Implementace brány firewall datacentra v Azure Stack HCI

  • 8 min

Jste si jistí, že funkce distribuované brány firewall softwarově definované sítě (SDN) služby Azure Stack HCI vám můžou pomoct zlepšit zabezpečení síťové infrastruktury. V této lekci vyhodnotíte funkčnost a užitečnost brány firewall datacentra ve službě Azure Stack HCI tím, že ji implementujete do prostředí testování konceptu.

Implementace brány firewall datacentra

Základní postup implementace zásad brány firewall datacentra se skládá z následujících kroků. Tyto kroky můžete provést pomocí PowerShellu, Windows Správa Center nebo nástroje System Center Virtual Machine Manager (VMM).

  1. Vytvořte objekt seznamu řízení přístupu (ACL).

  2. V seznamu ACL definujte jedno nebo více příchozích a odchozích pravidel, která povolují nebo zamítnou provoz sítě východ-západ a sever-jih na základě některého z následujících kritérií:

    • Protokol představující protokol vrstvy 4 a nastavený na TCP, UDP nebo ALL. ALL kromě protokolu TCP a UDP zahrnuje protokol ICMP (Internet Control Message Protocol).
    • Předpona zdrojové adresy představující předponu IP adresy původu příchozího nebo odchozího síťového paketu. Hvězdička * je zástupný znak označující všechny IP adresy.
    • Zdrojový rozsah portů představující jedno nebo více čísel portů, ze kterých pochází příchozí nebo odchozí síťový paket. * Hvězdička je zástupný znak označující všechna čísla portů.
    • Předpona cílové adresy představující předponu IP adresy cíle příchozího nebo odchozího síťového paketu. * Hvězdička je zástupný znak označující všechny předpony IP adres.
    • Cílový rozsah portů představující jedno nebo více čísel portů, která cílí příchozí nebo odchozí síťový paket. * Hvězdička je zástupný znak označující všechna čísla portů.

  3. Pro každé pravidlo zadejte následující nastavení:

    • Akce představující výsledek pravidla pro případ, že se najde shoda, a nastaví se na Hodnotu Povolit nebo Odepřít.
    • Priorita představující prioritu pravidla ve vztahu k jiným pravidlům v rámci stejného seznamu ACL. Každé pravidlo v rámci stejného seznamu ACL musí mít jedinečnou prioritu, kterou lze nastavit na libovolnou hodnotu mezi 100 a 65000. Nižší číselná hodnota určuje vyšší prioritu.

  4. Volitelně můžete povolit protokolování pro jednotlivá pravidla brány firewall.

  5. Použijte pravidla definovaná v objektu ACL na cílový obor, který může být libovolný z následujících objektů:

    • Podsíť virtuální sítě.
    • Podsíť logické sítě.
    • Síťové rozhraní virtuálního počítače připojeného k podsíti virtuální nebo logické sítě.

    Poznámka:

    Použití seznamů ACL na podsítě virtuální nebo logické sítě zjednodušuje správu, ale někdy můžete chtít, aby byla omezení podrobnější. Pokud ano, můžete přiřadit seznam ACL k jednotlivým síťovým rozhraním virtuálního počítače.

    V případě více seznamů ACL mezi zdrojem a cílem závisí výsledná omezení na směru síťového provozu. V případě příchozího provozu se seznam ACL podsítě použije před seznamem ACL síťového rozhraní, který je přiřazen k seznamu ACL síťového rozhraní. U odchozího provozu je tato sekvence obrácená.

Vyhodnocení funkcí brány firewall datacentra

Bez použití vlastních pravidel seznamu ACL je výchozím chováním síťového rozhraní povolit veškerý odchozí provoz, ale blokovat veškerý příchozí provoz. Pokud chcete vyhodnotit funkčnost brány firewall datacentra, nejprve vytvořte seznam ACL s pravidlem, které povoluje veškerý příchozí síťový provoz, který cílí na obor, na který se seznam ACL vztahuje. Pak identifikujte a omezte určitý příchozí provoz. Nakonec použijte seznam ACL pro cílovou podsíť virtuální sítě.

  1. Po vytvoření seznamu ACL přidejte pravidlo allow-all s následujícím nastavením, které povoluje veškerý příchozí provoz:

    Předpona zdrojové adresy Předpona cílové adresy Protokol Zdrojový port Cílový port Typ Akce Priorita
    * * ALL * * Příchozí Povolit 1000

    Následující snímek obrazovky ukazuje podokno pro položku Pravidla řízení přístupu ve Windows Správa Center s vytvořeným pravidlem povolit vše.

    Screenshot of the Windows Admin Center ACL entry pane with an allow-all rule being created.

  2. Jakmile povolíte veškerý příchozí provoz, identifikujte typy provozu, který chcete blokovat.

    Můžete například chtít omezit připojení přes vzdálenou správu systému Windows (WinRM) napříč podsítěmi. Tento typ omezení může omezit dopad zneužití, které se přesune později po ohrožení jednoho virtuálního počítače. Stále povolujete připojení WinRM ve stejné podsíti.

    Pomocí následujících nastavení vytvořte nové pravidlo na základě předpokladu, že původní podsíť má rozsah IP adres 192.168.0.0/24.

    Předpona zdrojové adresy Předpona cílové adresy Protokol Zdrojový port Cílový port Typ Akce Priorita
    192.168.0.0/24 * TCP * 5985,5986 Příchozí Blokovat 500
    * * ALL * * Příchozí Povolit 1000

    Následující snímek obrazovky ukazuje podokno pro položku Pravidla řízení přístupu ve Windows Správa Center s vytvářeným pravidlem odepřít-winrm.

    Screenshot of the Windows Admin Center ACL entry pane with a deny-winrm rule being created.

  3. Teď přiřaďte seznam ACL k ukázkové cílové podsíti virtuální sítě, která má předponu IP adresy 192.168.100.0/24.

    Screenshot of the Windows Admin Center virtual networks pane with the virtual subnet ACL assignment being created.

  4. Po dokončení vyhodnocení odeberte přiřazení seznamu ACL z cílového oboru, abyste se vrátili k výchozímu chování filtrování.