Vyberte kartu Kolekce pravidel aplikace .
  4. Vyberte Přidat kolekci pravidel aplikace.
  5. Jako Název zadejte App-Coll01.
  6. V části Priorita zadejte 200.
  7. V části Akce vyberte Povolit.
  8. V části Pravidla, cílové plně kvalifikované názvy domén pro název zadejte Allow-Google.
  9. Jako typ zdroje vyberte IP adresu.
  10. Jako zdroj zadejte 10.0.2.0/24.
  11. V části Protokol:Port zadejte http, https.
  12. Jako cílový plně kvalifikovaný název domény zadejte www.google.com
  13. Vyberte Přidat.

Brána Azure Firewall obsahuje předdefinovanou kolekci pravidel pro infrastrukturu plně kvalifikovaných názvů domén, které jsou ve výchozím nastavení povolené. Tyto plně kvalifikované názvy domén jsou specifické pro tuto platformu a pro jiné účely je nelze použít. Další informace najdete v tématu Plně kvalifikované názvy domén infrastruktury.

Konfigurace pravidla sítě

Toto pravidlo sítě povoluje odchozí přístup ke dvěma IP adresám na portu 53 (DNS).

  1. Vyberte kartu Kolekce pravidel sítě .

  2. Vyberte Přidat kolekci pravidel sítě.

  3. Jako název zadejte Net-Coll01.

  4. V části Priorita zadejte 200.

  5. V části Akce vyberte Povolit.

  6. V části Pravidla, IP adresy, pro Název zadejte Allow-DNS.

  7. V části Protokol vyberte UDP.

  8. Jako typ zdroje vyberte IP adresu.

  9. Jako zdroj zadejte 10.0.2.0/24.

  10. Jako typ cíle vyberte IP adresu.

  11. Jako cílovou adresu zadejte 209.244.0.3 209.244.0.4

    Jedná se o veřejné servery DNS provozované společností Level3.

  12. V části Cílové porty zadejte 53.

  13. Vyberte Přidat.

Konfigurace pravidla DNAT

Toto pravidlo umožňuje připojit vzdálenou plochu k virtuálnímu počítači Srv-Work přes bránu firewall.

  1. Vyberte kartu kolekce pravidel překladu adres (NAT ).
  2. Vyberte Přidat kolekci pravidel překladu adres (NAT).
  3. Jako název zadejte rdp.
  4. V části Priorita zadejte 200.
  5. V části Pravidlazadejterdp-nat.
  6. V části Protokol vyberte TCP.
  7. Jako typ zdroje vyberte IP adresu.
  8. Jako zdroj zadejte *.
  9. Jako cílovou adresu zadejte veřejnou IP adresu brány firewall.
  10. Jako cílové porty zadejte 3389.
  11. Jako přeloženou adresu zadejte privátní IP adresu Srv-work.
  12. Do pole Přeložený port zadejte 3389.
  13. Vyberte Přidat.

Změna primární a sekundární adresy DNS u síťového rozhraní Srv-Work

Pro účely testování nakonfigurujte primární a sekundární adresy DNS serveru. Toto není obecný požadavek na Azure Firewall.

  1. V nabídce Azure Portal vyberte skupiny prostředků nebo vyhledejte a vyberte skupiny prostředků z libovolné stránky. Vyberte skupinu prostředků Test-FW-RG .
  2. Vyberte síťové rozhraní virtuálního počítače Srv-Work .
  3. V části Nastavení vyberte servery DNS.
  4. V části Servery DNS vyberte Vlastní.
  5. Do textového pole Přidat server DNS zadejte 209.244.0.3 a do dalšího textového pole zadejte 209.244.0.4.
  6. Vyberte Uložit.
  7. Restartujte virtuální počítač Srv-Work.

Testování brány firewall

Teď otestujte bránu firewall a ověřte, že funguje podle očekávání.

  1. Připojte vzdálenou plochu k veřejné IP adrese brány firewall a přihlaste se k virtuálnímu počítači Srv-Work.

  2. Otevřete prohlížeč Internet Explorer a přejděte na adresu https://www.google.com.

  3. V výstrahách zabezpečení aplikace Internet Explorer vyberte OK>Zavřít .

    Měla by se zobrazit domovská stránka Google.

  4. Přejděte na adresu https://www.microsoft.com.

    Brána firewall by vás měla zablokovat.

Teď jste ověřili, že pravidla brány firewall fungují:

  • K virtuálnímu počítači se můžete připojit pomocí protokolu RDP.
  • Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.
  • Názvy DNS můžete přeložit pomocí nakonfigurovaného externího serveru DNS.

Vyčištění prostředků

Prostředky brány firewall můžete zachovat, abyste mohli pokračovat v testování nebo pokud už nepotřebujete, odstraňte skupinu prostředků Test-FW-RG a odstraňte všechny prostředky související s bránou firewall.

Další kroky

Kurz: Monitorování protokolů brány Azure Firewall