Sdílet prostřednictvím

Kurz: Nasazení a konfigurace služby Azure Firewall a zásad pomocí webu Azure Portal

  • Článek

Řízení odchozího síťového přístupu je důležitou součástí celkového plánu zabezpečení sítě. Můžete například chtít omezit přístup k webům. Nebo můžete chtít omezit odchozí IP adresy a porty, ke kterým je možné přistupovat.

Jedním ze způsobů, jak řídit odchozí síťový přístup z podsítě Azure, je služba Azure Firewall a zásady brány firewall. Pomocí služby Azure Firewall a zásad brány firewall můžete nakonfigurovat:

  • Pravidla aplikace, která definují plně kvalifikované názvy domén, ke kterým je možné získat přístup z podsítě.
  • Pravidla sítě, která definují zdrojovou adresu, protokol, cílový port a cílovou adresu.

Síťový provoz podléhá nakonfigurovaným pravidlům brány firewall, když ho směrujete na bránu firewall jako na výchozí bránu podsítě.

Pro účely tohoto kurzu vytvoříte zjednodušenou jednu virtuální síť se dvěma podsítěmi pro snadné nasazení.

  • AzureFirewallSubnet – v této podsíti bude brána firewall.
  • Workload-SN – v této podsíti bude server úloh. Provoz této podsítě bude procházet bránou firewall.

Diagram síťové infrastruktury brány firewall

Pro produkční nasazení se doporučuje hvězdicový model , kde je brána firewall ve vlastní virtuální síti. Servery úloh jsou v partnerských virtuálních sítích ve stejné oblasti s jednou nebo více podsítěmi.

V tomto kurzu se naučíte:

  • Nastavit testovací síťové prostředí
  • Nasazení brány firewall a zásad brány firewall
  • Vytvořit výchozí trasu
  • Konfigurace pravidla aplikace pro povolení přístupu k www.google.com
  • Nakonfigurovat pravidlo sítě pro povolení přístupu k externím serverům DNS
  • Konfigurace pravidla překladu adres (NAT) pro povolení vzdálené plochy na testovacím serveru
  • Testovat bránu firewall

Pokud chcete, můžete tento postup dokončit pomocí Azure PowerShellu.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Nastavit síť

Nejprve vytvořte skupinu prostředků obsahující prostředky potřebné k nasazení brány firewall. Pak vytvořte virtuální síť, podsítě a testovací server.

Vytvoření skupiny zdrojů

Skupina prostředků obsahuje všechny prostředky pro tento kurz.

  1. Přihlaste se k portálu Azure.

  2. V nabídce webu Azure Portal vyberte Skupiny prostředků nebo vyhledejte a vyberte Skupiny prostředků z libovolné stránky a pak vyberte Vytvořit. Zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Zadejte test-FW-RG.
    Oblast Vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.

  3. Vyberte Zkontrolovat a vytvořit.

  4. Vyberte Vytvořit.

Vytvoření virtuální sítě

Tato virtuální síť bude mít dvě podsítě.

Poznámka:

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech ke službě Azure Firewall.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Sítě.

  3. Vyhledejte virtuální síť a vyberte Vytvořit.

  4. Zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte Test-FW-RG.
    Název Zadejte test-FW-VN.
    Oblast Vyberte stejné umístění, které jste použili dříve.

  5. Vyberte Další.

  6. Na kartě Zabezpečení vyberte Další.

  7. Pro adresní prostor IPv4 přijměte výchozí adresní prostor 10.0.0.0/16.

  8. V části Podsítě vyberte výchozí.

  9. Na stránce Upravit podsíť pro účely podsítě vyberte Azure Firewall.

    Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.

  10. Jako počáteční adresu zadejte 10.0.1.0.

  11. Zvolte Uložit.

Dále vytvořte podsíť pro server úloh.

  1. Vyberte Přidat podsíť.
  2. Jako název podsítě zadejte Workload-SN.
  3. Jako počáteční adresu zadejte 10.0.2.0/24.
  4. Vyberte Přidat.
  5. Vyberte Zkontrolovat a vytvořit.
  6. Vyberte Vytvořit.

Vytvoření virtuálního počítače

Teď vytvořte virtuální počítač úlohy a umístěte ho do podsítě Workload-SN .

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Windows Server 2019 Datacenter.

  3. Zadejte nebo vyberte tyto hodnoty pro virtuální počítač:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte Test-FW-RG.
    Virtual machine name Zadejte Srv-Work.
    Oblast Vyberte stejné umístění, které jste použili dříve.
    Username Zadejte uživatelské jméno.
    Heslo Zadejte heslo.

  4. V části Pravidla portů pro příchozí spojení vyberte Veřejné příchozí porty možnost Žádné.

  5. Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.

  6. Přijměte výchozí hodnoty disku a vyberte Další: Sítě.

  7. Ujistěte se, že je pro virtuální síť vybraná síť Test-FW-VN a podsíť je Workload-SN.

  8. Jako veřejnou IP adresu vyberte Žádné.

  9. Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.

  10. Vyberte Další:Monitorování.

  11. Výběrem možnosti Zakázat zakážete diagnostiku spouštění. Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.

  12. Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

  13. Po dokončení nasazení vyberte prostředek Srv-Work a poznamenejte si privátní IP adresu pro pozdější použití.

Nasazení brány firewall a zásad

Nasaďte do virtuální sítě bránu firewall.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte bránu firewall a stiskněte Enter.

  3. Vyberte Bránu firewall a pak vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte Test-FW-RG.
    Název Zadejte Test-FW01.
    Oblast Vyberte stejné umístění, které jste použili dříve.
    Správa brány firewall Vyberte Použít zásadu brány firewall ke správě této brány firewall.
    Zásady brány firewall Vyberte Přidat nový a zadejte fw-test-pol.
    Vyberte stejnou oblast, kterou jste použili dříve.
    Volba virtuální sítě Vyberte Použít existující a pak vyberte Test-FW-VN.
    Veřejná IP adresa Vyberte Přidat nový a jako název zadejte fw-pip.

  5. Přijměte ostatní výchozí hodnoty a pak vyberte Další: Značky.

  6. Vyberte Další: Zkontrolovat a vytvořit.

  7. Projděte si souhrn a pak vyberte Vytvořit, abyste vytvořili bránu firewall.

    Nasazení může několik minut trvat.

  8. Po dokončení nasazení přejděte do skupiny prostředků Test-FW-RG a vyberte bránu firewall Test-FW01 .

  9. Poznamenejte si privátní a veřejné IP adresy brány firewall. Tyto adresy použijete později.

Vytvořit výchozí trasu

U podsítě Workload-SN nakonfigurujte výchozí trasu v odchozím směru, která půjde přes bránu firewall.

  1. V nabídce webu Azure Portal vyberte Všechny služby nebo vyhledejte a na libovolné stránce vyberte Všechny služby .

  2. V části Sítě vyberte Směrovací tabulky.

  3. Vyberte Vytvořit a pak zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina zdrojů Vyberte Test-FW-RG.
    Oblast Vyberte stejné umístění, které jste použili dříve.
    Název Zadejte trasu brány firewall.

  4. Vyberte Zkontrolovat a vytvořit.

  5. Vyberte Vytvořit.

Po dokončení nasazení vyberte Přejít k prostředku.

  1. Na stránce Směrování brány firewall v části Nastavení vyberte Podsítě a pak vyberte Přidružit.

  2. Pro virtuální síť vyberte Test-FW-VN.

  3. Jako podsíť vyberte Workload-SN.

  4. Vyberte OK.

  5. Vyberte Trasy a pak vyberte Přidat.

  6. Jako název trasy zadejte fw-dg.

  7. Jako typ cíle vyberte IP adresy.

  8. Jako předponu cílových IP adres nebo rozsahů CIDR zadejte 0.0.0.0/0.

  9. V části Typ dalšího směrování vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.

  10. Jako adresu dalšího segmentu směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.

  11. Vyberte Přidat.

Konfigurace pravidla aplikace

Toto je pravidlo aplikace, které umožňuje odchozí přístup k www.google.com.

  1. Otevřete skupinu prostředků Test-FW-RG a vyberte zásadu brány firewall fw-test-pol.
  2. V části Nastavení vyberte pravidla aplikace.
  3. Vyberte Přidat kolekci pravidel.
  4. Jako název zadejte App-Coll01.
  5. Jako prioritu zadejte 200.
  6. V případě akce kolekce pravidel vyberte Povolit.
  7. V části Pravidla zadejte do pole Název možnost Allow-Google.
  8. Jako typ zdroje vyberte IP adresu.
  9. Jako zdroj zadejte 10.0.2.0/24.
  10. Jako protokol:port zadejte http, https.
  11. Jako typ cíle vyberte plně kvalifikovaný název domény.
  12. Jako cíl zadejte www.google.com
  13. Vyberte Přidat.

Brána Azure Firewall obsahuje předdefinovanou kolekci pravidel pro infrastrukturu plně kvalifikovaných názvů domén, které jsou ve výchozím nastavení povolené. Tyto plně kvalifikované názvy domén jsou specifické pro tuto platformu a pro jiné účely je nelze použít. Další informace najdete v tématu Plně kvalifikované názvy domén infrastruktury.

Konfigurace pravidla sítě

Toto pravidlo sítě povoluje odchozí přístup ke dvěma IP adresám na portu 53 (DNS).

  1. Vyberte Pravidla sítě.
  2. Vyberte Přidat kolekci pravidel.
  3. Jako název zadejte Net-Coll01.
  4. Jako prioritu zadejte 200.
  5. V případě akce kolekce pravidel vyberte Povolit.
  6. Pro skupinu kolekcí pravidel vyberte DefaultNetworkRuleCollectionGroup.
  7. V části Pravidla jako Název zadejte Allow-DNS.
  8. Jako typ zdroje vyberte IP adresu.
  9. Jako zdroj zadejte 10.0.2.0/24.
  10. V části Protokol vyberte UDP.
  11. Jako cílové porty zadejte 53.
  12. Jako typ cíle vyberte IP adresu.
  13. Jako cíl zadejte 209.244.0.3 209.244.0.4.
    Jedná se o veřejné servery DNS provozované společností CenturyLink.
  14. Vyberte Přidat.

Konfigurace pravidla DNAT

Toto pravidlo umožňuje připojit vzdálenou plochu k virtuálnímu počítači Srv-Work přes bránu firewall.

  1. Vyberte pravidla DNAT.
  2. Vyberte Přidat kolekci pravidel.
  3. Jako název zadejte RDP.
  4. Jako prioritu zadejte 200.
  5. Pro skupinu kolekce pravidel vyberte DefaultDnatRuleCollectionGroup.
  6. V části Pravidla zadejte jako název rdp-nat.
  7. Jako typ zdroje vyberte IP adresu.
  8. Jako zdroj zadejte *.
  9. V části Protokol vyberte TCP.
  10. Jako cílové porty zadejte 3389.
  11. Jako cíl zadejte veřejnou IP adresu brány firewall.
  12. Jako přeložený typ vyberte IP adresu.
  13. Do pole Přeložená adresa zadejte privátní IP adresu Srv-Work .
  14. Pro přeložený port zadejte 3389.
  15. Vyberte Přidat.

Změna primární a sekundární adresy DNS u síťového rozhraní Srv-Work

Pro účely testování v tomto kurzu nakonfigurujte primární a sekundární adresy DNS serveru. Nejedná se o obecný požadavek služby Azure Firewall.

  1. V nabídce webu Azure Portal vyberte Skupiny prostředků nebo vyhledejte a vyberte Skupiny prostředků z libovolné stránky. Vyberte skupinu prostředků Test-FW-RG.
  2. Vyberte síťové rozhraní pro virtuální počítač Srv-Work .
  3. V části Nastavení vyberte servery DNS.
  4. V části Servery DNS vyberte Vlastní.
  5. Do textového pole Přidat server DNS zadejte 209.244.0.3 a do dalšího textového pole zadejte 209.244.0.4.
  6. Zvolte Uložit.
  7. Restartujte virtuální počítač Srv-Work.

Testovat bránu firewall

Teď otestujte bránu firewall a ověřte, že funguje podle očekávání.

  1. Připojte vzdálenou plochu k veřejné IP adrese brány firewall a přihlaste se k virtuálnímu počítači Srv-Work .

  2. Otevřete Microsoft Edge a přejděte na https://www.google.com.

  3. V výstrahách zabezpečení aplikace Internet Explorer vyberte tlačítko OK>Zavřít.

    Měla by se zobrazit domovská stránka Google.

  4. Přejděte na https://www.microsoft.com.

    Brána firewall by vás měla zablokovat.

Teď jste ověřili, že pravidla brány firewall fungují:

  • Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.
  • Názvy DNS můžete přeložit pomocí nakonfigurovaného externího serveru DNS.

Vyčištění prostředků

Prostředky brány firewall si můžete ponechat pro další kurz, nebo můžete odstraněním skupiny prostředků Test-FW-RG odstranit všechny prostředky související z bránou firewall, pokud už je nepotřebujete.

Další kroky

Nasazení a konfigurace služby Azure Firewall Premium