Nasazení a konfigurace služby Azure Firewall Premium

Azure Firewall Premium je firewall příští generace s funkcemi, které jsou nezbytné pro vysoce citlivá a regulovaná prostředí. Obsahuje následující funkce:

  • Kontrola protokolu TLS – dešifruje odchozí provoz, zpracuje data, pak je zašifruje a odešle do cíle.
  • IDPS – Systém pro detekci a prevenci narušení sítě (IDPS), který můžete použít k monitorování síťových aktivit pro škodlivou aktivitu, protokolování informací o této aktivitě, nahlášení a volitelně pokus o blokování.
  • Filtrování URL – rozšiřuje funkci filtrování plně kvalifikovaného názvu domény služby Azure Firewall, aby zohlednila celou adresu URL. Například www.contoso.com/a/c místo www.contoso.com.
  • Webové kategorie – správci můžou povolit nebo odepřít přístup uživatelů k kategoriím webů, jako jsou například weby s hazardem, weby sociálních médií a další.

Další informace najdete v tématu Funkce služby Azure Firewall Premium.

Pomocí šablony nasaďte testovací prostředí, které má centrální virtuální síť (10.0.0.0/16) se třemi podsítěmi:

  • Pracovní podsíť (10.0.10.0/24)
  • Podsíť Služby Azure Bastion (10.0.20.0/24)
  • Podsíť firewallu (10.0.100.0/24)

Důležité

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

Pro zjednodušení se v tomto testovacím prostředí používá jedna centrální virtuální síť. Pro produkční účely je častější hvězdicová topologie s partnerskými virtuálními sítěmi.

Diagram znázorňující centrální virtuální síť s podsítěmi pracovníků, Bastionu a brány firewall.

Pracovní virtuální stroj je klient, který prostřednictvím brány firewall odesílá požadavky HTTP/S.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Nasazení infrastruktury

Šablona nasadí kompletní testovací prostředí pro Azure Firewall Premium s povoleným IDPS, kontrolou protokolu TLS, filtrováním adres URL a webovými kategoriemi:

  • Nová zásada služby Azure Firewall Premium a firewall s předdefinovanými nastaveními, která umožňují snadné ověření základních funkcí (IDPS, Kontrola protokolu TLS, filtrování adres URL a webové kategorie).
  • Všechny závislosti, včetně služby Key Vault a spravované identity. V produkčním prostředí už možná tyto prostředky máte a nepotřebujete je ve stejné šabloně.
  • Kořenová certifikační autorita podepsaná svým držitelem, která je vygenerovaná a nasazená ve vytvořené službě Key Vault.
  • Odvozená mezilehlá certifikační autorita, která je generována a nasazena na testovacím virtuálním počítači s Windows (WorkerVM).
  • Nasadí se také Bastion Host (BastionHost) a můžete ho použít k připojení k testovacímu počítači s Windows (WorkerVM).

Tlačítko pro nasazení šablony Resource Manageru do Azure

Otestuj bránu firewall

Teď můžete testovat IDPS, kontrolu protokolu TLS, filtrování webu a webové kategorie.

Přidejte nastavení diagnostiky firewallu

Pokud chcete shromažďovat protokoly brány firewall, přidejte nastavení diagnostiky pro shromažďování protokolů brány firewall.

  1. Vyberte DemoFirewall. V části Monitorování vyberte Nastavení diagnostiky.
  2. Vyberte Přidat nastavení diagnostiky.
  3. Jako název nastavení diagnostiky zadejte fw-diag.
  4. V logu vyberte AzureFirewallApplicationRule a AzureFirewallNetworkRule.
  5. V části Podrobnosti o cíli vyberte Odeslat do pracovního prostoru Log Analytics.
  6. Zvolte Uložit.

Testy IDPS

Pokud chcete testovat IDPS, nasaďte vlastní interní testovací webový server s odpovídajícím certifikátem serveru. Tento test zahrnuje odesílání škodlivého provozu na webový server, takže tento test neprovádějte na veřejném webovém serveru. Další informace o požadavcích na certifikáty Služby Azure Firewall Premium najdete v tématu Certifikáty Služby Azure Firewall Premium.

Slouží curl k řízení různých hlaviček HTTP a simulaci škodlivého provozu.

Testování IDPS pro HTTP provoz

  1. Na virtuálním počítači WorkerVM otevřete okno příkazového řádku správce.

  2. Na příkazovém řádku zadejte následující příkaz:

    curl -A "HaxerMen" <your web server address>

  3. Zobrazí se odpověď webového serveru.

  4. Přejděte na protokoly pravidel sítě firewall na portálu Azure a vyhledejte upozornění podobné následující zprávě:

    { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS:
USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Trojan was
detected”}

    Poznámka:

    Než se data začnou v protokolech zobrazovat, může to nějakou dobu trvat. Dejte mu alespoň pár minut, abyste umožnili, aby protokoly začaly zobrazovat data.

  5. Přidejte pravidlo pro podpis 2032081:

    1. Vyberte DemoFirewallPolicy a v části Nastavení vyberte IDPS.
    2. Vyberte kartu Pravidla podpisu.
    3. Pod ID podpisu, zadejte 2032081 do otevřeného textového pole.
    4. V části Režim vyberte Odepřít.
    5. Zvolte Uložit.
    6. Než budete pokračovat, počkejte na dokončení nasazení.

  6. Na virtuálním curl počítači WorkerVM spusťte příkaz znovu:

    curl -A "HaxerMen" <your web server address>

    Vzhledem k tomu, že brána firewall teď blokuje požadavek HTTP, zobrazí se následující výstup po vypršení časového limitu připojení:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Přejděte do protokolů monitorování na webu Azure Portal a vyhledejte zprávu blokované žádosti.

Testování IDPS pro HTTPS provoz

Opakujte tyto testy curl pomocí protokolu HTTPS místo PROTOKOLU HTTP. Příklad:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

Zobrazí se stejné výsledky, jaké jste měli s testy HTTP.

Kontrola protokolu TLS s filtrováním adres URL

Pomocí následujících kroků otestujte kontrolu protokolu TLS s filtrováním adres URL.

  1. Upravte pravidla použití zásad brány firewall a přidejte nové pravidlo s názvem AllowURL do kolekce pravidel AllowWeb. Nakonfigurujte cílovou adresu URL www.nytimes.com/section/world, zdrojovou IP adresu *, adresu URL cílového typu, vyberte Kontrolu protokolu TLS a protokoly http, https.

  2. Po dokončení nasazení otevřete prohlížeč na virtuálním počítači WorkerVM a přejděte na https://www.nytimes.com/section/world. Ověřte, že se v prohlížeči zobrazí odpověď HTML podle očekávání.

  3. Na webu Azure Portal můžete zobrazit celou adresu URL v protokolech monitorování pravidel aplikace:

    Zpráva s upozorněním s adresou URL

Některé stránky HTML můžou vypadat neúplně, protože odkazují na jiné adresy URL, které jsou odepřeny. K vyřešení tohoto problému použijte následující přístupy:

  • Pokud stránka HTML obsahuje odkazy na jiné domény, přidejte tyto domény do nového pravidla aplikace, které uděluje přístup k těmto plně kvalifikovaným názvům domén.

  • Pokud stránka HTML obsahuje odkazy na podřízené adresy URL, upravte pravidlo a přidejte na adresu URL hvězdičku. Příklad: targetURLs=www.nytimes.com/section/world*

    Případně přidejte do pravidla novou adresu URL. Příklad:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Testování webových kategorií

Vytvořte pravidlo aplikace, které povolí přístup k sportovním webům.

  1. Na portálu otevřete svou skupinu prostředků a vyberte DemoFirewallPolicy.

  2. Vyberte Pravidla aplikace a pak vyberte Přidat kolekci pravidel.

  3. Jako název zadejte GeneralWeb. Jako prioritu zadejte 103. Pro skupinu kolekcí pravidel vyberte DefaultApplicationRuleCollectionGroup.

  4. V části Pravidla zadejte AllowSports pro Název. Zadejte *zdroj. Zadejte http, https pro protokol. Vyberte Kontrolu protokolu TLS. Jako typ cíle vyberte kategorie webu. Jako cíl vyberte Sport.

  5. Vyberte Přidat.

  6. Po dokončení nasazení přejděte na WorkerVM, otevřete webový prohlížeč a přejděte na https://www.nfl.com.

    Vidíte webovou stránku NFL a protokol pravidel aplikace ukazuje, že bylo použito pravidlo Webová kategorie: Sportovní a žádost byla povolena.

Další kroky

  • Last updated on