Azure Firewall Alapszintű és szabályzat üzembe helyezése és konfigurálása a Azure Portal használatával

  • Cikk

Azure Firewall Basic megfizethető áron biztosítja az SMB-ügyfelek számára szükséges alapvető védelmet. Ez a megoldás 250 Mb/s-nál kisebb átviteli sebességű SMB-ügyfélkörnyezetekhez ajánlott. Javasoljuk, hogy telepítse a standard termékváltozatot a 250 Mbps-nál nagyobb átviteli sebességű környezetekhez, valamint a prémium termékváltozatot a fokozott veszélyforrások elleni védelem érdekében.

A hálózati és alkalmazásforgalom szűrése fontos része egy átfogó hálózati biztonsági tervnek. Előfordulhat például, hogy korlátozni szeretné a webhelyekhez való hozzáférést. Vagy korlátozhatja az elérhető kimenő IP-címeket és portokat.

Az Azure-alhálózatok bejövő és kimenő hálózati hozzáférését is szabályozhatja a Azure Firewall és a tűzfalszabályzat használatával. A Azure Firewall és a tűzfalszabályzat segítségével a következő beállításokat konfigurálhatja:

  • Alkalmazásszabályokat, amelyek egy alhálózatról elérhető teljes tartományneveket (FQDN) határoznak meg.
  • Hálózatszabályokat, amelyek forráscímet, protokollt, valamint célportot és célcímet határoznak meg.
  • DNST-szabályok az alhálózatokra irányuló bejövő internetes forgalom lefordításához és szűréséhez.

A hálózati forgalmat a konfigurált tűzfalszabályok irányítják, ha alapértelmezett alhálózati átjáróként irányítja a tűzfalhoz a forgalmat.

Ehhez az útmutatóhoz egy egyszerűsített, három alhálózattal rendelkező virtuális hálózatot hozhat létre az egyszerű üzembe helyezés érdekében. Az alapszintű tűzfalnak kötelezően konfigurálnia kell egy felügyeleti hálózati adaptert.

  • AzureFirewallSubnet – ezen az alhálózaton található a tűzfal.
  • AzureFirewallManagementSubnet – szolgáltatásfelügyeleti forgalomhoz.
  • Workload-SN – ezen az alhálózaton található a számítási feladat kiszolgálója. Ennek az alhálózatnak a hálózati forgalma a tűzfalon halad át.

Megjegyzés

Mivel a Azure Firewall Basic korlátozott forgalommal rendelkezik a Azure Firewall Standard vagy Prémium termékváltozathoz képest, az AzureFirewallManagementSubnetnek el kell különítenie az ügyfélforgalmat a Microsoft felügyeleti forgalmától, hogy ne okozhasson fennakadásokat. Erre a felügyeleti forgalomra a frissítések és az állapotmetrikák csak a Microsoft felé és onnan történő automatikus kommunikációja esetén van szükség. Ezen az IP-címen más kapcsolatok nem engedélyezettek.

Éles környezetekben a küllős és a küllős modell használata ajánlott, ahol a tűzfal a saját virtuális hálózatában található. A számítási feladatok kiszolgálói egy vagy több alhálózattal rendelkező, egy régióban lévő virtuális társhálózatokban találhatók.

Ebből az útmutatóból megtudhatja, hogyan:

  • Tesztelési hálózati környezet beállítása
  • Alapszintű tűzfal és alapszintű tűzfalszabályzat üzembe helyezése
  • Alapértelmezett útvonal létrehozása
  • Alkalmazásszabály konfigurálása a www.google.com való hozzáférés engedélyezéséhez
  • Hálózatszabály konfigurálása külső DNS-kiszolgálókhoz való hozzáférés engedélyezéséhez
  • NAT-szabály konfigurálása távoli asztal tesztelési kiszolgálóhoz való engedélyezéséhez
  • A tűzfal tesztelése

Ha szeretné, ezt az eljárást a Azure PowerShell használatával hajthatja végre.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Hozzon létre egy erőforráscsoportot

Az erőforráscsoport tartalmazza az útmutató összes erőforrását.

  1. Jelentkezzen be az Azure Portalra.
  2. A Azure Portal menüben válassza az Erőforráscsoportok lehetőséget, vagy keressen rá, és válassza az Erőforráscsoportok elemet bármelyik oldalról. Ezután kattintson a Létrehozás elemre.
  3. Az Előfizetés beállításnál válassza ki az előfizetését.
  4. Az Erőforráscsoport neve mezőben adja meg a Test-FW-RG nevet.
  5. A Régió mezőben válasszon ki egy régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
  6. Válassza a Felülvizsgálat és létrehozás lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

A tűzfal és a szabályzat üzembe helyezése

Telepítse a tűzfalat, és hozzon létre társított hálózati infrastruktúrát.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Írja be a tűzfal kifejezést a keresőmezőbe, és nyomja le az Enter billentyűt.

  3. Válassza a Tűzfal , majd a Létrehozás lehetőséget.

  4. A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:

    Beállítás Érték
    Előfizetés <az Ön előfizetése>
    Erőforráscsoport Test-FW-RG
    Name Test-FW01
    Region Válassza a korábban használt helyet
    Tűzfalszint Basic
    Tűzfalkezelés Tűzfalszabályzat használata a tűzfal kezeléséhez
    Tűzfalszabályzat Új hozzáadása:
    fw-test-pol
    A kiválasztott régió
    A szabályzatszintnek alapértelmezés szerint alapszintűnek kell lennie
    Válasszon egy virtuális hálózatot Új létrehozása
    Név: Test-FW-VN
    Címtér: 10.0.0.0/16
    Alhálózati címtér: 10.0.0.0/26
    Nyilvános IP-cím Új hozzáadása:
    Név: fw-pip
    Kezelés – Alhálózati címtér 10.0.1.0/26
    Nyilvános IP-cím kezelése Új hozzáadása
    fw-mgmt-pip

  5. Fogadja el a többi alapértelmezett értéket, majd válassza a Véleményezés + létrehozás lehetőséget.

  6. Tekintse át az összefoglalást, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.

    Az üzembe helyezés néhány percet vesz igénybe.

  7. Az üzembe helyezés befejezése után lépjen a Test-FW-RG erőforráscsoportra, és válassza a Test-FW01 tűzfalat.

  8. Jegyezze fel a tűzfal privát és nyilvános IP-címét (fw-pip). Ezeket a címeket később fogja használni.

Alhálózat létrehozása a számításifeladat-kiszolgálóhoz

Ezután hozzon létre egy alhálózatot a számítási feladat kiszolgálója számára.

  1. Nyissa meg a Test-FW-RG erőforráscsoportot, és válassza ki a Test-FW-VN virtuális hálózatot.
  2. Válassza az Alhálózatok lehetőséget.
  3. Válassza az Alhálózat lehetőséget.
  4. Az Alhálózat neve mezőbe írja be a Workload-SN nevet.
  5. Az Alhálózat címtartománya mezőbe írja be a 10.0.2.0/24 értéket.
  6. Kattintson a Mentés gombra.

Virtuális gép létrehozása

Most hozza létre a számítási feladat virtuális gépét, és helyezze el a Workload-SN alhálózatban.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Válassza a Windows Server 2019 Datacenter lehetőséget.

  3. Adja meg a következő értékeket a virtuális gép számára:

    Beállítás Érték
    Erőforráscsoport Test-FW-RG
    Virtuális gép neve Srv-Work
    Region Ugyanaz, mint az előző
    Kép Windows Server 2019 Datacenter
    Rendszergazdai felhasználónév Írjon be egy felhasználónevet
    Jelszó Jelszó beírása

  4. A Bejövő portszabályok területen a Nyilvános bejövő portok területen válassza a Nincs lehetőséget.

  5. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Lemezek lehetőséget.

  6. Fogadja el az alapértelmezett lemezeket, és válassza a Tovább: Hálózatkezelés lehetőséget.

  7. Győződjön meg arról, hogy a Test-FW-VN van kiválasztva a virtuális hálózathoz, az alhálózat pedig a Workload-SN.

  8. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.

  9. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

  10. Válassza a Tovább: Figyelés lehetőséget.

  11. Válassza a Letiltás lehetőséget a rendszerindítási diagnosztika letiltásához. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.

  12. Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

  13. Az üzembe helyezés befejezése után válassza ki az Srv-Work erőforrást, és jegyezze fel a privát IP-címet későbbi használatra.

Alapértelmezett útvonal létrehozása

A Workload-SN alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

  1. A Azure Portal menüben válassza a Minden szolgáltatás lehetőséget, vagy keressen rá, és válassza a Minden szolgáltatás lehetőséget bármelyik oldalról.
  2. A Hálózat területen válassza az Útvonaltáblák lehetőséget.
  3. Válassza a Létrehozás lehetőséget.
  4. Az Előfizetés beállításnál válassza ki az előfizetését.
  5. Az Erőforráscsoport területen válassza a Test-FW-RG lehetőséget.
  6. A Region (Régió) mezőben válassza ki ugyanazt a helyet, amelyet korábban használt.
  7. A Név mezőbe írja be a következőt: Firewall-route.
  8. Válassza a Felülvizsgálat és létrehozás lehetőséget.
  9. Válassza a Létrehozás lehetőséget.

Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget.

  1. A Tűzfalútvonal lapon válassza az Alhálózatok , majd a Társítás lehetőséget.

  2. Válassza aTest-FW-VNvirtuális hálózat> lehetőséget.

  3. Alhálózat esetén válassza a Workload-SN elemet. Győződjön meg arról, hogy ehhez az útvonalhoz csak a Workload-SN alhálózatot választja, különben a tűzfal nem fog megfelelően működni.

  4. Válassza az OK lehetőséget.

  5. Válassza az Útvonalak , majd a Hozzáadás lehetőséget.

  6. Az Útvonal neve mezőbe írja be az fw-dg nevet.

  7. A Címelőtag célhelye mezőben válassza az IP-címek lehetőséget.

  8. Cél IP-címek/CIDR-tartományok esetén írja be a 0.0.0.0/0 értéket.

  9. A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.

    Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.

  10. A Következő ugrás címe mezőbe írja be a tűzfal magánhálózati IP-címét, amelyet korábban feljegyzett.

  11. Válassza a Hozzáadás lehetőséget.

Alkalmazásszabály konfigurálása

Ez az az alkalmazásszabály, amely engedélyezi a kimenő hozzáférést a következőhöz www.google.com: .

  1. Nyissa meg a Test-FW-RG fájlt, és válassza ki az fw-test-pol tűzfalszabályzatot.
  2. Válassza az Alkalmazásszabályok lehetőséget.
  3. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  4. A Név mezőbe írja be a következőt: App-Coll01.
  5. A Prioritás mezőbe írja be a következőt: 200.
  6. A Szabálygyűjtemény műveletnél válassza az Engedélyezés lehetőséget.
  7. A Szabályok területen a Név mezőbe írja be az Allow-Google kifejezést.
  8. A Forrás típusa mezőben válassza az IP-cím lehetőséget.
  9. A Forrás mezőbe írja be a 10.0.2.0/24 értéket.
  10. A Protokoll:port mezőbe írja be a következőt: http, https.
  11. A Céltípus mezőben válassza az FQDN elemet.
  12. A Cél mezőbe írja be a következőt: www.google.com
  13. Válassza a Hozzáadás lehetőséget.

Az Azure Firewall tartalmaz egy beépített szabálygyűjteményt az infrastruktúra alapértelmezés szerint engedélyezett teljes tartományneveiről. Ezek a teljes tartománynevek csak az adott platformra vonatkoznak, egyéb célra nem használhatók. További információ: Infrastruktúra FQDN-jei.

Hálózatszabály konfigurálása

Ez az a hálózatszabály, amely lehetővé teszi a kimenő hozzáférést két IP-címhez az 53-as porton (DNS).

  1. Válassza a Hálózati szabályok lehetőséget.
  2. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  3. A Név mezőbe írja be a következőt: Net-Coll01.
  4. A Prioritás mezőbe írja be a következőt: 200.
  5. A Szabálygyűjtemény műveletnél válassza az Engedélyezés lehetőséget.
  6. A Szabálygyűjtemény csoportban válassza a DefaultNetworkRuleCollectionGroup lehetőséget.
  7. A Szabályok területen a Név mezőbe írja be az Allow-DNS kifejezést.
  8. A Forrás típusa mezőben válassza az IP-cím lehetőséget.
  9. A Forrás mezőbe írja be a 10.0.2.0/24 értéket.
  10. A Protokoll beállításnál válassza az UDP lehetőséget.
  11. A Célportok mezőbe írja be a következőt: 53.
  12. A Cél típusa mezőben válassza az IP-címet.
  13. A Cél mezőbe írja be a 209.244.0.3,209.244.0.4 értéket.
    Ezek a Level3 által üzemeltetett nyilvános DNS-kiszolgálók.
  14. Válassza a Hozzáadás lehetőséget.

DNAT-szabály konfigurálása

Ez a szabály lehetővé teszi egy távoli asztal csatlakoztatását a Srv-Work virtuális géphez a tűzfalon keresztül.

  1. Válassza ki a DNST-szabályokat.
  2. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  3. A Név mezőbe írja be az rdp nevet.
  4. A Prioritás mezőbe írja be a következőt: 200.
  5. A Szabálygyűjtemény csoportban válassza a DefaultDnatRuleCollectionGroup lehetőséget.
  6. A Szabályok területen a Név mezőbe írja be az rdp-nat nevet.
  7. A Forrás típusa mezőben válassza az IP-cím lehetőséget.
  8. A Forrás mezőbe írja be a következőt *: .
  9. A Protokoll beállításnál válassza a TCP lehetőséget.
  10. A Célportok mezőbe írja be a 3389-es értéket.
  11. A Céltípus mezőben válassza az IP-cím lehetőséget.
  12. A Cél mezőbe írja be a tűzfal nyilvános IP-címét (fw-pip).
  13. A Lefordított cím mezőbe írja be az Srv-work privát IP-címét.
  14. A Lefordított port mezőben adja meg a 3389 értéket.
  15. Válassza a Hozzáadás lehetőséget.

Módosítsa az Srv-Work hálózati adapter elsődleges és másodlagos DNS-címét.

Ebben az útmutatóban tesztelési célokra konfigurálja a kiszolgáló elsődleges és másodlagos DNS-címét. Ez nem általános Azure Firewall követelmény.

  1. A Azure Portal menüben válassza az Erőforráscsoportok lehetőséget, vagy keressen rá, és válassza az Erőforráscsoportok elemet bármelyik oldalról. Válassza a Test-FW-RG erőforráscsoportot.
  2. Válassza ki az Srv-Work virtuális gép hálózati adapterét.
  3. A Beállítások területen válassza a DNS-kiszolgálók lehetőséget.
  4. A DNS-kiszolgálók területen válassza az Egyéni lehetőséget.
  5. Írja be a 209.244.0.3 a címet a DNS-kiszolgáló hozzáadása szövegmezőbe, és 209.244.0.4 címet a következő szövegmezőbe.
  6. Kattintson a Mentés gombra.
  7. Indítsa újra az Srv-Work virtuális gépet.

A tűzfal tesztelése

Most tesztelje a tűzfalat, és ellenőrizze, hogy a várt módon működik-e.

  1. Csatlakoztassa a távoli asztalt a nyilvános IP-cím (fw-pip) tűzfalához, és jelentkezzen be az Srv-Work virtuális gépre.

  2. Nyissa meg az Internet Explorert, és navigáljon a következő címre: https://www.google.com.

  3. Válassza az OK>Bezárás lehetőséget az Internet Explorer biztonsági riasztásai között.

    Meg kell jelennie a Google kezdőlapjának.

  4. Nyissa meg a következő címet: http://www.microsoft.com.

    A tűzfal blokkolja a hozzáférést.

Most már ellenőrizte, hogy a tűzfalszabályok működnek-e:

  • Távoli asztalt csatlakoztathat a Srv-Work virtuális géphez.
  • Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.
  • Fel tudja oldani a DNS-neveket a konfigurált külső DNS-kiszolgálóval.

Az erőforrások eltávolítása

Megtarthatja a tűzfal erőforrásait a további teszteléshez, vagy ha már nincs rá szükség, törölje a Test-FW-RG erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.

Következő lépések

Prémium szintű Azure Firewall üzembe helyezése és konfigurálása