Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Die Steuerung des ausgehenden Netzwerkzugriffs ist ein wichtiger Teil eines umfassenden Netzwerksicherheitsplans. Vielleicht möchten Sie beispielsweise den Zugriff auf Websites einschränken. Mitunter kann es auch empfehlenswert sein, die verfügbaren Ports einzuschränken.
Eine Möglichkeit zur Steuerung des ausgehenden Netzwerkzugriffs aus einem Subnetz ist Azure Firewall. Mit Azure Firewall können Sie Folgendes konfigurieren:
- Anwendungsregeln, die vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) definieren, auf die von einem Subnetz aus zugegriffen werden kann.
- Netzwerkregeln, die die Quelladresse, das Protokoll, den Zielport und die Zieladresse definieren.
Die konfigurierten Firewallregeln werden auf den Netzwerkdatenverkehr angewendet, wenn Sie Ihren Netzwerkdatenverkehr an die Firewall als Subnetz-Standardgateway weiterleiten.
In diesem Artikel erstellen Sie für eine einfache Bereitstellung ein einzelnes vereinfachtes virtuelles Netzwerk mit zwei Subnetzen.
Für Produktionsbereitstellungen wird ein Hub-and-Spoke-Modell empfohlen, bei dem sich die Firewall in einem eigenen virtuellen Netzwerk befindet. Die Workloadserver befinden sich in virtuellen Peernetzwerken in West-USA mit einem oder mehreren Subnetzen.
- AzureFirewallSubnet - die Firewall in diesem Subnetz.
- Workload-SN - der Workloadserver in diesem Subnetz. Der Netzwerkdatenverkehr dieses Subnetzes durchläuft die Firewall.
In diesem Artikel werden folgende Vorgehensweisen behandelt:
- Einrichten einer Netzwerkumgebung zu Testzwecken
- Bereitstellen einer Firewall
- Erstellen einer Standardroute
- Konfigurieren einer Anwendungsregel, um den Zugriff auf www.google.com zuzulassen
- Konfigurieren einer Netzwerkregel, um den Zugriff auf externe DNS-Server zuzulassen
- Bereitstellen von Azure Bastion für den sicheren VM-Zugriff
- Testen der Firewall
Hinweis
In diesem Artikel werden für die Verwaltung der Firewall klassische Firewallregeln verwendet. Die bevorzugte Methode ist die Verwendung einer Firewallrichtlinie. Informationen zum Absolvieren dieses Verfahrens mithilfe einer Firewallrichtlinie finden Sie unter Tutorial: Bereitstellen und Konfigurieren von Azure Firewall und einer Richtlinie über das Azure-Portal.
Sie können für dieses Verfahren auch Azure PowerShell verwenden.
Voraussetzungen
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Einrichten des Netzwerks
Erstellen Sie zunächst eine Ressourcengruppe für die Ressourcen, die zum Bereitstellen der Firewall benötigt werden. Erstellen Sie dann ein virtuelles Netzwerk, Subnetze und einen Testserver.
Erstellen einer Ressourcengruppe
Die Ressourcengruppe enthält alle Ressourcen, die in diesem Verfahren verwendet werden.
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option anschließend aus. Wählen Sie anschließend Erstellen aus.
- Wählen Sie unter Abonnement Ihr Abonnement aus.
- Geben Sie unter dem Namen der Ressourcengruppe die Zeichenfolge Test-FW-RG ein.
- Wählen Sie unter Region die Option USA, Westen aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in der West-USA befinden.
- Klicken Sie auf Überprüfen + erstellen.
- Klicken Sie auf Erstellen.
Erstellen eines virtuellen Netzwerks
Dieses virtuelle Netzwerk umfasst zwei Subnetze.
Hinweis
Die Größe des Subnetzes „AzureFirewallSubnet“ beträgt /26. Weitere Informationen zur Subnetzgröße finden Sie unter Azure Firewall – Häufig gestellte Fragen.
Suchen Sie im Azure-Portalmenü oder auf der Startseite nach virtuellen Netzwerken, und wählen Sie sie aus.
Klicken Sie auf Erstellen.
Konfigurieren Sie auf der Registerkarte Grundlegende Einstellungen die folgenden Einstellungen:
Einstellung Wert Subscription Wählen Sie Ihr Abonnement aus. Ressourcengruppe Test-FW-RG Name des virtuellen Netzwerks Test-FW-VN Region USA, Westen Wählen Sie Weiter aus.
Konfigurieren Sie auf der Registerkarte "Sicherheit " die folgenden Einstellungen:
Einstellung Wert Azure Firewall aktivieren Aktiviert Name der Azure-Firewall Test-FW01 Tarif Standard Policy None (Klassische Firewallregeln verwenden) Öffentliche IP-Adresse von Azure Firewall Wählen Sie "Öffentliche IP-Adresse erstellen", geben Sie "fw-pip" für den Namen ein, und wählen Sie "OK" aus. Wählen Sie Weiter aus.
Konfigurieren Sie auf der Registerkarte "IP-Adressen " die folgenden Einstellungen:
Einstellung Wert Adressraum Akzeptieren Sie die Standardeinstellung 10.0.0.0/16 Subnetze Wählen Sie "Standard", ändern Sie "Name" in "Workload-SN", und legen Sie "Startadresse" auf 10.0.2.0/24 fest. Wählen Sie Speichern. Klicken Sie auf Überprüfen + erstellen.
Klicken Sie auf Erstellen.
Hinweis
Azure Firewall verwendet öffentliche IP-Adressen nach Bedarf basierend auf verfügbaren Ports. Nach der zufälligen Auswahl einer öffentlichen IP-Adresse zum Herstellen ausgehender Verbindungen wird nur die nächste verfügbare öffentliche IP-Adresse verwendet, wenn keine weiteren Verbindungen von der aktuellen öffentlichen IP-Adresse mehr hergestellt werden können. In Szenarien mit hohem Datenverkehrsvolumen und Durchsatz empfiehlt es sich, ein NAT-Gateway zu verwenden, um ausgehende Verbindungen bereitzustellen. SNAT-Ports werden dynamisch allen öffentlichen IP-Adressen zugeordnet, die mit NAT Gateway verbunden sind. Weitere Informationen finden Sie unter Skalieren von SNAT-Ports mit Azure NAT-Gateway.
Erstellen eines virtuellen Computers
Erstellen Sie nun den virtuellen Workloadcomputer, und ordnen Sie ihn im Subnetz Workload-SN an.
Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.
Wählen Sie Ubuntu Server 22.04 LTS aus.
Geben Sie die folgenden Werte für den virtuellen Computer ein:
Einstellung Wert Ressourcengruppe Test-FW-RG Name des virtuellen Computers Srv-Work Region West US Abbildung Ubuntu Server 22.04 LTS - x64 Gen2 Size Standard_B2s Authentifizierungsart Öffentlicher SSH-Schlüssel Nutzername azureuser Quelle für öffentlichen SSH-Schlüssel Neues Schlüsselpaar generieren Name des Schlüsselpaars Srv-Work_key Konfigurieren Sie auf der Registerkarte "Netzwerk " die folgenden Einstellungen:
Einstellung Wert Virtuelles Netzwerk Test-FW-VN Subnetz Workload-SN Öffentliche IP-Adresse None Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Verwaltung aus.
Übernehmen Sie die Standardeinstellungen, und wählen Sie Weiter: Überwachung aus.
Wählen Sie für VerwaltungDeaktivieren aus. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie dann auf Bewerten + erstellen.
Überprüfen Sie die Einstellungen auf der Seite „Zusammenfassung“, und wählen Sie dann Erstellen aus.
Wählen Sie im Dialogfeld " Neues Schlüsselpaar generieren " die Option "Privaten Schlüssel herunterladen" und "Ressource erstellen" aus. Speichern Sie die Schlüsseldatei als Srv-Work_key.pem.
Nachdem die Bereitstellung abgeschlossen ist, wählen Sie Zu Ressource wechseln aus, und notieren Sie sich die private IP-Adresse Srv-Work, die Sie später verwenden müssen.
Hinweis
Azure stellt eine ausgehende Standardzugriffs-IP für VMs bereit, denen keine öffentliche IP-Adresse zugewiesen ist oder die sich im Backendpool eines internen grundlegenden Azure-Lastenausgleichs befinden. Der Mechanismus für Standard-IP-Adressen für den ausgehenden Zugriff stellt eine ausgehende IP-Adresse bereit, die nicht konfigurierbar ist.
Die Standard-IP-Adresse für ausgehenden Zugriff ist deaktiviert, wenn eins der folgenden Ereignisse auftritt:
- Der VM wird eine öffentliche IP-Adresse zugewiesen.
- Die VM wird im Back-End-Pool eines Standardlastenausgleichs platziert (mit oder ohne Ausgangsregeln).
- Dem Subnetz der VM wird eine Azure NAT Gateway-Ressource zugewiesen.
VMs, die von VM-Skalierungsgruppen im Orchestrierungsmodus „Flexibel“ erstellt werden, haben keinen standardmäßigen ausgehenden Zugriff.
Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Standardzugriff in ausgehender Richtung in Azure und Verwenden von SNAT (Source Network Address Translation) für ausgehende Verbindungen.
Überprüfen der Firewall
- Wechseln Sie zur Ressourcengruppe und wählen Sie die Firewall aus.
- Notieren Sie sich die öffentlichen IP-Adressen der Firewall. Diese Adressen werden später verwendet.
Erstellen einer Standardroute
Beim Erstellen einer Route für ausgehende und eingehende Verbindungen über die Firewall ist eine Standardroute zu 0.0.0.0/0 mit der privaten IP-Adresse des virtuellen Geräts als nächster Hop ausreichend. Dadurch werden alle ausgehenden und eingehenden Verbindungen über die Firewall weitergeleitet. Wenn die Firewall beispielsweise einen TCP-Handshake erfüllt und auf eine eingehende Anforderung antwortet, wird die Antwort an die IP-Adresse weitergeleitet, die den Datenverkehr gesendet hat. Es handelt sich hierbei um ein beabsichtigtes Verhalten.
Daher ist es nicht erforderlich, eine andere benutzerdefinierte Route zu erstellen, um den AzureFirewallSubnet-IP-Bereich einzuschließen. Dies kann zu getrennten Verbindungen führen. Die ursprüngliche Standardroute ist ausreichend.
Konfigurieren Sie die ausgehende Standardroute für das Subnetz Workload-SN so, dass sie die Firewall durchläuft.
Suchen Sie im Azure-Portal nach Routentabellen, und wählen Sie sie aus.
Klicken Sie auf Erstellen.
Konfigurieren Sie auf der Registerkarte Grundlegende Einstellungen die folgenden Einstellungen:
Einstellung Wert Subscription Wählen Sie Ihr Abonnement aus. Ressourcengruppe Test-FW-RG Region USA, Westen Name Firewall-route Gatewayrouten verteilen Wählen Sie Ihre Präferenz aus. Klicken Sie auf Überprüfen + erstellen.
Klicken Sie auf Erstellen.
Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.
Auf der Seite Firewall-route wählen Sie Einstellungen>Subnetze und dann Zuordnenaus.
Wählen Sie für Virtuelles Netzwerk die Option Test-FW-VN aus.
Wählen Sie unter Subnetz die Option Workload-SN aus. Stellen Sie sicher, dass Sie nur das Subnetz Workload-SN für diese Route auswählen. Andernfalls funktioniert die Firewall nicht korrekt.
Wählen Sie OK aus.
Wählen Sie Routen und dann Hinzufügen aus.
Konfigurieren Sie die Route mit den folgenden Einstellungen:
Einstellung Wert Routenname fw-dg Zieltyp IP-Adressen Ziel-IP-Adressen/CIDR-Bereiche 0.0.0.0/0 Typ des nächsten Sprungs Virtuelle Appliance. Azure Firewall ist eigentlich ein verwalteter Dienst, in dieser Situation kann aber „Virtuelles Gerät“ verwendet werden. Adresse des nächsten Hops Die private IP-Adresse für die Firewall, die Sie zuvor erwähnt haben Wählen Sie Hinzufügen.
Konfigurieren einer Anwendungsregel
Hierbei handelt es sich um die Anwendungsregel, die ausgehenden Zugriff auf www.google.com ermöglicht.
Öffnen Sie die Ressourcengruppe "Test-FW-RG ", und wählen Sie die Firewall "Test-FW01 " aus.
Wählen Sie auf der Seite Test-FW01 unter Einstellungen die Option Regeln (klassisch) aus.
Klicken Sie auf die Registerkarte Anwendungsregelsammlung.
Wählen Sie Anwendungsregelsammlung hinzufügen aus.
Konfigurieren Sie die Regelsammlung mit den folgenden Einstellungen:
Einstellung Wert Name App-Coll01 Priority 200 Maßnahme Erlauben Unter Regeln, Ziel-FQDNs, konfigurieren Sie die folgenden Einstellungen:
Einstellung Wert Name Allow-Google Quelltyp IP-Adresse Quelle 10.0.2.0/24 Protokoll:Port http, https Ziel-FQDNs www.google.comWählen Sie Hinzufügen.
Azure Firewall enthält eine integrierte Regelsammlung für Infrastruktur-FQDNs, die standardmäßig zulässig sind. Diese FQDNs sind plattformspezifisch und können nicht für andere Zwecke verwendet werden. Weitere Informationen finden Sie unter Infrastruktur-FQDNs.
Konfigurieren einer Netzwerkregel
Hierbei handelt es sich um die Netzwerkregel, die ausgehenden Zugriff auf zwei IP-Adressen am Port 53 (DNS) zulässt.
Klicken Sie auf die Registerkarte Netzwerkregelsammlung.
Wählen Sie Netzwerkregelsammlung hinzufügen aus.
Konfigurieren Sie die Regelsammlung mit den folgenden Einstellungen:
Einstellung Wert Name Net-Coll01 Priority 200 Maßnahme Erlauben Unter Regeln, IP-Adressen, konfigurieren Sie die folgenden Einstellungen:
Einstellung Wert Name Allow-DNS Protokoll UDP Quelltyp IP-Adresse Quelle 10.0.2.0/24 Zieltyp IP-Adresse Zieladresse 209.244.0.3.209.244.0.4 (öffentliche DNS-Server, betrieben von Level3) Zielports 53 Wählen Sie Hinzufügen.
Bereitstellen von Azure Bastion
Stellen Sie jetzt Azure Bastion bereit, um sicheren Zugriff auf den virtuellen Computer zu ermöglichen.
Klicken Sie im Menü des Azure-Portals auf Ressource erstellen.
Geben Sie im Suchfeld Bastion ein, und wählen Sie es aus den Ergebnissen aus.
Klicken Sie auf Erstellen.
Konfigurieren Sie auf der Registerkarte Grundlegende Einstellungen die folgenden Einstellungen:
Einstellung Wert Subscription Wählen Sie Ihr Abonnement aus. Ressourcengruppe Test-FW-RG Name Test-Bastion Region USA, Westen Tarif Entwickler Virtuelles Netzwerk Test-FW-VN Subnetz Subnetz bearbeiten auswählen Konfigurieren Sie auf der Seite "Subnetz bearbeiten " die folgenden Einstellungen:
Einstellung Wert Startadresse 10.0.4.0/26 Size /26 Wählen Sie "Speichern" aus, und schließen Sie die Subnetzseite.
Klicken Sie auf Überprüfen + erstellen.
Nachdem die Überprüfung bestanden wurde, wählen Sie "Erstellen" aus.
Hinweis
Die Bastion-Bereitstellung dauert etwa 10 Minuten, bis sie abgeschlossen ist. Die Entwicklerebene ist für Test- und Evaluierungszwecke vorgesehen. Überprüfen Sie für Produktionsbereitstellungen die Azure Bastion-SKU-Optionen im Azure Bastion SKU-Vergleich.
Ändern der primären und sekundären DNS-Adresse für die Netzwerkschnittstelle Srv-Work
Sie konfigurieren zu Testzwecken die primäre und sekundäre DNS-Adresse des Servers. Hierbei handelt es sich nicht um eine generelle Azure Firewall-Anforderung.
Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option anschließend aus. Wählen Sie die Ressourcengruppe Test-FW-RG aus.
Wählen Sie die Netzwerkschnittstelle für die VM Srv-Work aus.
Wählen Sie unter Einstellungen die Option DNS-Server aus.
Wählen Sie unter DNS-Server die Option Benutzerdefiniert aus.
Konfigurieren Sie die folgenden DNS-Server:
DNS server Wert Primary 209.244.0.3 Secondary 209.244.0.4 Wählen Sie Speichern.
Starten Sie den virtuellen Computer Srv-Work neu.
Testen der Firewall
Testen Sie nun die Firewall, um sicherzustellen, dass sie wie erwartet funktioniert.
Navigieren Sie im Azure-Portal zum virtuellen Srv-Work-Computer .
Wählen Sie "Verbinden" und dann "Über Bastion verbinden" aus.
Wählen Sie den privaten SSH-Schlüssel aus der lokalen Datei verwenden.
Geben Sie für "Benutzername" den Namen "azureuser" ein.
Wählen Sie das Ordnersymbol aus, und navigieren Sie zur Datei "Srv-Work_key.pem ", die Sie zuvor heruntergeladen haben.
Wählen Sie Verbinden aus.
Führen Sie an der Bash-Eingabeaufforderung die folgenden Befehle aus, um die DNS-Auflösung zu testen:
nslookup www.google.com nslookup www.microsoft.comFür beide Befehle sollten Antworten zurückgegeben werden, was zeigt, dass Ihre DNS-Abfragen die Firewall durchqueren.
Führen Sie die folgenden Befehle aus, um die Anwendungsregel zu testen:
curl https://www.google.com curl https://www.microsoft.comDie
www.google.comAnforderung sollte erfolgreich sein, und die HTML-Antwort sollte angezeigt werden.Die
www.microsoft.comAnforderung sollte fehlschlagen und zeigt, dass die Firewall die Anforderung blockiert.
Damit haben Sie sich vergewissert, dass die Firewallregeln funktionieren:
- Sie können mithilfe von Bastion und SSH eine Verbindung mit dem virtuellen Computer herstellen.
- Sie können zum einzigen zulässigen FQDN navigieren, aber nicht zu anderen.
- Sie können DNS-Namen mithilfe des konfigurierten externen DNS-Servers auflösen.
Bereinigen von Ressourcen
Sie können die Firewallressourcen für weitere Tests behalten oder die Ressourcengruppe Test-FW-RG löschen, wenn Sie sie nicht mehr benötigen. Dadurch werden alle firewallbezogenen Ressourcen gelöscht.