Tutorial: Bereitstellen und Konfigurieren von Azure Firewall und einer Richtlinie über das Azure-Portal

  • Artikel

Die Steuerung des ausgehenden Netzwerkzugriffs ist ein wichtiger Teil eines umfassenden Netzwerksicherheitsplans. Vielleicht möchten Sie beispielsweise den Zugriff auf Websites einschränken. Mitunter kann es auch empfehlenswert sein, die verfügbaren Ports einzuschränken.

Eine Möglichkeit zur Steuerung des ausgehenden Netzwerkzugriffs aus einem Azure-Subnetz ist Azure Firewall und eine Firewallrichtlinie. Mit Azure Firewall und einer Firewallrichtlinie können Sie Folgendes konfigurieren:

  • Anwendungsregeln, die vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) definieren, auf die von einem Subnetz aus zugegriffen werden kann.
  • Netzwerkregeln, die die Quelladresse, das Protokoll, den Zielport und die Zieladresse definieren.

Die konfigurierten Firewallregeln werden auf den Netzwerkdatenverkehr angewendet, wenn Sie Ihren Netzwerkdatenverkehr an die Firewall als Subnetz-Standardgateway weiterleiten.

In diesem Tutorial erstellen Sie der Einfachheit halber ein einzelnes vereinfachtes VNET mit zwei Subnetzen.

  • AzureFirewallSubnet: Das Subnetz mit der Firewall.
  • Workload-SN: Das Subnetz mit dem Workloadserver. Der Netzwerkdatenverkehr dieses Subnetzes durchläuft die Firewall.

Netzwerkinfrastruktur des Tutorials

Für Produktionsbereitstellungen wird ein Hub-Spoke-Modell empfohlen, bei dem sich die Firewall in einem eigenen VNET befindet. Die Workloadserver befinden sich in per Peering verknüpften VNETs in derselben Region mit einem oder mehreren Subnetzen.

In diesem Tutorial lernen Sie Folgendes:

  • Einrichten einer Netzwerkumgebung zu Testzwecken
  • Bereitstellen einer Firewall und einer Firewallrichtlinie
  • Erstellen einer Standardroute
  • Konfigurieren einer Anwendungsregel zum Zulassen des Zugriffs auf www.google.com
  • Konfigurieren einer Netzwerkregel, um den Zugriff auf externe DNS-Server zuzulassen
  • Konfigurieren einer NAT-Regel, um einen Remotedesktop für den Testserver zuzulassen
  • Testen der Firewall

Sie können für dieses Verfahren auch Azure PowerShell verwenden.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Einrichten des Netzwerks

Erstellen Sie zunächst eine Ressourcengruppe für die Ressourcen, die zum Bereitstellen der Firewall benötigt werden. Erstellen Sie dann ein VNET, Subnetze und Testserver.

Erstellen einer Ressourcengruppe

Die Ressourcengruppe enthält alle Ressourcen für das Tutorial.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen und wählen Sie die Option aus, und wählen Sie anschließendHinzufügen. Geben Sie folgende Werte ein bzw. wählen diese aus:

    Einstellung Wert
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Geben Sie Test-FW-RG ein.
    Region Wählen Sie eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.

  3. Klicken Sie auf Überprüfen + erstellen.

  4. Klicken Sie auf Erstellen.

Erstellen eines VNET

Dieses VNET soll zwei Subnetze beinhalten.

Hinweis

Die Größe des Subnetzes „AzureFirewallSubnet“ beträgt /26. Weitere Informationen zur Subnetzgröße finden Sie unter Azure Firewall – Häufig gestellte Fragen.

  1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.

  2. Wählen Sie Netzwerk aus.

  3. Suchen Sie nach Virtuelles Netzwerk, und wählen Sie die Option aus.

  4. Wählen Sie Erstellen aus und geben Sie dann die folgenden Werte ein oder wählen Sie sie aus:

    Einstellung Wert
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Name Geben Sie Test-FW-VN ein.
    Region Wählen Sie den gleichen Standort aus wie zuvor.

  5. Klicken Sie auf Weiter: IP-Adressen.

  6. Übernehmen Sie für IPv4-Adressraum den Standardwert 10.0.0.0/16.

  7. Wählen Sie unter Subnetz die Einstellung Standard aus.

  8. Ändern Sie den Wert unter Subnetzname in AzureFirewallSubnet. Die Firewall befindet sich diesem Subnetz, und der Subnetzname muss „AzureFirewallSubnet“ lauten.

  9. Geben Sie unter Adressbereich die Zeichenfolge 10.0.1.0/26 ein.

  10. Wählen Sie Speichern aus.

    Erstellen Sie als Nächstes ein Subnetz für den Workloadserver.

  11. Wählen Sie Subnetz hinzufügen aus.

  12. Geben Sie unter Subnetzname die Zeichenfolge Workload-SN ein.

  13. Geben Sie unter Subnetzadressbereich den Bereich 10.0.2.0/24 ein.

  14. Wählen Sie Hinzufügen.

  15. Klicken Sie auf Überprüfen + erstellen.

  16. Klicken Sie auf Erstellen.

Erstellen eines virtuellen Computers

Erstellen Sie nun den virtuellen Workloadcomputer, und ordnen Sie ihn im Subnetz Workload-SN an.

  1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.

  2. Wählen Sie Windows Server 2019 Datacenter aus.

  3. Geben Sie die folgenden Werte für den virtuellen Computer ein oder wählen Sie sie aus:

    Einstellung Wert
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Name des virtuellen Computers Geben Sie Srv-Work ein.
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Username Geben Sie einen Benutzernamen ein.
    Kennwort Geben Sie ein Kennwort ein.

  4. Wählen Sie unter Regeln für eingehende Ports für Öffentliche Eingangsports die Option Keine aus.

  5. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Datenträger.

  6. Übernehmen Sie die Standardeinstellungen für Datenträger, und wählen Sie Weiter: Netzwerk aus.

  7. Stellen Sie sicher, dass als virtuelles Netzwerk Test-FW-VN und als Subnetz Workload-SN ausgewählt ist.

  8. Wählen Sie unter Öffentliche IP die Option Keine aus.

  9. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Verwaltung aus.

  10. Wählen Sie Deaktivieren aus, um die Startdiagnose zu deaktivieren. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie dann auf Bewerten + erstellen.

  11. Überprüfen Sie die Einstellungen auf der Seite „Zusammenfassung“, und wählen Sie dann Erstellen aus.

  12. Wählen Sie nach Abschluss der Bereitstellung die Ressource Srv-Work aus, und notieren Sie sich die private IP-Adresse zur späteren Verwendung.

Bereitstellen der Firewall und Richtlinie

Stellen Sie die Firewall im VNET bereit.

  1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.

  2. Geben Sie Firewall in das Suchfeld ein, und drücken Sie die EINGABETASTE.

  3. Wählen Sie Firewall aus, und klicken Sie anschließend auf Erstellen.

  4. Konfigurieren Sie die Firewall auf der Seite Firewall erstellen anhand der folgenden Tabelle:

    Einstellung Wert
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Name Geben Sie Test-FW01 ein.
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Firewallverwaltung Wählen Sie Firewallrichtlinie zum Verwalten dieser Firewall verwenden aus.
    Firewallrichtlinie Wählen Sie Neu hinzufügen aus, und geben Sie fw-test-pol ein.
    Wählen Sie die gleiche Region aus, die Sie zuvor verwendet haben.
    Virtuelles Netzwerk auswählen Wählen Sie Vorhandene verwenden und dann Test-FW-VN aus.
    Öffentliche IP-Adresse Wählen Sie Neu hinzufügen aus, und geben Sie fw-pip für den Namen ein.

  5. Übernehmen Sie für die anderen Standardwerte und klicken Sie auf Überprüfen und erstellen.

  6. Überprüfen Sie die Zusammenfassung, und wählen Sie dann Erstellen aus, um die Firewall zu erstellen.

    Die Bereitstellung dauert einige Minuten.

  7. Navigieren Sie nach Abschluss der Bereitstellung zur Ressourcengruppe Test-FW-RG, und wählen Sie die Firewall Test-FW01 aus.

  8. Notieren Sie sich die öffentlichen IP-Adressen der Firewall. Diese Adressen werden später verwendet.

Erstellen einer Standardroute

Konfigurieren Sie die ausgehende Standardroute für das Subnetz Workload-SN so, dass sie die Firewall durchläuft.

  1. Wählen Sie im Menü des Azure-Portals die Option Alle Dienste aus, oder suchen Sie auf einer beliebigen Seite nach Alle Dienste, und wählen Sie diese Option anschließend aus.

  2. Wählen Sie unter Netzwerk die Option Routingtabellen aus.

  3. Wählen Sie Erstellen aus und geben Sie dann die folgenden Werte ein oder wählen Sie sie aus:

    Einstellung Wert
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Ressourcengruppe Wählen Sie Test-FW-RG aus.
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Name Geben Sie Firewall-route ein.

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Klicken Sie auf Erstellen.

Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.

  1. Wählen Sie auf der Seite Firewall-route die Option Subnetze aus, und klicken Sie dann auf Zuordnen.
  2. Wählen Sie Virtuelles Netzwerk>Test-FW-VN aus.
  3. Wählen Sie unter Subnetz die Option Workload-SN aus. Stellen Sie sicher, dass Sie nur das Subnetz Workload-SN für diese Route auswählen. Andernfalls funktioniert die Firewall nicht korrekt.
  4. Klicken Sie auf OK.
  5. Wählen Sie Routen und dann Hinzufügen aus.
  6. Geben Sie unter Routenname den Wert fw-dg ein.
  7. Geben Sie unter Adresspräfix den Wert 0.0.0.0/0 ein.
  8. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus. Azure Firewall ist eigentlich ein verwalteter Dienst, in dieser Situation kann aber „Virtuelles Gerät“ verwendet werden.
  9. Geben Sie unter Adresse des nächsten Hops die private IP-Adresse für die Firewall ein, die Sie sich zuvor notiert haben.
  10. Klicken Sie auf OK.

Konfigurieren einer Anwendungsregel

Hierbei handelt es sich um die Anwendungsregel, die ausgehenden Zugriff auf www.google.com ermöglicht.

  1. Öffnen Sie die Ressourcengruppe Test-FW-RG, und wählen Sie die Firewallrichtlinie fw-test-pol aus.
  2. Wählen Sie Anwendungsregeln aus.
  3. Wählen Sie Regelsammlung hinzufügen aus.
  4. Geben Sie unter Name den Wert App-Coll01 ein.
  5. Geben Sie unter Priorität den Wert 200 ein.
  6. Wählen Sie unter Regelsammlungsaktion die Option Zulassen aus.
  7. Geben Sie unter Regeln für Name den Wert Allow-Google ein.
  8. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  9. Geben Sie unter Quelle den Wert 10.0.2.0/24 ein.
  10. Geben Sie unter Protocol:port den Wert http, https ein.
  11. Wählen Sie unter Zieltyp die Option FQDN aus.
  12. Geben Sie unter Zielden Wert www.google.com ein.
  13. Wählen Sie Hinzufügen.

Azure Firewall enthält eine integrierte Regelsammlung für Infrastruktur-FQDNs, die standardmäßig zulässig sind. Diese FQDNs sind plattformspezifisch und können nicht für andere Zwecke verwendet werden. Weitere Informationen finden Sie unter Infrastruktur-FQDNs.

Konfigurieren einer Netzwerkregel

Hierbei handelt es sich um die Netzwerkregel, die ausgehenden Zugriff auf zwei IP-Adressen am Port 53 (DNS) zulässt.

  1. Wählen Sie Netzwerkregeln aus.
  2. Wählen Sie Regelsammlung hinzufügen aus.
  3. Geben Sie unter Name den Wert Net-Coll01 ein.
  4. Geben Sie unter Priorität den Wert 200 ein.
  5. Wählen Sie unter Regelsammlungsaktion die Option Zulassen aus.
  6. Wählen Sie für Regelsammlungsgruppe die Option DefaultNetworkRuleCollectionGroup aus.
  7. Geben Sie unter Regeln für Name den Wert Allow-DNS ein.
  8. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  9. Geben Sie unter Quelle den Wert 10.0.2.0/24 ein.
  10. Wählen Sie für Protokoll die Option UDP aus.
  11. Geben Sie unter Zielports den Wert 53 ein.
  12. Wählen Sie unter Zieltyp die Option IP-Adresse aus.
  13. Geben Sie unter Zielden Wert 209.244.0.3,209.244.0.4 ein.
    Dies sind öffentliche DNS-Server, die von CenturyLink betrieben werden.
  14. Wählen Sie Hinzufügen.

Konfigurieren einer DNAT-Regel

Mit dieser Regel können Sie eine Remotedesktopverbindung mit dem virtuellen Computer Srv-Work über die Firewall herstellen.

  1. Wählen Sie DNAT-Regeln aus.
  2. Wählen Sie Regelsammlung hinzufügen aus.
  3. Geben Sie unter Name den Wert rdp ein.
  4. Geben Sie unter Priorität den Wert 200 ein.
  5. Wählen Sie für Regelsammlungsgruppe die Option DefaultDnatRuleCollectionGroup aus.
  6. Geben Sie unter Regeln für Name den Wert rdp-nat ein.
  7. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  8. Geben Sie unter Quelle den Wert * ein.
  9. Wählen Sie für Protokoll die Option TCP aus.
  10. Geben Sie unter Zielports den Wert 3389 ein.
  11. Wählen Sie unter Zieltyp die Option IP-Adresse aus.
  12. Geben Sie unter Ziel die öffentliche IP-Adresse der Firewall ein.
  13. Geben Sie für Übersetzte Adresse die private IP-Adresse für Srv-work ein.
  14. Geben Sie unter Übersetzter Port den Wert 3389 ein.
  15. Wählen Sie Hinzufügen.

Ändern der primären und sekundären DNS-Adresse für die Netzwerkschnittstelle Srv-Work

In diesem Tutorial konfigurieren Sie zu Testzwecken die primäre und sekundäre DNS-Adresse des Servers. Hierbei handelt es sich nicht um eine generelle Azure Firewall-Anforderung.

  1. Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option anschließend aus. Wählen Sie die Ressourcengruppe Test-FW-RG aus.
  2. Wählen Sie die Netzwerkschnittstelle für die VM Srv-Work aus.
  3. Wählen Sie unter Einstellungen die Option DNS-Server aus.
  4. Wählen Sie unter DNS-Server die Option Benutzerdefiniert aus.
  5. Geben Sie 209.244.0.3 in das Textfeld DNS-Server hinzufügen und 209.244.0.4 in das nächste Textfeld ein.
  6. Wählen Sie Speichern aus.
  7. Starten Sie den virtuellen Computer Srv-Work neu.

Testen der Firewall

Testen Sie nun die Firewall, um sicherzustellen, dass sie wie erwartet funktioniert.

  1. Stellen Sie eine Remotedesktopverbindung mit der öffentlichen IP-Adresse der Firewall her, und melden Sie sich beim virtuellen Computer Srv-Work an.

  2. Navigieren Sie in Internet Explorer zu https://www.google.com.

  3. Klicken Sie in den Sicherheitswarnungen von Internet Explorer auf OK>Schließen.

    Die Google-Startseite sollte nun angezeigt werden.

  4. Navigieren Sie zu https://www.microsoft.com.

    Sie sollten durch die Firewall blockiert werden.

Damit haben Sie sich vergewissert, dass die Firewallregeln funktionieren:

  • Sie können zum einzigen zulässigen FQDN navigieren, aber nicht zu anderen.
  • Sie können DNS-Namen mithilfe des konfigurierten externen DNS-Servers auflösen.

Bereinigen von Ressourcen

Sie können die Firewallressourcen für das nächste Tutorial behalten oder die Ressourcengruppe Test-FW-RG löschen, wenn Sie sie nicht mehr benötigen. Dadurch werden alle firewallbezogenen Ressourcen gelöscht.

Nächste Schritte

Bereitstellen und Konfigurieren von Azure Firewall Premium