Planen der Azure Firewall-Bereitstellung
Vor der Bereitstellung von Azure Firewall müssen Sie Ihre Netzwerktopologie planen, die benötigten Firewallregeln ermitteln und die Bereitstellungsschritte verstehen.
Empfohlene Netzwerktopologie
Wie Sie bereits wissen, ist für die Bereitstellung von Azure Firewall besonders eine Hub-and-Spoke-Netzwerktopologie mit den folgenden Merkmalen geeignet:
- Ein virtuelles Netzwerk, das als zentraler Konnektivitätspunkt fungiert: Bei diesem Netzwerk handelt es sich um das virtuelle Hub-Netzwerk.
- Mindestens ein virtuelles Netzwerk mit Peering an den Hub: Diese Peers sind die virtuellen Spoke-Netzwerke, die für die Bereitstellung von Workloadservern verwendet werden.
Sie können die Firewallinstanz in einem Subnetz des virtuellen Hubnetzwerks bereitstellen und dann den gesamten eingehenden und ausgehenden Datenverkehr so konfigurieren, dass er die Firewall durchläuft. Sie verwenden diese Konfiguration, wenn Sie Azure Firewall bereitstellen, um den Hostpool für Azure Virtual Desktop zu schützen.
Azure Firewall-Regeln
Wie Sie bereits wissen, verweigert die Firewall standardmäßig jeglichen Zugriff. Ihre Aufgabe besteht darin, die Firewall mit den Bedingungen zu konfigurieren, unter denen der Datenverkehr durch die Firewall zugelassen werden soll. Jede Bedingung wird als Regel bezeichnet. Jede Regel wendet eine oder mehrere Überprüfungen auf die Daten an. Nur Datenverkehr, der alle Überprüfungen aller Firewallregeln besteht, darf die Firewall passieren.
In der folgenden Tabelle werden die drei Arten von Regeln beschrieben, die Sie für eine Azure-Firewall erstellen können. Sie verwenden Anwendungs- und Netzwerkregeln, um den entsprechenden Netzwerkdatenverkehr für Azure Virtual Desktop zuzulassen.
| Regeltyp | BESCHREIBUNG |
|---|---|
| Netzwerkadressübersetzung (NAT) | Mit diesem Regeltyp wird eingehender Internetdatenverkehr anhand der öffentlichen IP-Adresse der Firewall und einer festgelegten Portnummer übersetzt und gefiltert. Damit eine Remotedesktopverbindung mit einem virtuellen Computer (VM) ermöglicht wird, können Sie beispielsweise eine NAT-Regel verwenden, um die öffentliche IP-Adresse und den Port 3389 der Firewall in die private IP-Adresse der VM zu übersetzen. |
| Anwendung | Filtern Sie den Datenverkehr auf der Grundlage eines vollqualifizierten Domänennamens (FQDN) oder FQDN-Tags. Ein FQDN-Tag stellt eine Gruppe von FQDNs dar, die bekannten Microsoft-Diensten wie Azure Virtual Desktop zugeordnet sind. Sie verwenden beispielsweise eine Anwendungsregel, um ausgehenden Datenverkehr für die Azure Virtual Desktop-VMs mithilfe des FQDN-Tags WindowsVirtualDesktop zu ermöglichen. |
| Netzwerk | Mit diesem Regeltyp kann der Datenverkehr nach einem der folgenden drei Netzwerkparameter gefiltert werden: IP-Adresse, Port und Protokoll. Verwenden Sie beispielsweise eine Netzwerkregel, um Datenverkehr von einer privaten IP-Adresse eines lokalen Active Directory-Domänenservers an Azure für TCP- und UDP-Port 53 zuzulassen. Wenn Sie einen Microsoft Entra-Domänenserver verwenden, müssen Sie keine Netzwerkregel erstellen. DNS-Abfragen werden an Azure DNS unter 168.63.129.16 weitergeleitet. |
Azure Firewall wendet Regeln nach Priorität an. Auf Threat Intelligence basierende Regeln verfügen stets über die höchste Priorität und werden daher zuerst verarbeitet. Anschließend werden die Regeln nach Typ angewendet: NAT-Regeln, dann Netzwerkregeln und abschließend Anwendungsregeln. Innerhalb jedes Typs werden die Regeln entsprechend der Prioritätswerte vom niedrigsten zum höchsten Wert verarbeitet, die Sie beim Erstellen der Regel zuweisen.
Bereitstellungsoptionen
Wie Sie bereits wissen, bietet Azure Firewall viele Features, die darauf ausgelegt sind, das Erstellen und Verwalten von Regeln zu vereinfachen. Diese Features werden in der folgenden Tabelle zusammengefasst. Damit Netzwerkdatenverkehr für Azure Virtual Desktop zulässig ist, verwenden Sie FQDN-Tags, oder andere Optionen in Ihrer Umgebung.
| Funktion | BESCHREIBUNG |
|---|---|
| FQDN | Hierbei handelt es sich um einen Domänennamen eines Hosts oder um mindestens eine IP-Adresse. Durch das Hinzufügen eines FQDN zu einer Anwendungsregel wird der Zugriff auf diese Domäne zugelassen. Wenn Sie einen FQDN in einer Anwendungsregel verwenden, können Sie Platzhalter wie *.google.com verwenden. |
| FQDN-Tag | Hierbei handelt es sich um eine Gruppe bekannter FQDNs von Microsoft. Durch das Hinzufügen eines FQDN-Tags zu einer Anwendungsregel wird der ausgehende Zugriff auf die FQDNs des Tags zugelassen. Es gibt beispielsweise FQDN-Tags für Windows Update, Azure Virtual Desktop, Windows-Diagnose und Azure Backup. Microsoft verwaltet FQDN-Tags, und Sie können sie nicht ändern oder erstellen. |
| Diensttag | Hierbei handelt es sich um eine Gruppe von IP-Adresspräfixen, die im Zusammenhang mit einem bestimmten Azure-Dienst stehen. Durch das Hinzufügen eines Diensttags zu einer Netzwerkregel wird der Zugriff auf den Dienst zugelassen, den das Tag darstellt. Es gibt Diensttags für viele Azure-Dienste, einschließlich Azure Backup, Azure Cosmos DB und Azure Logic Apps. Microsoft verwaltet Diensttags, und Sie können sie nicht ändern oder erstellen. |
| IP-Adressgruppen | Hierbei handelt es sich um eine Gruppe von IP-Adressen, z. B. 10.2.0.0/16 oder 10.1.0.0-10.1.0.31. Sie können eine IP-Adressgruppe in NAT- oder Anwendungsregeln als Quelladresse oder in Netzwerkregeln als Quell- oder Zieladresse verwenden. |
| Benutzerdefinierter DNS | Hierbei handelt es sich um einen benutzerdefinierten DNS-Server, der Domänennamen in IP-Adressen auflöst. Wenn Sie einen benutzerdefinierten DNS-Server anstelle von Azure DNS verwenden, müssen Sie Azure Firewall auch als DNS-Proxy konfigurieren. |
| DNS-Proxy | Sie können Azure Firewall als DNS-Proxy konfigurieren, was bedeutet, dass alle DNS-Anforderungen des Clients die Firewall durchlaufen, bevor sie an den DNS-Server weitergeleitet werden. |
Bereitstellungsschritte für Azure Firewall
In der vorherigen Übung haben Sie einen Hostpool und ein virtuelles Netzwerk mit einem Subnetz erstellt. Sie haben eine Sitzungshost-VM in diesem Subnetz bereitgestellt und beim Hostpool registriert. In den nächsten Übungen führen Sie die folgenden Schritte aus, um Azure Firewall zum Schutz des Hostpools bereitzustellen.
Einrichten des Netzwerks:
- Erstellen Sie ein virtuelles Hub-Netzwerk, das ein Subnetz für die Bereitstellung der Firewall enthält.
- Richten Sie das Peering für die Hub- und Spoke-Netzwerke ein. In der nächsten Übung verknüpfen Sie das virtuelle Hub-Netzwerk per Peering mit dem virtuellen Netzwerk, das vom Azure Virtual Desktop-Hostpool verwendet wird.
Stellen Sie Azure Firewall bereit:
- Stellen Sie Azure Firewall in einem Subnetz im virtuellen Hub-Netzwerk bereit.
- Erstellen Sie eine Standardroute für ausgehenden Datenverkehr, die den Datenverkehr von allen Subnetzen an die private IP-Adresse der Firewall übermittelt.
Erstellen von Azure Firewall-Regeln:
- Konfigurieren Sie die Firewall mit Regeln zum Filtern des eingehenden und ausgehenden Datenverkehrs.