Azure Firewall Basic und Richtlinie über Azure-Portal bereitstellen und konfigurieren

  • Artikel

Azure Firewall Basic bietet den wesentlichen Schutz, den SMB-Kunden benötigen, zu einem erschwinglichen Preis. Diese Lösung wird für SMB-Kundenumgebungen mit Durchsatzanforderungen von weniger als 250 MBit/s empfohlen. Es wird empfohlen, die Standard-SKU für Umgebungen mit Durchsatzanforderungen von mehr als 250 MBit/s und die Premium-SKU für erweiterten Bedrohungsschutz bereitzustellen.

Das Filtern des Netzwerk- und Anwendungsdatenverkehrs ist ein wichtiger Teil eines umfassenden Netzwerksicherheitsplans. Vielleicht möchten Sie beispielsweise den Zugriff auf Websites einschränken. Mitunter kann es auch empfehlenswert sein, die verfügbaren Ports einzuschränken.

Eine Möglichkeit zur Steuerung sowohl des eingehenden als auch des ausgehenden Netzwerkzugriffs aus einem Azure-Subnetz ist Azure Firewall und eine Firewallrichtlinie. Mit Azure Firewall und einer Firewallrichtlinie können Sie Folgendes konfigurieren:

  • Anwendungsregeln, die vollqualifizierte Domänennamen (Fully Qualified Domain Names, FQDNs) definieren, auf die von einem Subnetz aus zugegriffen werden kann.
  • Netzwerkregeln, die die Quelladresse, das Protokoll, den Zielport und die Zieladresse definieren.
  • DNAT-Regeln übersetzen und filtern den vom Internet in Ihre Subnetze eingehenden Datenverkehr.

Die konfigurierten Firewallregeln werden auf den Netzwerkdatenverkehr angewendet, wenn Sie Ihren Netzwerkdatenverkehr an die Firewall als Subnetz-Standardgateway weiterleiten.

In dieser Anleitung erstellen Sie der Einfachheit halber ein einzelnes vereinfachtes VNet mit drei Subnetzen. Firewall Basic muss über eine Verwaltungs-NIC konfiguriert werden.

  • AzureFirewallSubnet: Das Subnetz mit der Firewall.
  • AzureFirewallManagementSubnet – für Datenverkehr zur Dienstverwaltung
  • Workload-SN: Das Subnetz mit dem Workloadserver. Der Netzwerkdatenverkehr dieses Subnetzes durchläuft die Firewall.

Hinweis

Da die Azure Firewall Basic im Vergleich zur Azure Firewall Standard- oder Premium-SKU nur begrenzten Datenverkehr aufweist, muss AzureFirewallManagementSubnet den Kundendatenverkehr vom Microsoft-Verwaltungsdatenverkehr trennen, damit sichergestellt wird, dass es zu keinen Unterbrechungen kommt. Dieser Verwaltungsdatenverkehr wird nur für die Kommunikation von Updates und Integritätsmetriken benötigt, die automatisch zu und von Microsoft erfolgt. Für diese IP-Adresse sind keine weiteren Verbindungen zulässig.

Für Produktionsbereitstellungen wird ein Hub-Spoke-Modell empfohlen, bei dem sich die Firewall in einem eigenen VNET befindet. Die Workloadserver befinden sich in per Peering verknüpften VNETs in derselben Region mit einem oder mehreren Subnetzen.

In dieser Schrittanleitung erfahren Sie Folgendes:

  • Einrichten einer Netzwerkumgebung zu Testzwecken
  • Bereitstellen einer grundlegenden Firewall und einer grundlegenden Firewallrichtlinie
  • Erstellen einer Standardroute
  • Konfigurieren einer Anwendungsregel zum Zulassen des Zugriffs auf www.google.com
  • Konfigurieren einer Netzwerkregel, um den Zugriff auf externe DNS-Server zuzulassen
  • Konfigurieren einer NAT-Regel, um einen Remotedesktop für den Testserver zuzulassen
  • Testen der Firewall

Sie können für dieses Verfahren auch Azure PowerShell verwenden.

Voraussetzungen

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Ressourcengruppe

Die Ressourcengruppe enthält alle Ressourcen für diese Anleitung.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option anschließend aus. Klicken Sie anschließend auf Erstellen.
  3. Wählen Sie unter Abonnement Ihr Abonnement aus.
  4. Geben Sie unter Ressourcengruppenname die Zeichenfolge Test-FW-RG ein.
  5. Wählen Sie für Region eine Region aus. Alle anderen Ressourcen, die Sie erstellen, müssen sich in derselben Region befinden.
  6. Klicken Sie auf Überprüfen + erstellen.
  7. Klicken Sie auf Erstellen.

Bereitstellen der Firewall und Richtlinie

Stellen Sie die Firewall bereit und erstellen Sie die zugehörige Netzwerkinfrastruktur.

  1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.

  2. Geben Sie Firewall in das Suchfeld ein, und drücken Sie die EINGABETASTE.

  3. Wählen Sie Firewall aus, und klicken Sie anschließend auf Erstellen.

  4. Konfigurieren Sie die Firewall auf der Seite Firewall erstellen anhand der folgenden Tabelle:

    Einstellung Wert
    Subscription <Ihr Abonnement>
    Resource group Test-FW-RG
    Name Test-FW01
    Region Wählen Sie den gleichen Standort aus wie zuvor.
    Firewall-Dienstebene Grundlegend
    Firewallverwaltung Firewallrichtlinie zum Verwalten dieser Firewall verwenden
    Firewallrichtlinie Neu hinzufügen:
    fw-test-pol
    Ihre ausgewählte Region
    Die Richtlinienebene sollte standardmäßig auf Basic festgelegt sein.
    Virtuelles Netzwerk auswählen Neu erstellen
    Name: Test-FW-VN
    Adressraum: 10.0.0.0/16
    Subnetzadressraum = 10.0.0.0/26
    Öffentliche IP-Adresse Neu hinzufügen:
    Name: fw-pip
    Verwaltungssubnetz-Adressraum 10.0.1.0/26
    Öffentliche Verwaltungs-IP-Adresse Neu hinzufügen
    fw-mgmt-pip

  5. Übernehmen Sie für die anderen Standardwerte und klicken Sie auf Überprüfen und erstellen.

  6. Überprüfen Sie die Zusammenfassung, und wählen Sie dann Erstellen aus, um die Firewall zu erstellen.

    Die Bereitstellung dauert einige Minuten.

  7. Navigieren Sie nach Abschluss der Bereitstellung zur Ressourcengruppe Test-FW-RG, und wählen Sie die Firewall Test-FW01 aus.

  8. Notieren Sie sich die privaten und öffentlichen (fw-pip) IP-Adressen der Firewall. Diese Adressen werden später verwendet.

Erstellen Sie ein Subnetz für den Workloadserver.

Erstellen Sie als Nächstes ein Subnetz für den Workloadserver.

  1. Wechseln Sie zur Ressourcengruppe Test-FW-RG und wählen Sie das virtuelle Netzwerk Test-FW-VN aus.
  2. Wählen Sie Subnetze aus.
  3. Wählen Sie Subnetz aus.
  4. Geben Sie unter Subnetzname die Zeichenfolge Workload-SN ein.
  5. Geben Sie unter Subnetzadressbereich den Bereich 10.0.2.0/24 ein.
  6. Wählen Sie Speichern aus.

Erstellen eines virtuellen Computers

Erstellen Sie nun den virtuellen Workloadcomputer, und ordnen Sie ihn im Subnetz Workload-SN an.

  1. Wählen Sie im Menü des Azure-Portals oder auf der Startseite die Option Ressource erstellen aus.

  2. Wählen Sie Windows Server 2019 Datacenter aus.

  3. Geben Sie die folgenden Werte für den virtuellen Computer ein:

    Einstellung Wert
    Resource group Test-FW-RG
    Name des virtuellen Computers Srv-Work
    Region Wie zuvor
    Image Windows Server 2019 Datacenter
    Benutzername des Administrators Geben Sie einen Benutzernamen ein.
    Kennwort Geben Sie ein Kennwort ein.

  4. Wählen Sie unter Regeln für eingehende Ports für Öffentliche Eingangsports die Option Keine aus.

  5. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Datenträger.

  6. Übernehmen Sie die Standardeinstellungen für Datenträger, und wählen Sie Weiter: Netzwerk aus.

  7. Stellen Sie sicher, dass als virtuelles Netzwerk Test-FW-VN und als Subnetz Workload-SN ausgewählt ist.

  8. Wählen Sie unter Öffentliche IP die Option Keine aus.

  9. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und wählen Sie Weiter: Verwaltung aus.

  10. Klicken Sie auf Weiter: Überwachung aus.

  11. Wählen Sie Deaktivieren aus, um die Startdiagnose zu deaktivieren. Übernehmen Sie für die anderen Einstellungen die Standardwerte, und klicken Sie dann auf Bewerten + erstellen.

  12. Überprüfen Sie die Einstellungen auf der Seite „Zusammenfassung“, und wählen Sie dann Erstellen aus.

  13. Wählen Sie nach Abschluss der Bereitstellung die Ressource Srv-Work aus, und notieren Sie sich die private IP-Adresse zur späteren Verwendung.

Erstellen einer Standardroute

Konfigurieren Sie die ausgehende Standardroute für das Subnetz Workload-SN so, dass sie die Firewall durchläuft.

  1. Wählen Sie im Menü des Azure-Portals die Option Alle Dienste aus, oder suchen Sie auf einer beliebigen Seite nach Alle Dienste, und wählen Sie diese Option anschließend aus.
  2. Wählen Sie unter Netzwerk die Option Routingtabellen aus.
  3. Klicken Sie auf Erstellen.
  4. Wählen Sie unter Abonnement Ihr Abonnement aus.
  5. Wählen Sie für Ressourcengruppe die Gruppe Test-FW-RG aus.
  6. Wählen Sie unter Region denselben Standort aus wie zuvor.
  7. Geben Sie unter Name die Zeichenfolge Firewall-route ein.
  8. Klicken Sie auf Überprüfen + erstellen.
  9. Klicken Sie auf Erstellen.

Klicken Sie nach Abschluss der Bereitstellung auf Zu Ressource wechseln.

  1. Wählen Sie auf der Seite Firewall-Route die Option Subnetze aus und klicken Sie dann auf Zuordnen.

  2. Wählen Sie Virtuelles Netzwerk>Test-FW-VN aus.

  3. Wählen Sie unter Subnetz die Option Workload-SN aus. Stellen Sie sicher, dass Sie nur das Subnetz Workload-SN für diese Route auswählen. Andernfalls funktioniert die Firewall nicht korrekt.

  4. Klicken Sie auf OK.

  5. Wählen Sie Routen und dann Hinzufügen aus.

  6. Geben Sie für Routenname den Namen fw-dg ein.

  7. Wählen Sie für Adresspräfixziel die Option IP-Adressen aus.

  8. Geben Sie 0.0.0.0/0 für Ziel-IP-Adressen/CIDR-Bereiche ein.

  9. Wählen Sie unter Typ des nächsten Hops die Option Virtuelles Gerät aus.

    Azure Firewall ist eigentlich ein verwalteter Dienst, in dieser Situation kann aber „Virtuelles Gerät“ verwendet werden.

  10. Geben Sie unter Adresse des nächsten Hops die private IP-Adresse für die Firewall ein, die Sie sich zuvor notiert haben.

  11. Wählen Sie Hinzufügen.

Konfigurieren einer Anwendungsregel

Hierbei handelt es sich um die Anwendungsregel, die ausgehenden Zugriff auf www.google.com ermöglicht.

  1. Öffnen Sie Test-FW-RG, und wählen Sie die Firewallrichtlinie fw-test-pol aus.
  2. Wählen Sie Anwendungsregeln aus.
  3. Wählen Sie Regelsammlung hinzufügen aus.
  4. Geben Sie unter Name die Zeichenfolge App-Coll01 ein.
  5. Geben Sie für Priorität den Wert 200 ein.
  6. Wählen Sie unter Regelsammlungsaktion die Option Zulassen aus.
  7. Geben Sie unter Regeln für Name die Zeichenfolge Allow-Google ein.
  8. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  9. Geben Sie unter Quelle die Adresse 10.0.2.0/24 ein.
  10. Geben Sie unter Protokoll:Port die Zeichenfolge http, https ein.
  11. Wählen Sie unter Zieltyp die Option FQDN aus.
  12. Geben Sie als Ziel die Adresse www.google.com ein.
  13. Wählen Sie Hinzufügen.

Azure Firewall enthält eine integrierte Regelsammlung für Infrastruktur-FQDNs, die standardmäßig zulässig sind. Diese FQDNs sind plattformspezifisch und können nicht für andere Zwecke verwendet werden. Weitere Informationen finden Sie unter Infrastruktur-FQDNs.

Konfigurieren einer Netzwerkregel

Hierbei handelt es sich um die Netzwerkregel, die ausgehenden Zugriff auf zwei IP-Adressen am Port 53 (DNS) zulässt.

  1. Wählen Sie Netzwerkregeln aus.
  2. Wählen Sie Regelsammlung hinzufügen aus.
  3. Geben Sie unter Name die Zeichenfolge Net-Coll01 ein.
  4. Geben Sie für Priorität den Wert 200 ein.
  5. Wählen Sie unter Regelsammlungsaktion die Option Zulassen aus.
  6. Wählen Sie für Regelsammlungsgruppe die Option DefaultNetworkRuleCollectionGroup aus.
  7. Geben Sie unter Regeln für Name die Zeichenfolge Allow-DNS ein.
  8. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  9. Geben Sie unter Quelle die Adresse 10.0.2.0/24 ein.
  10. Wählen Sie für Protokoll die Option UDP aus.
  11. Geben Sie unter Zielports den Wert 53 ein.
  12. Wählen Sie unter Zieltyp die Option IP-Adresse aus.
  13. Geben Sie als Ziel die Adresse 209.244.0.3,209.244.0.4 ein.
    Dies sind öffentliche DNS-Server, die von Level3 betrieben werden.
  14. Wählen Sie Hinzufügen.

Konfigurieren einer DNAT-Regel

Mit dieser Regel können Sie eine Remotedesktopverbindung mit dem virtuellen Computer „Srv-Work“ über die Firewall herstellen.

  1. Wählen Sie DNAT-Regeln aus.
  2. Wählen Sie Regelsammlung hinzufügen aus.
  3. Geben Sie für Name den Wert rdp ein.
  4. Geben Sie für Priorität den Wert 200 ein.
  5. Wählen Sie für Regelsammlungsgruppe die Option DefaultDnatRuleCollectionGroup aus.
  6. Geben Sie unter Regeln für Name die Zeichenfolge rdp-nat ein.
  7. Wählen Sie unter Quelltyp die Option IP-Adresse aus.
  8. Geben Sie unter Quelle* ein.
  9. Wählen Sie für Protokoll die Option TCP aus.
  10. Geben Sie unter Zielports den Wert 3389 ein.
  11. Wählen Sie unter Zieltyp die Option IP-Adresse aus.
  12. Geben Sie unter Ziel die öffentliche IP-Adresse (fw-pip) der Firewall ein.
  13. Geben Sie für Übersetzte Adresse die private IP-Adresse für Srv-work ein.
  14. Geben Sie für Übersetzter Port den Wert 3389 ein.
  15. Wählen Sie Hinzufügen.

Ändern der primären und sekundären DNS-Adresse für die Netzwerkschnittstelle Srv-Work

Konfigurieren Sie zu Testzwecken im Rahmen dieser Anleitung die primäre und sekundäre DNS-Adresse des Servers. Hierbei handelt es sich nicht um eine generelle Azure Firewall-Anforderung.

  1. Wählen Sie im Menü des Azure-Portals die Option Ressourcengruppen aus, oder suchen Sie auf einer beliebigen Seite nach Ressourcengruppen, und wählen Sie diese Option anschließend aus. Wählen Sie die Ressourcengruppe Test-FW-RG aus.
  2. Wählen Sie die Netzwerkschnittstelle für die VM Srv-Work aus.
  3. Wählen Sie unter Einstellungen die Option DNS-Server aus.
  4. Wählen Sie unter DNS-Server die Option Benutzerdefiniert aus.
  5. Geben Sie 209.244.0.3 in das Textfeld DNS-Server hinzufügen und 209.244.0.4 in das nächste Textfeld ein.
  6. Wählen Sie Speichern aus.
  7. Starten Sie den virtuellen Computer Srv-Work neu.

Testen der Firewall

Testen Sie nun die Firewall, um sicherzustellen, dass sie wie erwartet funktioniert.

  1. Stellen Sie eine Remotedesktopverbindung mit der öffentlichen IP-Adresse (fw-pip) der Firewall her und melden Sie sich bei der VM Srv-Work an.

  2. Navigieren Sie in Internet Explorer zu https://www.google.com.

  3. Klicken Sie in den Sicherheitswarnungen von Internet Explorer auf OK>Schließen.

    Die Google-Startseite sollte nun angezeigt werden.

  4. Navigieren Sie zu http://www.microsoft.com.

    Sie sollten durch die Firewall blockiert werden.

Damit haben Sie sich vergewissert, dass die Firewallregeln funktionieren:

  • Sie können einen Remotedesktop mit dieser Srv-Work-VM verbinden.
  • Sie können zum einzigen zulässigen FQDN navigieren, aber nicht zu anderen.
  • Sie können DNS-Namen mithilfe des konfigurierten externen DNS-Servers auflösen.

Bereinigen von Ressourcen

Sie können die Firewallressourcen für weitere Tests behalten oder die Ressourcengruppe Test-FW-RG löschen, wenn Sie sie nicht mehr benötigen. Dadurch werden alle firewallbezogenen Ressourcen gelöscht.

Nächste Schritte

Bereitstellen und Konfigurieren von Azure Firewall Premium