Freigeben über


Bereitstellen und Konfigurieren von Azure Firewall über das Azure-Portal

Die Steuerung des ausgehenden Netzwerkzugriffs ist ein wichtiger Teil eines umfassenden Netzwerksicherheitsplans. Vielleicht möchten Sie beispielsweise den Zugriff auf Websites einschränken. Mitunter kann es auch empfehlenswert sein, die verfügbaren Ports einzuschränken.

Eine Möglichkeit zur Steuerung des ausgehenden Netzwerkzugriffs aus einem Subnetz ist Azure Firewall. Mit Azure Firewall können Sie Folgendes konfigurieren:

  • Anwendungsregeln, die vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) definieren, auf die von einem Subnetz aus zugegriffen werden kann.
  • Netzwerkregeln, die die Quelladresse, das Protokoll, den Zielport und die Zieladresse definieren.

Die konfigurierten Firewallregeln werden auf den Netzwerkdatenverkehr angewendet, wenn Sie Ihren Netzwerkdatenverkehr an die Firewall als Subnetz-Standardgateway weiterleiten.

In diesem Artikel erstellen Sie für eine einfache Bereitstellung ein einzelnes vereinfachtes virtuelles Netzwerk mit zwei Subnetzen.

Für Produktionsbereitstellungen wird ein Hub-and-Spoke-Modell empfohlen, bei dem sich die Firewall in einem eigenen virtuellen Netzwerk befindet. Die Workloadserver befinden sich in per Peering verknüpften virtuellen Netzwerken in derselben Region mit einem oder mehreren Subnetzen.

  • AzureFirewallSubnet: Das Subnetz mit der Firewall.
  • Workload-SN: Das Subnetz mit dem Workloadserver. Der Netzwerkdatenverkehr dieses Subnetzes durchläuft die Firewall.

Diagramm der Firewallnetzwerkinfrastruktur.

In diesem Artikel werden folgende Vorgehensweisen behandelt:

  • Einrichten einer Netzwerkumgebung zu Testzwecken
  • Bereitstellen einer Firewall
  • Erstellen einer Standardroute
  • Konfigurieren einer Anwendungsregel zum Zulassen des Zugriffs auf www.google.com
  • Konfigurieren einer Netzwerkregel, um den Zugriff auf externe DNS-Server zuzulassen
  • Konfigurieren einer NAT-Regel, um einen Remotedesktop für den Testserver zuzulassen
  • Testen der Firewall

Hinweis

In diesem Artikel werden für die Verwaltung der Firewall klassische Firewallregeln verwendet. Die bevorzugte Methode ist die Verwendung einer Firewallrichtlinie. Informationen zum Absolvieren dieses Verfahrens mithilfe einer Firewallrichtlinie finden Sie unter Tutorial: Bereitstellen und Konfigurieren von Azure Firewall und einer Richtlinie über das Azure-Portal.

Sie können für dieses Verfahren auch Azure PowerShell verwenden.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Einrichten des Netzwerks

Erstellen Sie zunächst eine Ressourcengruppe für die Ressourcen, die zum Bereitstellen der Firewall benötigt werden. Erstellen Sie dann ein virtuelles Netzwerk, Subnetze und einen Testserver.

Erstellen einer Ressourcengruppe

Die Ressourcengruppe enthält alle Ressourcen, die in diesem Verfahren verwendet werden.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option anschließend aus. Klicken Sie anschließend auf Erstellen.
  3. Wählen Sie unter Abonnement Ihr Abonnement aus.
  4. Geben Sie unter dem Namen der Ressourcengruppe die Zeichenfolge Test-FW-RG ein.
  5. Wählen Sie für Region eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.
  6. Klicken Sie auf Überprüfen + erstellen.
  7. Klicken Sie auf Erstellen.

Erstellen eines virtuellen Netzwerks

Dieses virtuelle Netzwerk umfasst zwei Subnetze.

Hinweis

Die Größe des Subnetzes AzureFirewallSubnet beträgt /26. Weitere Informationen zur Subnetzgröße finden Sie unter Azure Firewall – Häufig gestellte Fragen.

  1. Suchen Sie im Menü oder auf der Startseite des Azure-Portals nach Virtuelle Netzwerke.
  2. Wählen Sie im Ergebnisbereich Virtuelle Netzwerke aus.
  3. Klicken Sie auf Erstellen.
  4. Wählen Sie unter Abonnement Ihr Abonnement aus.
  5. Wählen Sie für Ressourcengruppe die Gruppe Test-FW-RG aus.
  6. Geben Sie unter Name des virtuellen Netzwerks Test-FW-VN ein.
  7. Wählen Sie unter Region die gleiche Region aus wie zuvor.
  8. Wählen Sie Weiter aus.
  9. Wählen Sie auf der Registerkarte Sicherheit die Option Azure Firewall aktivieren aus.
  10. Geben Sie für den Azure Firewall-Namen Test-FW01ein.
  11. Wählen Sie für die Azure Firewall Öffentliche IP-Adresse die Option Öffentliche IP-Adresse erstellen aus.
  12. Geben Sie für Name, fw-pip ein und wählen Sie OK.
  13. Wählen Sie Weiter aus.
  14. Übernehmen Sie für Adressraum den Standardwert 10.0.0.0/16.
  15. Wählen Sie unter Subnetz Standard aus und ändern Sie den Namen in Workload-SN.
  16. Ändern Sie die Startadresse zu 10.0.2.0/24.
  17. Klicken Sie auf Speichern.
  18. Klicken Sie auf Überprüfen + erstellen.
  19. Klicken Sie auf Erstellen.

Hinweis

Azure Firewall verwendet öffentliche IP-Adressen nach Bedarf basierend auf verfügbaren Ports. Nach der zufälligen Auswahl einer öffentlichen IP-Adresse zum Herstellen ausgehender Verbindungen wird nur die nächste verfügbare öffentliche IP-Adresse verwendet, wenn keine weiteren Verbindungen von der aktuellen öffentlichen IP-Adresse mehr hergestellt werden können. In Szenarien mit hohem Datenverkehrsvolumen und -durchsatz wird empfohlen, NAT Gateway für die Bereitstellung ausgehender Verbindungen zu verwenden. SNAT-Ports werden dynamisch allen öffentlichen IP-Adressen zugeordnet, die mit NAT Gateway verbunden sind. Weitere Informationen finden Sie unter Integrieren von NAT Gateway in Azure Firewall.

Erstellen eines virtuellen Computers

Erstellen Sie nun den virtuellen Workloadcomputer, und ordnen Sie ihn im Subnetz Workload-SN an.

  1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.

  2. Wählen Sie Windows Server 2019 Datacenter aus.

  3. Geben Sie die folgenden Werte für den virtuellen Computer ein:

    Einstellung Wert
    Resource group Test-FW-RG
    Name des virtuellen Computers Srv-Work
    Region Wie zuvor
    Image Windows Server 2019 Datacenter
    Benutzername des Administrators Geben Sie einen Benutzernamen ein.
    Kennwort Geben Sie ein Kennwort ein.
  4. Wählen Sie unter Regeln für eingehende Ports für Öffentliche Eingangsports die Option Keine aus.

  5. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Datenträger.

  6. Übernehmen Sie die Standardeinstellungen für Datenträger, und wählen Sie Weiter: Netzwerk aus.

  7. Stellen Sie sicher, dass als virtuelles Netzwerk Test-FW-VN und als Subnetz Workload-SN ausgewählt ist.

  8. Wählen Sie unter Öffentliche IP die Option Keine aus.

  9. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Verwaltung aus.

  10. Übernehmen Sie die Standardeinstellungen, und wählen Sie Weiter: Überwachung aus.

  11. Wählen Sie für Startdiagnose die Option Deaktivieren aus, um die Startdiagnose zu deaktivieren. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie dann auf Bewerten + erstellen.

  12. Überprüfen Sie die Einstellungen auf der Seite „Zusammenfassung“, und wählen Sie dann Erstellen aus.

  13. Nachdem die Bereitstellung abgeschlossen ist, wählen Sie Zu Ressource wechseln aus, und notieren Sie sich die private IP-Adresse Srv-Work, die Sie später verwenden müssen.

Hinweis

Azure stellt eine ausgehende Standardzugriffs-IP für VMs bereit, denen keine öffentliche IP-Adresse zugewiesen ist oder die sich im Backendpool eines internen grundlegenden Azure-Lastenausgleichs befinden. Der Mechanismus für Standard-IP-Adressen für den ausgehenden Zugriff stellt eine ausgehende IP-Adresse bereit, die nicht konfigurierbar ist.

Die Standard-IP-Adresse für ausgehenden Zugriff ist deaktiviert, wenn eines der folgenden Ereignisse auftritt:

  • Dem virtuellen Computer wird eine öffentliche IP-Adresse zugewiesen.
  • Die VM wird im Backendpool eines Standardlastenausgleichs platziert (mit oder ohne Ausgangsregeln).
  • Dem Subnetz der VM wird eine Azure NAT Gateway-Ressource zugewiesen.

VMs, die Sie mithilfe von VM-Skalierungsgruppen im Orchestrierungsmodus „Flexibel“ erstellen, haben keinen ausgehenden Standardzugriff.

Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Standardzugriff in ausgehender Richtung in Azure und Verwenden von SNAT (Source Network Address Translation) für ausgehende Verbindungen.

Überprüfen der Firewall

  1. Wechseln Sie zur Ressourcengruppe und wählen Sie die Firewall aus.
  2. Notieren Sie sich die öffentlichen IP-Adressen der Firewall. Diese Adressen werden später verwendet.

Erstellen einer Standardroute

Beim Erstellen einer Route für ausgehende und eingehende Verbindungen über die Firewall ist eine Standardroute zu 0.0.0.0/0 mit der privaten IP-Adresse des virtuellen Geräts als nächster Hop ausreichend. Dadurch werden alle ausgehenden und eingehenden Verbindungen über die Firewall weitergeleitet. Wenn die Firewall beispielsweise einen TCP-Handshake erfüllt und auf eine eingehende Anforderung antwortet, wird die Antwort an die IP-Adresse weitergeleitet, die den Datenverkehr gesendet hat. Dies ist beabsichtigt.

Daher ist es nicht erforderlich, eine weitere benutzerdefinierte Route zu erstellen, um den IP-Adressbereich AzureFirewallSubnet einzuschließen. Dies kann zu getrennten Verbindungen führen. Die ursprüngliche Standardroute ist ausreichend.

Konfigurieren Sie die ausgehende Standardroute für das Subnetz Workload-SN so, dass sie die Firewall durchläuft.

  1. Suchen Sie im Azure-Portal nach Routingtabellen.
  2. Wählen Sie im Ergebnisbereich den Eintrag Routingtabellen aus.
  3. Klicken Sie auf Erstellen.
  4. Wählen Sie unter Abonnement Ihr Abonnement aus.
  5. Wählen Sie für Ressourcengruppe die Gruppe Test-FW-RG aus.
  6. Wählen Sie unter Region denselben Standort aus wie zuvor.
  7. Geben Sie unter Name die Zeichenfolge Firewall-route ein.
  8. Klicken Sie auf Überprüfen + erstellen.
  9. Klicken Sie auf Erstellen.

Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.

  1. Wählen Sie auf der Seite Firewall-route die Option Subnetze aus, und klicken Sie dann auf Zuordnen.

  2. Wählen Sie für Virtuelles Netzwerk die Option Test-FW-VN aus.

  3. Wählen Sie unter Subnetz die Option Workload-SN aus. Stellen Sie sicher, dass Sie nur das Subnetz Workload-SN für diese Route auswählen. Andernfalls funktioniert die Firewall nicht korrekt.

  4. Klicken Sie auf OK.

  5. Wählen Sie Routen und dann Hinzufügen aus.

  6. Geben Sie für Routenname den Namen fw-dg ein.

  7. Wählen Sie unter Zieltyp die Option IP-Adressen aus.

  8. Geben Sie 0.0.0.0/0 für Ziel-IP-Adressen/CIDR-Bereiche ein.

  9. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus.

    Azure Firewall ist eigentlich ein verwalteter Dienst, in dieser Situation kann aber „Virtuelles Gerät“ verwendet werden.

  10. Geben Sie unter Adresse des nächsten Hops die private IP-Adresse für die Firewall ein, die Sie sich zuvor notiert haben.

  11. Wählen Sie Hinzufügen.

Konfigurieren einer Anwendungsregel

Hierbei handelt es sich um die Anwendungsregel, die ausgehenden Zugriff auf www.google.com ermöglicht.

  1. Öffnen Sie Test-FW-RG, und wählen Sie die Firewall Test-FW01 aus.
  2. Wählen Sie auf der Seite Test-FW01 unter Einstellungen die Option Regeln (klassisch) aus.
  3. Klicken Sie auf die Registerkarte Anwendungsregelsammlung.
  4. Wählen Sie Anwendungsregelsammlung hinzufügen aus.
  5. Geben Sie unter Name die Zeichenfolge App-Coll01 ein.
  6. Geben Sie für Priorität den Wert 200 ein.
  7. Wählen Sie für Aktion die Option Zulassen aus.
  8. Geben Sie unter Regeln > Ziel-FQDNs für Name die Zeichenfolge Allow-Google ein.
  9. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  10. Geben Sie unter Quelle die Adresse 10.0.2.0/24 ein.
  11. Geben Sie unter Protokoll:Port die Zeichenfolge http, https ein.
  12. Geben Sie unter Ziel-FQDNs die Zeichenfolge www.google.com ein.
  13. Wählen Sie Hinzufügen.

Azure Firewall enthält eine integrierte Regelsammlung für Infrastruktur-FQDNs, die standardmäßig zulässig sind. Diese FQDNs sind plattformspezifisch und können nicht für andere Zwecke verwendet werden. Weitere Informationen finden Sie unter Infrastruktur-FQDNs.

Konfigurieren einer Netzwerkregel

Hierbei handelt es sich um die Netzwerkregel, die ausgehenden Zugriff auf zwei IP-Adressen am Port 53 (DNS) zulässt.

  1. Klicken Sie auf die Registerkarte Netzwerkregelsammlung.

  2. Wählen Sie Netzwerkregelsammlung hinzufügen aus.

  3. Geben Sie unter Name die Zeichenfolge Net-Coll01 ein.

  4. Geben Sie für Priorität den Wert 200 ein.

  5. Wählen Sie für Aktion die Option Zulassen aus.

  6. Geben Sie unter Regeln > IP-Adressen für Name den Namen Allow-DNS ein.

  7. Wählen Sie für Protokoll die Option UDP aus.

  8. Wählen Sie unter Quelltyp die Option IP-Adresse aus.

  9. Geben Sie unter Quelle die Adresse 10.0.2.0/24 ein.

  10. Wählen Sie unter Zieltyp die Option IP-Adresse aus.

  11. Geben Sie unter Zieladresse die Adresse 209.244.0.3,209.244.0.4 ein.

    Dies sind öffentliche DNS-Server, die von Level3 betrieben werden.

  12. Geben Sie unter Zielports den Wert 53 ein.

  13. Wählen Sie Hinzufügen.

Konfigurieren einer DNAT-Regel

Mit dieser Regel können Sie eine Remotedesktopverbindung mit dem virtuellen Computer „Srv-Work“ über die Firewall herstellen.

  1. Wählen Sie die Registerkarte NAT-Regelsammlung aus.
  2. Klicken Sie auf NAT-Regelsammlung hinzufügen.
  3. Geben Sie für Name den Wert rdp ein.
  4. Geben Sie für Priorität den Wert 200 ein.
  5. Geben Sie unter Regeln für Name die Zeichenfolge rdp-nat ein.
  6. Wählen Sie für Protokoll die Option TCP aus.
  7. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  8. Geben Sie unter Quelle* ein.
  9. Geben Sie unter Zieladresse die öffentliche IP-Adresse der Firewall ein.
  10. Geben Sie unter Zielports den Wert 3389 ein.
  11. Geben Sie für Übersetzte Adresse die private IP-Adresse für Srv-work ein.
  12. Geben Sie für Übersetzter Port den Wert 3389 ein.
  13. Wählen Sie Hinzufügen.

Ändern der primären und sekundären DNS-Adresse für die Netzwerkschnittstelle Srv-Work

Sie konfigurieren zu Testzwecken die primäre und sekundäre DNS-Adresse des Servers. Hierbei handelt es sich nicht um eine generelle Azure Firewall-Anforderung.

  1. Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option anschließend aus. Wählen Sie die Ressourcengruppe Test-FW-RG aus.
  2. Wählen Sie die Netzwerkschnittstelle für die VM Srv-Work aus.
  3. Wählen Sie unter Einstellungen die Option DNS-Server aus.
  4. Wählen Sie unter DNS-Server die Option Benutzerdefiniert aus.
  5. Geben Sie 209.244.0.3 ein, und drücken Sie im Textfeld DNS-Server hinzufügen die Eingabetaste, und geben Sie 209.244.0.4 in das nächste Textfeld ein.
  6. Wählen Sie Speichern aus.
  7. Starten Sie den virtuellen Computer Srv-Work neu.

Testen der Firewall

Testen Sie nun die Firewall, um sicherzustellen, dass sie wie erwartet funktioniert.

  1. Stellen Sie eine Remotedesktopverbindung mit der öffentlichen IP-Adresse der Firewall her, und melden Sie sich beim virtuellen Computer „Srv-Work“ an.

  2. Navigieren Sie in Internet Explorer zu https://www.google.com.

  3. Klicken Sie in den Sicherheitswarnungen von Internet Explorer auf OK>Schließen.

    Die Google-Startseite sollte nun angezeigt werden.

  4. Navigieren Sie zu https://www.microsoft.com.

    Die Firewall sollte Sie blockieren.

Damit haben Sie sich vergewissert, dass die Firewallregeln funktionieren:

  • Sie können eine Verbindung mit diesem virtuellen Computer über RDP herstellen.
  • Sie können zum einzigen zulässigen FQDN navigieren, aber nicht zu anderen.
  • Sie können DNS-Namen mithilfe des konfigurierten externen DNS-Servers auflösen.

Bereinigen von Ressourcen

Sie können die Firewallressourcen für weitere Tests behalten oder die Ressourcengruppe Test-FW-RG löschen, wenn Sie sie nicht mehr benötigen. Dadurch werden alle firewallbezogenen Ressourcen gelöscht.

Nächste Schritte