Nasazení a konfigurace služby Azure Firewall Premium

Azure Firewall Premium je brána firewall nové generace s funkcemi, které se vyžadují pro vysoce citlivá a regulovaná prostředí. Obsahuje následující funkce:

• Kontrola protokolu TLS – dešifruje odchozí provoz, zpracuje data, pak je zašifruje a odešle do cíle.
• IDPS – Systém detekce a prevence neoprávněných vniknutí sítě (IDPS) umožňuje monitorovat síťové aktivity pro škodlivou aktivitu, protokolovat informace o této aktivitě, hlásit ho a volitelně se ho pokoušet blokovat.
• Filtrování adres URL – rozšiřuje funkci filtrování plně kvalifikovaného názvu domény služby Azure Firewall, aby zvážila celou adresu URL. Například místo www.contoso.com/a/c www.contoso.com.
• Webové kategorie – správci můžou povolit nebo odepřít přístup uživatelů k kategoriím webů, jako jsou například weby s hazardem, weby sociálních médií a další.

Další informace najdete v tématu Funkce služby Azure Firewall Premium.

Pomocí šablony nasadíte testovací prostředí, které má centrální virtuální síť (10.0.0.0/16) se třemi podsítěmi:

• podsíť pracovního procesu (10.0.10.0/24)
• podsíť Služby Azure Bastion (10.0.20.0/24)
• podsíť brány firewall (10.0.100.0/24)

Důležité

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

Pro zjednodušení se v tomto testovacím prostředí používá jedna centrální virtuální síť. Pro produkční účely je častější hvězdicová topologie s partnerskými virtuálními sítěmi.

Virtuální počítač pracovního procesu je klient, který prostřednictvím brány firewall odesílá požadavky HTTP/S.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Nasazení infrastruktury

Šablona nasadí kompletní testovací prostředí pro Azure Firewall Premium s povoleným IDPS, kontrolou protokolu TLS, filtrováním adres URL a webovými kategoriemi:

• Nová zásada služby Azure Firewall Premium a brány firewall s předdefinovanými nastaveními, která umožňují snadné ověření základních funkcí (IDPS, kontrola protokolu TLS, filtrování adres URL a webové kategorie)
• nasadí všechny závislosti, včetně služby Key Vault a spravované identity. V produkčním prostředí se tyto prostředky už můžou vytvořit a nemusí být potřeba ve stejné šabloně.
• vygeneruje kořenovou certifikační autoritu podepsanou svým držitelem a nasadí ji do vygenerované služby Key Vault.
• vygeneruje odvozenou zprostředkující certifikační autoritu a nasadí ji na testovací virtuální počítač s Windows (WorkerVM).
• Nasadí se také Bastion Host (BastionHost) a dá se použít k připojení k testovacímu počítači s Windows (WorkerVM).

Testovat bránu firewall

Teď můžete testovat IDPS, kontrolu protokolu TLS, filtrování webu a webové kategorie.

Přidání nastavení diagnostiky brány firewall

Pokud chcete shromažďovat protokoly brány firewall, musíte přidat nastavení diagnostiky pro shromažďování protokolů brány firewall.

1. Vyberte DemoFirewall a v části Monitorování vyberte Nastavení diagnostiky.
2. Vyberte Přidat nastavení diagnostiky.
3. Jako název nastavení diagnostiky zadejte fw-diag.
4. V části log vyberte AzureFirewallApplicationRule a AzureFirewallNetworkRule.
5. V části Podrobnosti o cíli vyberte Možnost Odeslat do pracovního prostoru služby Log Analytics.
6. Zvolte Uložit.

Testy IDPS

Pokud chcete otestovat IDPS, měli byste nasadit vlastní interní testovací webový server s odpovídajícím certifikátem serveru. Tento test zahrnuje odesílání škodlivého provozu na webový server, takže se to nedoporučuje na veřejném webovém serveru. Další informace o požadavcích na certifikáty Služby Azure Firewall Premium najdete v tématu Certifikáty Služby Azure Firewall Premium.

Můžete použít curl k řízení různých hlaviček HTTP a simulaci škodlivého provozu.

Testování ZPROSTŘEDKOVATELE IDENTITY pro provoz HTTP:

1. Na virtuálním počítači WorkerVM otevřete okno příkazového řádku správce.

2. Na příkazovém řádku zadejte následující příkaz:

   curl -A "HaxerMen" <your web server address>

3. Zobrazí se odpověď webového serveru.

4. Přejděte na protokoly pravidel sítě brány firewall na webu Azure Portal a vyhledejte upozornění podobné následující zprávě:

   { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS: 
   USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Tojan was 
   detected”}
   

   Poznámka:

   Než se data začnou v protokolech zobrazovat, může to nějakou dobu trvat. Dejte mu alespoň pár minut, abyste umožnili, aby protokoly začaly zobrazovat data.

5. Přidání pravidla podpisu pro podpis 2032081:

   1. Vyberte DemoFirewallPolicy a v části Nastavení vyberte IDPS.
   2. Vyberte kartu Pravidla podpisu.
   3. V části ID podpisu zadejte do otevřeného textového pole 2032081.
   4. V části Režim vyberte Odepřít.
   5. Zvolte Uložit.
   6. Než budete pokračovat, počkejte na dokončení nasazení.

6. Na virtuálním curl počítači WorkerVM spusťte příkaz znovu:

   curl -A "HaxerMen" <your web server address>

   Vzhledem k tomu, že brána firewall teď blokuje požadavek HTTP, zobrazí se následující výstup po vypršení časového limitu připojení:

   read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

7. Přejděte do protokolů monitorování na webu Azure Portal a vyhledejte zprávu blokované žádosti.

Testování ZPROSTŘEDKOVATELE IDENTITY pro provoz HTTPS

Opakujte tyto testy curl pomocí protokolu HTTPS místo PROTOKOLU HTTP. Příklad:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

Měly by se zobrazit stejné výsledky, jaké jste měli s testy HTTP.

Kontrola protokolu TLS s filtrováním adres URL

Pomocí následujících kroků otestujte kontrolu protokolu TLS s filtrováním adres URL.

1. Upravte pravidla aplikace zásad brány firewall a přidejte do kolekce pravidel nové pravidlo volané AllowURL AllowWeb . Nakonfigurujte cílovou adresu URLwww.nytimes.com/section/world, zdrojovou IP adresu*, adresu URL cílového typu, vyberte Kontrolu protokolu TLS a protokoly http, https.

2. Po dokončení nasazení otevřete prohlížeč na virtuálním počítači WorkerVM a ověřte https://www.nytimes.com/section/world , že se v prohlížeči zobrazí odpověď HTML podle očekávání.

3. Na webu Azure Portal můžete zobrazit celou adresu URL v protokolech monitorování pravidel aplikace:

   

Některé stránky HTML můžou vypadat neúplně, protože odkazují na jiné adresy URL, které jsou odepřeny. Pokud chcete tento problém vyřešit, můžete použít následující přístup:

• Pokud stránka HTML obsahuje odkazy na jiné domény, můžete tyto domény přidat do nového pravidla aplikace s povoleným přístupem k těmto plně kvalifikovaným názvům domén.

• Pokud stránka HTML obsahuje odkazy na podřízené adresy URL, můžete pravidlo upravit a přidat hvězdičku na adresu URL. Příklad: targetURLs=www.nytimes.com/section/world*

  Alternativně můžete do pravidla přidat novou adresu URL. Příklad:

  www.nytimes.com/section/world, www.nytimes.com/section/world/*

Testování webových kategorií

Pojďme vytvořit pravidlo aplikace, které povolí přístup k sportovním webům.

1. Na portálu otevřete skupinu prostředků a vyberte DemoFirewallPolicy.

2. Vyberte Pravidla aplikace a pak přidejte kolekci pravidel.

3. Jako název zadejte GeneralWeb, Priority 103, Rule collection group select DefaultApplicationRuleCollectionGroup.

4. V části Pravidla pro typ Název AllowSports, Source *, Protocol http, https, select TLS Inspection, Destination Type select Web categories, Destination select Web categories, Destination select Sports.

5. Vyberte Přidat.

   

6. Po dokončení nasazení přejděte na WorkerVM a otevřete webový prohlížeč a přejděte na https://www.nfl.com.

   Měla by se zobrazit webová stránka NFL a protokol pravidel aplikace ukazuje, že se shodovala webová kategorie: Sportovní pravidlo bylo spárováno a žádost byla povolena.

Další kroky

• Vytvoření poc pro kontrolu protokolu TLS ve službě Azure Firewall
• Azure Firewall Premium na webu Azure Portal