Az Azure Firewall alapszintű és szabályzatának üzembe helyezése és konfigurálása az Azure Portal használatával

Az Azure Firewall Basic megfizethető áron biztosítja az SMB-ügyfelek számára szükséges alapvető védelmet. Ez a megoldás 250 Mbps-nál kisebb átviteli sebességű SMB-ügyfélkörnyezetekhez ajánlott. Telepítse a standard termékváltozatot a 250 Mb/s-nál nagyobb átviteli sebességű környezetekhez, valamint a prémium termékváltozatot a fokozott veszélyforrások elleni védelem érdekében.

A hálózati és alkalmazásforgalom szűrése fontos része egy átfogó hálózati biztonsági tervnek. Előfordulhat például, hogy korlátozni szeretné a webhelyekhez való hozzáférést. Vagy korlátozhatja a kimenő IP-címeket és portokat, amelyek elérhetők.

Az Azure-alhálózatok bejövő és kimenő hálózati hozzáférését is szabályozhatja az Azure Firewall és a Firewall Policy használatával. Az Azure Firewall és tűzfalszabályzat használatával konfigurálhatja a következőt:

  • Alkalmazásszabályokat, amelyek egy alhálózatról elérhető teljes tartományneveket (FQDN) határoznak meg.
  • Hálózatszabályokat, amelyek forráscímet, protokollt, valamint célportot és célcímet határoznak meg.
  • DNST-szabályok az alhálózatokra irányuló bejövő internetes forgalom lefordításához és szűréséhez.

A hálózati forgalmat a konfigurált tűzfalszabályok irányítják, ha alapértelmezett alhálózati átjáróként irányítja a tűzfalhoz a forgalmat.

Ebben a cikkben egy egyszerűsített, három alhálózattal rendelkező virtuális hálózatot hoz létre az egyszerű üzembe helyezés érdekében. Az alapszintű tűzfal esetében kötelező a felügyeleti hálózati adapter konfigurálása.

  • AzureFirewallSubnet – ezen az alhálózaton található a tűzfal.
  • AzureFirewallManagementSubnet – szolgáltatásfelügyeleti forgalomhoz.
  • Workload-SN – ezen az alhálózaton található a számítási feladat kiszolgálója. Ennek az alhálózatnak a hálózati forgalma a tűzfalon halad át.

Megjegyzés

Mivel az Azure Firewall Basic az Azure Firewall Standardhoz vagy a Prémium termékváltozathoz képest korlátozott forgalomkezeléssel rendelkezik, az AzureFirewallManagementSubnetnek el kell különítenie az ügyfélforgalmat a Microsoft felügyeleti forgalmától, hogy ne legyen fennakadás. Ez a felügyeleti hálózati forgalom szükséges a frissítések és az állapotmetrikák kizárólag a Microsofttal történő oda-vissza automatikus kommunikációjához. Ezen az IP-címen más kapcsolatok nem engedélyezettek.

Üzembe helyezéskor használjon egy hub és küllős modellt, ahol a tűzfal a saját virtuális hálózatában van. A számítási feladatok kiszolgálói ugyanabban a régióban egy vagy több alhálózattal rendelkező társhálózatok virtuális hálózataiban találhatók.

Ebből a cikkből megtudhatja, hogyan:

  • Tesztelési hálózati környezet beállítása
  • Alapszintű tűzfal és alapszintű tűzfalszabályzat üzembe helyezése
  • Alapértelmezett útvonal létrehozása
  • Alkalmazásszabály konfigurálása a www.google.com való hozzáférés engedélyezéséhez
  • Hálózatszabály konfigurálása külső DNS-kiszolgálókhoz való hozzáférés engedélyezéséhez
  • NAT-szabály konfigurálása egy távoli asztali kapcsolat engedélyezéséhez a tesztszerverhez
  • A tűzfal tesztelése

Tetszés szerint az Azure PowerShell használatával végezheti el ezt az eljárást.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Erőforráscsoport létrehozása

Az erőforráscsoport tartalmazza a útmutató összes erőforrását.

  1. Jelentkezzen be a Azure portalra.

  2. Keresse meg és válassza ki az Erőforráscsoportokat, majd válassza a Létrehozás lehetőséget.

  3. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Válassza ki az előfizetését.
    Erőforráscsoport neve Adja meg a Test-FW-RG értéket.
    Régió Válasszon régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.

  4. Válassza az Áttekintés + létrehozás lehetőséget, majd válassza a Létrehozás lehetőséget.

A tűzfal és a szabályzat üzembe helyezése

Telepítse a tűzfalat, és hozza létre a társított hálózati infrastruktúrát.

  1. Az Azure Portal menüjében vagy a Kezdőlap panelen válassza az Erőforrás létrehozása lehetőséget.

  2. Írja be firewall a keresőmezőbe, és nyomja le az Enter billentyűt.

  3. Válassza a Tűzfal lehetőséget, majd a Létrehozáslehetőséget.

  4. Tűzfal létrehozásakor adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Válassza ki az előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Név Adja meg Test-FW01.
    Régió Válassza ki ugyanazt a helyet, amelyet korábban használt.
    Tűzfalszint Alapszintű
    Tűzfalkezelés Tűzfalszabályzat használata a tűzfal kezeléséhez
    Tűzfalszabályzat Válassza az Új hozzáadása lehetőséget. Adja meg az fw-test-pol értéket, jelölje ki a régiót, és erősítse meg, hogy a szabályzatszint alapértelmezett értéke Alapszintű.
    Válasszon egy virtuális hálózatot Válassza az Új létrehozása lehetőséget. Írja be a Test-FW-VN nevet a névmezőhöz, a 10.0.0.0/16 címtartomány értéket a címtérhez, és a 10.0.0.0/26 értéket az alhálózati címtérhez.
    Nyilvános IP-cím Válassza az Új hozzáadása lehetőséget, és adja meg az fw-pip nevet.
    Kezelés – Alhálózati címtér 10.0.1.0/26
    Nyilvános IP-cím kezelése Válassza az Új hozzáadása lehetőséget, és adja meg az fw-mgmt-pip nevet.

  5. Fogadja el a többi alapértelmezett értéket, majd válassza a Véleményezés + létrehozás lehetőséget.

  6. Tekintse át az összegzést, majd kattintson a Létrehozás gombra a tűzfal létrehozásához.

    Az üzembe helyezés néhány percet vesz igénybe.

  7. Az üzembe helyezés befejezése után lépjen a Test-FW-RG erőforráscsoportra, és válassza a Test-FW01 tűzfalat.

  8. Figyelje meg a tűzfal privát és nyilvános IP-címét (fw-pip). Ezeket a címeket később fogod használni.

Alhálózat létrehozása a számítási feladatkiszolgálóhoz

Ezután hozzon létre egy alhálózatot a számítási feladat kiszolgálója számára.

  1. Lépjen a Test-FW-RG erőforráscsoportra, és válassza ki a Test-FW-VN virtuális hálózatot.
  2. Válassza az Alhálózatok lehetőséget, majd az + Alhálózat lehetőséget.
  3. Az Alhálózat neve mezőbe írja be a következőtWorkload-SN: Alhálózati címtartomány esetén adja meg a következőt10.0.2.0/24:
  4. Válassza az Mentésgombot.

Virtuális gép létrehozása

Hozza létre a számítási feladat virtuális gépét, és helyezze el a Workload-SN alhálózatban.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása lehetőséget.

  2. Válassza a Windows Server 2019 Datacenter lehetőséget.

  3. Adja meg a következő értékeket a virtuális géphez:

    Beállítás Érték
    Erőforráscsoport Test-FW-RG
    Virtuális gép neve Srv-Work
    Régió Ugyanaz, mint az előző
    Image Windows Server 2019 Datacenter
    Rendszergazdai felhasználónév Írjon be egy felhasználónevet
    Jelszó Jelszó beírása

  4. A Bejövő portszabályok területen a nyilvános bejövő portok esetében válassza a Nincs lehetőséget.

  5. Fogadja el az alapértelmezett beállításokat a Lemezek lapon, és válassza a Tovább: Hálózatkezelés lehetőséget.

  6. Virtuális hálózat esetén válassza a Test-FW-VN lehetőséget. Alhálózat esetén válassza a Workload-SN lehetőséget. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.

  7. Fogadja el az alapértelmezett beállításokat a Felügyelettel, majd a Figyelés lapon válassza a Rendszerindítási diagnosztika letiltása lehetőséget . Válassza az Áttekintés + létrehozás lehetőséget, majd válassza a Létrehozás lehetőséget.

  8. Az üzembe helyezés befejezése után válassza ki a Srv-Work erőforrást, és jegyezze fel a privát IP-címet későbbi használatra.

Alapértelmezett útvonal létrehozása

A Workload-SN alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

  1. Keresse meg és válassza az Útvonaltáblák lehetőséget, majd válassza a Létrehozás lehetőséget.

  2. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Válassza ki az előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Régió Válassza ki ugyanazt a helyet, amelyet korábban használt.
    Név Adja meg a Firewall-route.

  3. Válassza az Áttekintés + létrehozás lehetőséget, majd válassza a Létrehozás lehetőséget. Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása elemet.

  4. A Tűzfalútvonal lapon válassza az Alhálózatok, majd a Társítás lehetőséget.

  5. Válassza a Test-FW-VN>. Alhálózat esetén válassza a Workload-SN lehetőséget.

    Fontos

    Válassza ki az útvonalhoz csak a Workload-SN alhálózatot, ellenkező esetben a tűzfal nem működik megfelelően.

  6. Kattintson az OK gombra.

  7. Válassza az Útvonalak lehetőséget, majd a Hozzáadás lehetőséget. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Útvonal neve fw-dg
    Címelőtag célhelye IP-címek
    Cél IP-címek/CIDR-tartományok 0.0.0.0/0
    A következő ugrás típusa Virtuális berendezés (az Azure Firewall egy felügyelt szolgáltatás, de a virtuális berendezés itt működik.)
    A következő csomópont címe A korábban feljegyzett tűzfal privát IP-címe.

  8. Válassza a Hozzáadás lehetőséget.

Alkalmazásszabály konfigurálása

Ez az alkalmazásszabály kimenő hozzáférést biztosít a www.google.com.

  1. Nyissa meg a Test-FW-RG parancsot, és válassza ki az fw-test-pol tűzfalszabályzatot.

  2. Válassza az Alkalmazásszabályok lehetőséget, majd válassza a Szabálygyűjtemény hozzáadása lehetőséget.

  3. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Név App-Coll01
    Priority 200
    Szabálygyűjtési művelet Engedélyezés

  4. A Szabályok csoportban adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Név Allow-Google
    Forrás típusa IP-cím
    Forrás 10.0.2.0/24
    Protokoll:port http, https
    Cél típusa FQDN
    Úti cél www.google.com

  5. Válassza a Hozzáadás lehetőséget.

Az Azure Firewall tartalmaz egy beépített szabálygyűjteményt az infrastruktúra alapértelmezés szerint engedélyezett teljes tartományneveiről. Ezek a teljes tartománynevek a platformra vonatkoznak, és más célokra nem használhatók. További információ: Infrastruktúra FQDN-jei.

Hálózatszabály konfigurálása

Ez a hálózati szabály két IP-címhez biztosít kimenő hozzáférést az 53-es porton (DNS).

  1. Válassza a Hálózati szabályok lehetőséget, majd válassza a Szabálygyűjtemény hozzáadása lehetőséget.

  2. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Név Net-Coll01
    Priority 200
    Szabálygyűjtési művelet Engedélyezés
    Szabálygyűjteményi csoport DefaultNetworkRuleCollectionGroup

  3. A Szabályok csoportban adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Név Allow-DNS
    Forrás típusa IP-cím
    Forrás 10.0.2.0/24
    Protokoll UDP
    Célportok 53
    Cél típusa IP-cím
    Úti cél 209.244.0.3,209.244.0.4 (a Level3 által üzemeltetett nyilvános DNS-kiszolgálók)

  4. Válassza a Hozzáadás lehetőséget.

DNAT-szabály konfigurálása

Ez a szabály egy távoli asztalt csatlakoztat a Srv-Work virtuális géphez a tűzfalon keresztül.

  1. Válassza a DNAT-szabályokat, majd válassza a Szabálygyűjtemény hozzáadása lehetőséget.

  2. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Név rdp
    Priority 200
    Szabálygyűjteményi csoport DefaultDnatRuleCollectionGroup

  3. A Szabályok csoportban adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Név rdp-nat
    Forrás típusa IP-cím
    Forrás *
    Protokoll TCP
    Célportok 3389
    Cél típusa IP-cím
    Úti cél A tűzfal nyilvános IP-címe (fw-pip)
    Lefordított cím A Srv-Work privát IP-címe
    Lefordított port 3389

  4. Válassza a Hozzáadás lehetőséget.

Módosítsa az Srv-Work hálózati adapter elsődleges és másodlagos DNS-címét.

A cikkben szereplő tesztelési célokra konfigurálja a kiszolgáló elsődleges és másodlagos DNS-címét. Ez a konfiguráció nem általános Azure Firewall-követelmény.

  1. Az Azure Portalon nyissa meg az Erőforráscsoportokat a menüből vagy a kereséssel, majd válassza a Test-FW-RG lehetőséget.
  2. Válassza ki a Srv-Work virtuális gép hálózati adapterét.
  3. A Beállítások területen válassza ki a DNS-kiszolgálókat.
  4. A DNS szerverek alatt válassza az Egyéni lehetőséget.
  5. Írja be 209.244.0.3 a DNS-kiszolgáló hozzáadása szövegmezőt, majd 209.244.0.4 a következő szövegmezőbe.
  6. Válassza az Mentésgombot.
  7. Indítsa újra az Srv-Work virtuális gépet.

A tűzfal tesztelése

Most tesztelje a tűzfalat, hogy ellenőrizze, hogy a várt módon működik-e.

  1. Csatlakoztassa a távoli asztalt a tűzfal nyilvános IP-címéhez (fw-pip), és jelentkezzen be a Srv-Work virtuális gépre.

  2. Nyissa meg a Microsoft Edge-et, és nyissa meg a https://www.google.com webhelyet. Megjelenik a Google kezdőlapja.

  3. Navigáljon a(z) http://www.microsoft.com-hoz.

    A tűzfal blokkolja Önt.

Most ellenőrizte, hogy a tűzfalszabályok működnek-e:

  • Távoli asztalt csatlakoztathat a Srv-Work virtuális géphez.
  • Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.
  • A DNS-neveket a konfigurált külső DNS-kiszolgálóval oldhatja fel.

Erőforrások tisztítása

A tűzfal erőforrásait továbbra is használhatja a további teszteléshez. Ha már nincs rájuk szüksége, törölje a Test-FW-RG erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.

Következő lépések

Az Azure Firewall Premium üzembe helyezése és konfigurálása

  • Last updated on