Az Azure Firewall Premium üzembe helyezése és konfigurálása

Az Azure Firewall Premium egy következő generációs tűzfal, amely olyan képességekkel rendelkezik, amelyek rendkívül érzékeny és szabályozott környezetekhez szükségesek. A következő funkciókat tartalmazza:

  • TLS-vizsgálat – visszafejti a kimenő forgalmat, feldolgozza az adatokat, majd titkosítja az adatokat, és elküldi azokat a célhelyre.
  • IDPS – Hálózati behatolásészlelő és -megelőző rendszer (IDPS), amellyel figyelheti a hálózati tevékenységeket rosszindulatú tevékenységek esetén, naplózhatja a tevékenységgel kapcsolatos információkat, jelentést készíthet róla, és opcionálisan megkísérelheti letiltani.
  • URL-szűrés – kibővíti az Azure Firewall teljes tartománynév-szűrési képességét, hogy egy teljes URL-címet figyelembe vegyünk. Például www.contoso.com/a/c helyett www.contoso.com.
  • Webkategóriák – a rendszergazdák engedélyezhetik vagy letilthatják a felhasználók hozzáférését a webhelykategóriákhoz, például a szerencsejáték-webhelyekhez, a közösségimédia-webhelyekhez és más webhelyekhez.

További információkért tekintse meg az Azure Firewall Premium funkcióit.

Sablon használatával központi virtuális hálózattal (10.0.0.0/16) rendelkező tesztkörnyezetet helyezhet üzembe három alhálózattal:

  • Feldolgozói alhálózat (10.0.10.0/24)
  • Azure Bastion-alhálózat (10.0.20.0/24)
  • Tűzfalalhálózat (10.0.100.0/24)

Fontos

Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.

Ebben a tesztkörnyezetben egyetlen központi virtuális hálózatot használunk az egyszerűség kedvéért. Éles környezetben gyakoribb a küllős topológia a társviszonyban lévő virtuális hálózatokkal.

Az ábra bemutatja egy központi virtuális hálózatot munkavégző, Bastion és tűzfal alhálózatokkal rendelkező.

A feldolgozó virtuális gép egy ügyfél, amely HTTP/S-kéréseket küld a tűzfalon keresztül.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Az infrastruktúra üzembe helyezése

A sablon egy teljes tesztelési környezetet helyez üzembe a Prémium szintű Azure Firewallhoz idPS, TLS-ellenőrzés, URL-szűrés és webkategóriák használatával:

  • Új Azure Firewall Premium- és tűzfalszabályzat előre meghatározott beállításokkal, amelyek lehetővé teszik alapvető képességeinek (IDPS, TLS-vizsgálat, URL-szűrés és webkategóriák) egyszerű érvényesítését.
  • Minden függőség, beleértve a Key Vaultot és a felügyelt identitást. Éles környezetben előfordulhat, hogy már rendelkezik ezekkel az erőforrásokkal, és nincs szüksége rájuk ugyanabban a sablonban.
  • Egy önaláírt gyökeres hitelesítésszolgáltató, amely a létrehozott Key Vaultban lett generálva és üzembe helyezve.
  • Származtatott közbenső hitelesítésszolgáltató, amely egy tesztelési célú Windows virtuális gépen (WorkerVM) lett létrehozva és üzembe helyezve.
  • A Bastion Host (BastionHost) be van üzemelve, és arra használható, hogy csatlakozzon a Windows tesztgéphez (WorkerVM).

Gomb a Resource Manager-sablon Azure-ban való üzembe helyezéséhez.

A tűzfal tesztelése

Mostantól tesztelheti az IDPS, a TLS-ellenőrzés, a webes szűrés és a webes kategóriákat.

Tűzfaldiagnosztikai beállítások hozzáadása

Tűzfalnaplók gyűjtéséhez adjon hozzá diagnosztikai beállításokat.

  1. Válassza a DemoFirewall lehetőséget. A Figyelés (Monitoring) pont alatt válassza a Diagnosztikai beállítások elemet.
  2. Válassza a Diagnosztikai beállítások megadása lehetőséget.
  3. A diagnosztikai beállítás neveként adja meg az fw-diag értéket.
  4. A naplóban válassza az AzureFirewallApplicationRule és az AzureFirewallNetworkRule lehetőséget.
  5. A Céladatok csoportban válassza a Küldés a Log Analytics-munkaterületre lehetőséget.
  6. Válassza a Mentés lehetőséget.

IDPS-tesztek

Az IDPS teszteléséhez helyezze üzembe a saját belső teszt webkiszolgálóját egy megfelelő kiszolgálótanúsítvánnyal. Ez a teszt magában foglalja a rosszindulatú forgalom webkiszolgálóra való küldését, ezért ne végezze el ezt a tesztet nyilvános webkiszolgálón. Az Azure Firewall Premium tanúsítványkövetelményeiről további információt az Azure Firewall Premium tanúsítványai című témakörben talál.

Különböző HTTP-fejlécek vezérlésére és rosszindulatú forgalom szimulálására használható curl .

A HTTP-forgalom IDPS-ének tesztelése

  1. A WorkerVM virtuális gépen nyisson meg egy rendszergazdai parancssori ablakot.

  2. Írja be a következő parancsot a parancssorba:

    curl -A "HaxerMen" <your web server address>

  3. Megjelenik a webkiszolgáló válasza.

  4. Nyissa meg az Azure Portal tűzfalhálózati szabálynaplóit az alábbi üzenethez hasonló riasztás megkereséséhez:

    { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS:
USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Trojan was
detected”}

    Feljegyzés

    Eltarthat egy ideig, mire az adatok megjelennek a naplókban. Adjon neki legalább néhány percet, hogy a naplók elkezdjék az adatok megjelenítését.

  5. Aláírási szabály hozzáadása a 2032081-es aláíráshoz:

    1. Válassza a DemoFirewallPolicy lehetőséget, majd a Beállítások területen válassza az IDPS lehetőséget.
    2. Válassza az Aláírási szabályok lapot.
    3. Az Aláírás azonosítója mezőben a megnyitott szövegmezőbe írja be a 2032081-et.
    4. A Mód alatt válassza a Megtagadás lehetőséget.
    5. Válassza a Mentés lehetőséget.
    6. Várjon, amíg az üzembe helyezés befejeződik, mielőtt továbblép.

  6. A WorkerVM-en futtassa újra a curl parancsot:

    curl -A "HaxerMen" <your web server address>

    Mivel a HTTP-kérést a tűzfal letiltotta, a kapcsolat időtúllépése után a következő kimenet jelenik meg:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Nyissa meg a Monitornaplókat az Azure Portalon, és keresse meg a letiltott kérés üzenetét.

A HTTPS-forgalom IDPS-ének tesztelése

Ismételje meg ezeket a curl-teszteket HTTP helyett HTTPS használatával. Példa:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

Ugyanazokat az eredményeket látja, mint a HTTP-tesztekkel.

TLS-vizsgálat URL-szűréssel

Az alábbi lépésekkel tesztelheti a TLS-ellenőrzést URL-szűréssel.

  1. Szerkessze a tűzfalszabályzat-alkalmazás szabályait, és adjon hozzá egy új szabályt AllowURL a AllowWeb szabálygyűjteményhez. Konfigurálja a cél URL-címet www.nytimes.com/section/world, a forrás IP-címét *, a céltípus URL-címét, válassza a TLS-vizsgálat lehetőséget, és a http, https protokollokat.

  2. Amikor az üzembe helyezés befejeződött, nyisson meg egy böngészőt a WorkerVM-en, és nyissa meg a következőt https://www.nytimes.com/section/world: . Ellenőrizze, hogy a HTML-válasz a várt módon jelenik-e meg a böngészőben.

  3. Az Azure Portalon az alkalmazásszabály figyelési naplóiban megtekintheti a teljes URL-címet:

    Az URL-címet megjelenítő riasztási üzenet

Egyes HTML-lapok hiányosnak tűnhetnek, mert más elutasított URL-címekre hivatkoznak. A probléma megoldásához használja az alábbi módszereket:

  • Ha a HTML-oldal más tartományokra mutató hivatkozásokat tartalmaz, vegye fel ezeket a tartományokat egy új alkalmazásszabályba, amely hozzáférést biztosít ezekhez a teljes tartománynevekhez.

  • Ha a HTML-oldal al URL-címekre mutató hivatkozásokat tartalmaz, módosítsa a szabályt, és adjon hozzá csillagot az URL-címhez. Például: targetURLs=www.nytimes.com/section/world*

    Másik lehetőségként adjon hozzá egy új URL-címet a szabályhoz. Példa:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Webkategóriák tesztelése

Hozzon létre egy alkalmazásszabályt a sportweboldalakhoz való hozzáférés engedélyezéséhez.

  1. Nyissa meg az erőforráscsoportot a portálon, és válassza a DemoFirewallPolicy lehetőséget.

  2. Válassza az Alkalmazásszabályok lehetőséget, majd válassza a Szabálygyűjtemény hozzáadása lehetőséget.

  3. A Név mezőbe írja be a GeneralWeb nevet. Adja meg a 103-atprioritásként. A Szabálygyűjtemény csoportban válassza a DefaultApplicationRuleCollectionGroup lehetőséget.

  4. A Szabályok területen adja meg az AllowSports értéket a Name-hez. Adja meg * a forrást. Adja meg a http, https protokollokat a Protokoll mezőben. Válassza a TLS-vizsgálat lehetőséget. Céltípus esetén válassza a webes kategóriákat. Célként válassza a Sport lehetőséget.

  5. Válassza a Hozzáadás lehetőséget.

  6. Amikor az üzembe helyezés befejeződött, lépjen a WorkerVM-hez, nyisson meg egy webböngészőt, és keresse meg a következőt https://www.nfl.com: .

    Megtekinti az NFL weblapját, és az alkalmazásszabály-napló azt mutatja, hogy a Webkategória: Sport szabály illeszkedett, és a kérés engedélyezésre került.

Következő lépések

  • Last updated on