Kurz: Nasazení a konfigurace Azure Firewall a zásad pomocí Azure Portal

  • Článek

Řízení odchozího síťového přístupu je důležitou součástí celkového plánu zabezpečení sítě. Můžete například chtít omezit přístup k webům. Nebo můžete chtít omezit odchozí IP adresy a porty, ke kterým je možné přistupovat.

Jedním ze způsobů, jak řídit odchozí síťový přístup z podsítě Azure, je Azure Firewall a zásady brány firewall. Pomocí Azure Firewall a zásad brány firewall můžete nakonfigurovat:

  • Pravidla aplikace, která definují plně kvalifikované názvy domén, ke kterým je možné získat přístup z podsítě.
  • Pravidla sítě, která definují zdrojovou adresu, protokol, cílový port a cílovou adresu.

Síťový provoz podléhá nakonfigurovaným pravidlům brány firewall, když ho směrujete na bránu firewall jako na výchozí bránu podsítě.

Pro účely tohoto kurzu vytvoříte zjednodušenou jednu virtuální síť se dvěma podsítěmi pro snadné nasazení.

  • AzureFirewallSubnet – v této podsíti bude brána firewall.
  • Workload-SN – v této podsíti bude server úloh. Provoz této podsítě bude procházet bránou firewall.

Kurz síťové infrastruktury

Pro produkční nasazení se doporučuje hvězdicový model , kde je brána firewall ve své vlastní virtuální síti. Servery úloh jsou v partnerských virtuálních sítích ve stejné oblasti s jednou nebo více podsítěmi.

V tomto kurzu se naučíte:

  • Nastavit testovací síťové prostředí
  • Nasazení brány firewall a zásad brány firewall
  • Vytvoření výchozí trasy
  • Konfigurace pravidla aplikace pro povolení přístupu k www.google.com
  • Nakonfigurovat pravidlo sítě pro povolení přístupu k externím serverům DNS
  • Konfigurace pravidla překladu adres (NAT) pro povolení vzdálené plochy testovacího serveru
  • Testování brány firewall

Pokud chcete, můžete tento postup provést pomocí Azure PowerShell.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Nastavit síť

Nejprve vytvořte skupinu prostředků obsahující prostředky potřebné k nasazení brány firewall. Pak vytvořte virtuální síť, podsítě a testovací server.

Vytvoření skupiny prostředků

Skupina prostředků obsahuje všechny prostředky pro tento kurz.

  1. Přihlaste se k webu Azure Portal.

  2. V nabídce Azure Portal vyberte Skupiny prostředků nebo na libovolné stránce vyhledejte a vyberte Skupiny prostředků a pak vyberte Přidat. Zadejte nebo vyberte tyto hodnoty:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Zadejte Test-FW-RG.
    Oblast Vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.

  3. Vyberte Zkontrolovat a vytvořit.

  4. Vyberte Vytvořit.

Vytvoření virtuální sítě

Tato virtuální síť bude mít dvě podsítě.

Poznámka

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech k Azure Firewall.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Sítě.

  3. Vyhledejte Virtuální síť a vyberte ji.

  4. Vyberte Vytvořit a pak zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte Test-FW-RG.
    Name Zadejte Test-FW-VN.
    Oblast Vyberte stejné umístění, které jste použili dříve.

  5. Vyberte Další: IP adresy.

  6. Pro adresní prostor IPv4 přijměte výchozí hodnotu 10.0.0.0/16.

  7. V části Podsíť vyberte výchozí.

  8. V části Název podsítě změňte název na AzureFirewallSubnet. Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.

  9. Do pole Rozsah adres zadejte 10.0.1.0/26.

  10. Vyberte Uložit.

    Dále vytvořte podsíť pro server úloh.

  11. Vyberte Přidat podsíť.

  12. Jako Název podsítě zadejte Workload-SN.

  13. Jako Rozsah adres podsítě zadejte 10.0.2.0/24.

  14. Vyberte Přidat.

  15. Vyberte Zkontrolovat a vytvořit.

  16. Vyberte Vytvořit.

Vytvoření virtuálního počítače

Teď vytvořte virtuální počítač úlohy a umístěte ho do podsítě Workload-SN .

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Windows Server 2019 Datacenter.

  3. Zadejte nebo vyberte tyto hodnoty pro virtuální počítač:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte Test-FW-RG.
    Název virtuálního počítače Zadejte Srv-Work.
    Oblast Vyberte stejné umístění, které jste použili dříve.
    Uživatelské jméno Zadejte uživatelské jméno.
    Heslo Zadejte heslo.

  4. V části Pravidla portů pro příchozí spojení, Veřejné příchozí porty vyberte Žádné.

  5. Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.

  6. Přijměte výchozí nastavení disku a vyberte Další: Sítě.

  7. Ujistěte se, že je pro virtuální síť vybraná možnost Test-FW-VN a že podsíť je Workload-SN.

  8. V části Veřejná IP adresa vyberte Žádná.

  9. Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.

  10. Výběrem možnosti Zakázat zakažte diagnostiku spouštění. Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.

  11. Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

  12. Po dokončení nasazení vyberte prostředek Srv-Work a poznamenejte si privátní IP adresu pro pozdější použití.

Nasazení brány firewall a zásad

Nasaďte do virtuální sítě bránu firewall.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte firewall a stiskněte Enter.

  3. Vyberte Brána firewall a pak vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte Test-FW-RG.
    Name Zadejte Test-FW01.
    Oblast Vyberte stejné umístění, které jste použili dříve.
    Správa brány firewall Vyberte Použít zásadu brány firewall ke správě této brány firewall.
    Zásady brány firewall Vyberte Přidat nový a zadejte fw-test-pol.
    Vyberte stejnou oblast, kterou jste použili dříve.
    Volba virtuální sítě Vyberte Použít existující a pak vyberte Test-FW-VN.
    Veřejná IP adresa Vyberte Přidat nový a jako Název zadejte fw-pip.

  5. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  6. Zkontrolujte souhrn a pak výběrem možnosti Vytvořit vytvořte bránu firewall.

    Nasazení může několik minut trvat.

  7. Po dokončení nasazení přejděte do skupiny prostředků Test-FW-RG a vyberte bránu firewall Test-FW01 .

  8. Poznamenejte si privátní a veřejnou IP adresu brány firewall. Tyto adresy použijete později.

Vytvoření výchozí trasy

U podsítě Workload-SN nakonfigurujte výchozí trasu v odchozím směru, která půjde přes bránu firewall.

  1. V nabídce Azure Portal vyberte Všechny služby nebo na libovolné stránce vyhledejte a vyberte Všechny služby.

  2. V části Sítě vyberte Směrovací tabulky.

  3. Vyberte Vytvořit a pak zadejte nebo vyberte následující hodnoty:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte Test-FW-RG.
    Oblast Vyberte stejné umístění, které jste použili dříve.
    Name Zadejte Firewall-route.

  4. Vyberte Zkontrolovat a vytvořit.

  5. Vyberte Vytvořit.

Po dokončení nasazení vyberte Přejít k prostředku.

  1. Na stránce Trasa brány firewall vyberte Podsítě a pak vyberte Přidružit.
  2. Vyberte Virtuální síť>Test-FW-VN.
  3. Jako Podsíť vyberte Workload-SN. Ujistěte se, že jste pro tuto trasu vybrali pouze podsíť Workload-SN , jinak brána firewall nebude fungovat správně.
  4. Vyberte OK.
  5. Vyberte Trasy a pak vyberte Přidat.
  6. Jako Název trasy zadejte fw-dg.
  7. Jako Předpona adresy zadejte 0.0.0.0/0.
  8. V části Typ dalšího směrování vyberte Virtuální zařízení. Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.
  9. Do pole Adresa dalšího směrování zadejte privátní IP adresu brány firewall, kterou jste si poznamenali dříve.
  10. Vyberte OK.

Konfigurace pravidla aplikace

Toto je pravidlo aplikace, které umožňuje odchozí přístup k www.google.com.

  1. Otevřete skupinu prostředků Test-FW-RG a vyberte zásadu brány firewall fw-test-pol .
  2. Vyberte Pravidla aplikací.
  3. Vyberte Přidat kolekci pravidel.
  4. Jako Název zadejte App-Coll01.
  5. Jako Priorita zadejte 200.
  6. V části Akce shromažďování pravidel vyberte Povolit.
  7. V části Pravidla jako Název zadejte Allow-Google.
  8. Jako Typ zdroje vyberte IP adresa.
  9. Jako Zdroj zadejte 10.0.2.0/24.
  10. Do pole Protokol:port zadejte http, https.
  11. V části Typ cíle vyberte plně kvalifikovaný název domény.
  12. Jako Cíl zadejte www.google.com
  13. Vyberte Přidat.

Brána Azure Firewall obsahuje předdefinovanou kolekci pravidel pro infrastrukturu plně kvalifikovaných názvů domén, které jsou ve výchozím nastavení povolené. Tyto plně kvalifikované názvy domén jsou specifické pro tuto platformu a pro jiné účely je nelze použít. Další informace najdete v tématu Plně kvalifikované názvy domén infrastruktury.

Konfigurace pravidla sítě

Toto pravidlo sítě povoluje odchozí přístup ke dvěma IP adresám na portu 53 (DNS).

  1. Vyberte Pravidla sítě.
  2. Vyberte Přidat kolekci pravidel.
  3. Jako Název zadejte Net-Coll01.
  4. Jako Priorita zadejte 200.
  5. V části Akce shromažďování pravidel vyberte Povolit.
  6. V části Skupina kolekce pravidel vyberte DefaultNetworkRuleCollectionGroup.
  7. V části Rules (Pravidla) jako Name (Název) zadejte Allow-DNS.
  8. Jako Typ zdroje vyberte IP adresa.
  9. Jako Zdroj zadejte 10.0.2.0/24.
  10. V části Protokol vyberte UDP.
  11. Jako Cílové porty zadejte 53.
  12. Jako Typ cíle vyberte IP adresa.
  13. Jako Cíl zadejte 209.244.0.3 a 209.244.0.4.
    Jedná se o veřejné servery DNS provozované společností CenturyLink.
  14. Vyberte Přidat.

Konfigurace pravidla DNAT

Toto pravidlo umožňuje připojit vzdálenou plochu k virtuálnímu počítači Srv-Work přes bránu firewall.

  1. Vyberte pravidla DNAT.
  2. Vyberte Přidat kolekci pravidel.
  3. Jako Název zadejte rdp.
  4. Jako Priorita zadejte 200.
  5. V části Rule collection group (Skupina kolekcí pravidel) vyberte DefaultDnatRuleCollectionGroup.
  6. V části Pravidla jako Název zadejte rdp-nat.
  7. Jako Typ zdroje vyberte IP adresa.
  8. Jako Zdroj zadejte *.
  9. V části Protokol vyberte TCP.
  10. Jako Cílové porty zadejte 3389.
  11. Jako Typ cíle vyberte IP adresa.
  12. Jako Cíl zadejte veřejnou IP adresu brány firewall.
  13. Jako Přeložená adresa zadejte privátní IP adresu Srv-work .
  14. Jako Přeložený port zadejte 3389.
  15. Vyberte Přidat.

Změna primární a sekundární adresy DNS u síťového rozhraní Srv-Work

Pro účely testování v tomto kurzu nakonfigurujte primární a sekundární adresu DNS serveru. Nejedná se o obecný Azure Firewall požadavek.

  1. V nabídce Azure Portal vyberte Skupiny prostředků nebo na libovolné stránce vyhledejte a vyberte Skupiny prostředků. Vyberte skupinu prostředků Test-FW-RG .
  2. Vyberte síťové rozhraní pro virtuální počítač Srv-Work .
  3. V části Nastavení vyberte Servery DNS.
  4. V části Servery DNS vyberte Vlastní.
  5. Do textového pole Přidat server DNS zadejte 209.244.0.3 a do dalšího textového pole zadejte 209.244.0.4.
  6. Vyberte Uložit.
  7. Restartujte virtuální počítač Srv-Work.

Testování brány firewall

Teď otestujte bránu firewall a ověřte, že funguje podle očekávání.

  1. Připojte vzdálenou plochu k veřejné IP adrese brány firewall a přihlaste se k virtuálnímu počítači Srv-Work .

  2. Otevřete prohlížeč Internet Explorer a přejděte na adresu https://www.google.com.

  3. Vyberte OK>Zavřít v výstrahách zabezpečení aplikace Internet Explorer.

    Měla by se zobrazit domovská stránka Google.

  4. Přejděte na adresu https://www.microsoft.com.

    Brána firewall by vás měla zablokovat.

Teď jste ověřili, že pravidla brány firewall fungují:

  • Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.
  • Názvy DNS můžete přeložit pomocí nakonfigurovaného externího serveru DNS.

Vyčištění prostředků

Prostředky brány firewall si můžete ponechat pro další kurz, nebo můžete odstraněním skupiny prostředků Test-FW-RG odstranit všechny prostředky související z bránou firewall, pokud už je nepotřebujete.

Další kroky

Nasazení a konfigurace Azure Firewall Premium