Azure Firewall Alapszintű és szabályzat üzembe helyezése és konfigurálása a Azure Portal használatával
Azure Firewall Basic megfizethető áron biztosítja az SMB-ügyfelek számára szükséges alapvető védelmet. Ez a megoldás 250 Mb/s-nál kisebb átviteli sebességű SMB-ügyfélkörnyezetekhez ajánlott. Javasoljuk, hogy telepítse a standard termékváltozatot a 250 Mbps-nál nagyobb átviteli sebességű környezetekhez, valamint a prémium termékváltozatot a fokozott veszélyforrások elleni védelem érdekében.
A hálózati és alkalmazásforgalom szűrése fontos része egy átfogó hálózati biztonsági tervnek. Előfordulhat például, hogy korlátozni szeretné a webhelyekhez való hozzáférést. Vagy korlátozhatja az elérhető kimenő IP-címeket és portokat.
Az Azure-alhálózatok bejövő és kimenő hálózati hozzáférését is szabályozhatja a Azure Firewall és a tűzfalszabályzat használatával. A Azure Firewall és a tűzfalszabályzat segítségével a következő beállításokat konfigurálhatja:
- Alkalmazásszabályokat, amelyek egy alhálózatról elérhető teljes tartományneveket (FQDN) határoznak meg.
- Hálózatszabályokat, amelyek forráscímet, protokollt, valamint célportot és célcímet határoznak meg.
- DNST-szabályok az alhálózatokra irányuló bejövő internetes forgalom lefordításához és szűréséhez.
A hálózati forgalmat a konfigurált tűzfalszabályok irányítják, ha alapértelmezett alhálózati átjáróként irányítja a tűzfalhoz a forgalmat.
Ehhez az útmutatóhoz egy egyszerűsített, három alhálózattal rendelkező virtuális hálózatot hozhat létre az egyszerű üzembe helyezés érdekében. Az alapszintű tűzfalnak kötelezően konfigurálnia kell egy felügyeleti hálózati adaptert.
- AzureFirewallSubnet – ezen az alhálózaton található a tűzfal.
- AzureFirewallManagementSubnet – szolgáltatásfelügyeleti forgalomhoz.
- Workload-SN – ezen az alhálózaton található a számítási feladat kiszolgálója. Ennek az alhálózatnak a hálózati forgalma a tűzfalon halad át.
Megjegyzés
Mivel a Azure Firewall Basic korlátozott forgalommal rendelkezik a Azure Firewall Standard vagy Prémium termékváltozathoz képest, az AzureFirewallManagementSubnetnek el kell különítenie az ügyfélforgalmat a Microsoft felügyeleti forgalmától, hogy ne okozhasson fennakadásokat. Erre a felügyeleti forgalomra a frissítések és az állapotmetrikák csak a Microsoft felé és onnan történő automatikus kommunikációja esetén van szükség. Ezen az IP-címen más kapcsolatok nem engedélyezettek.
Éles környezetekben a küllős és a küllős modell használata ajánlott, ahol a tűzfal a saját virtuális hálózatában található. A számítási feladatok kiszolgálói egy vagy több alhálózattal rendelkező, egy régióban lévő virtuális társhálózatokban találhatók.
Ebből az útmutatóból megtudhatja, hogyan:
- Tesztelési hálózati környezet beállítása
- Alapszintű tűzfal és alapszintű tűzfalszabályzat üzembe helyezése
- Alapértelmezett útvonal létrehozása
- Alkalmazásszabály konfigurálása a www.google.com való hozzáférés engedélyezéséhez
- Hálózatszabály konfigurálása külső DNS-kiszolgálókhoz való hozzáférés engedélyezéséhez
- NAT-szabály konfigurálása távoli asztal tesztelési kiszolgálóhoz való engedélyezéséhez
- A tűzfal tesztelése
Ha szeretné, ezt az eljárást a Azure PowerShell használatával hajthatja végre.
Előfeltételek
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Hozzon létre egy erőforráscsoportot
Az erőforráscsoport tartalmazza az útmutató összes erőforrását.
- Jelentkezzen be az Azure Portalra.
- A Azure Portal menüben válassza az Erőforráscsoportok lehetőséget, vagy keressen rá, és válassza az Erőforráscsoportok elemet bármelyik oldalról. Ezután kattintson a Létrehozás elemre.
- Az Előfizetés beállításnál válassza ki az előfizetését.
- Az Erőforráscsoport neve mezőben adja meg a Test-FW-RG nevet.
- A Régió mezőben válasszon ki egy régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
- Válassza a Felülvizsgálat és létrehozás lehetőséget.
- Válassza a Létrehozás lehetőséget.
A tűzfal és a szabályzat üzembe helyezése
Telepítse a tűzfalat, és hozzon létre társított hálózati infrastruktúrát.
Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.
Írja be a tűzfal kifejezést a keresőmezőbe, és nyomja le az Enter billentyűt.
Válassza a Tűzfal , majd a Létrehozás lehetőséget.
A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:
Beállítás Érték Előfizetés <az Ön előfizetése> Erőforráscsoport Test-FW-RG Name Test-FW01 Region Válassza a korábban használt helyet Tűzfalszint Basic Tűzfalkezelés Tűzfalszabályzat használata a tűzfal kezeléséhez Tűzfalszabályzat Új hozzáadása:
fw-test-pol
A kiválasztott régió
A szabályzatszintnek alapértelmezés szerint alapszintűnek kell lennieVálasszon egy virtuális hálózatot Új létrehozása
Név: Test-FW-VN
Címtér: 10.0.0.0/16
Alhálózati címtér: 10.0.0.0/26Nyilvános IP-cím Új hozzáadása:
Név: fw-pipKezelés – Alhálózati címtér 10.0.1.0/26 Nyilvános IP-cím kezelése Új hozzáadása
fw-mgmt-pipFogadja el a többi alapértelmezett értéket, majd válassza a Véleményezés + létrehozás lehetőséget.
Tekintse át az összefoglalást, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.
Az üzembe helyezés néhány percet vesz igénybe.
Az üzembe helyezés befejezése után lépjen a Test-FW-RG erőforráscsoportra, és válassza a Test-FW01 tűzfalat.
Jegyezze fel a tűzfal privát és nyilvános IP-címét (fw-pip). Ezeket a címeket később fogja használni.
Alhálózat létrehozása a számításifeladat-kiszolgálóhoz
Ezután hozzon létre egy alhálózatot a számítási feladat kiszolgálója számára.
- Nyissa meg a Test-FW-RG erőforráscsoportot, és válassza ki a Test-FW-VN virtuális hálózatot.
- Válassza az Alhálózatok lehetőséget.
- Válassza az Alhálózat lehetőséget.
- Az Alhálózat neve mezőbe írja be a Workload-SN nevet.
- Az Alhálózat címtartománya mezőbe írja be a 10.0.2.0/24 értéket.
- Kattintson a Mentés gombra.
Virtuális gép létrehozása
Most hozza létre a számítási feladat virtuális gépét, és helyezze el a Workload-SN alhálózatban.
Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.
Válassza a Windows Server 2019 Datacenter lehetőséget.
Adja meg a következő értékeket a virtuális gép számára:
Beállítás Érték Erőforráscsoport Test-FW-RG Virtuális gép neve Srv-Work Region Ugyanaz, mint az előző Kép Windows Server 2019 Datacenter Rendszergazdai felhasználónév Írjon be egy felhasználónevet Jelszó Jelszó beírása A Bejövő portszabályok területen a Nyilvános bejövő portok területen válassza a Nincs lehetőséget.
Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Lemezek lehetőséget.
Fogadja el az alapértelmezett lemezeket, és válassza a Tovább: Hálózatkezelés lehetőséget.
Győződjön meg arról, hogy a Test-FW-VN van kiválasztva a virtuális hálózathoz, az alhálózat pedig a Workload-SN.
Nyilvános IP-cím esetén válassza a Nincs lehetőséget.
Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.
Válassza a Tovább: Figyelés lehetőséget.
Válassza a Letiltás lehetőséget a rendszerindítási diagnosztika letiltásához. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.
Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.
Az üzembe helyezés befejezése után válassza ki az Srv-Work erőforrást, és jegyezze fel a privát IP-címet későbbi használatra.
Alapértelmezett útvonal létrehozása
A Workload-SN alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.
- A Azure Portal menüben válassza a Minden szolgáltatás lehetőséget, vagy keressen rá, és válassza a Minden szolgáltatás lehetőséget bármelyik oldalról.
- A Hálózat területen válassza az Útvonaltáblák lehetőséget.
- Válassza a Létrehozás lehetőséget.
- Az Előfizetés beállításnál válassza ki az előfizetését.
- Az Erőforráscsoport területen válassza a Test-FW-RG lehetőséget.
- A Region (Régió) mezőben válassza ki ugyanazt a helyet, amelyet korábban használt.
- A Név mezőbe írja be a következőt: Firewall-route.
- Válassza a Felülvizsgálat és létrehozás lehetőséget.
- Válassza a Létrehozás lehetőséget.
Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget.
A Tűzfalútvonal lapon válassza az Alhálózatok , majd a Társítás lehetőséget.
Válassza aTest-FW-VNvirtuális hálózat> lehetőséget.
Alhálózat esetén válassza a Workload-SN elemet. Győződjön meg arról, hogy ehhez az útvonalhoz csak a Workload-SN alhálózatot választja, különben a tűzfal nem fog megfelelően működni.
Válassza az OK lehetőséget.
Válassza az Útvonalak , majd a Hozzáadás lehetőséget.
Az Útvonal neve mezőbe írja be az fw-dg nevet.
A Címelőtag célhelye mezőben válassza az IP-címek lehetőséget.
Cél IP-címek/CIDR-tartományok esetén írja be a 0.0.0.0/0 értéket.
A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.
Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.
A Következő ugrás címe mezőbe írja be a tűzfal magánhálózati IP-címét, amelyet korábban feljegyzett.
Válassza a Hozzáadás lehetőséget.
Alkalmazásszabály konfigurálása
Ez az az alkalmazásszabály, amely engedélyezi a kimenő hozzáférést a következőhöz www.google.com
: .
- Nyissa meg a Test-FW-RG fájlt, és válassza ki az fw-test-pol tűzfalszabályzatot.
- Válassza az Alkalmazásszabályok lehetőséget.
- Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
- A Név mezőbe írja be a következőt: App-Coll01.
- A Prioritás mezőbe írja be a következőt: 200.
- A Szabálygyűjtemény műveletnél válassza az Engedélyezés lehetőséget.
- A Szabályok területen a Név mezőbe írja be az Allow-Google kifejezést.
- A Forrás típusa mezőben válassza az IP-cím lehetőséget.
- A Forrás mezőbe írja be a 10.0.2.0/24 értéket.
- A Protokoll:port mezőbe írja be a következőt: http, https.
- A Céltípus mezőben válassza az FQDN elemet.
- A Cél mezőbe írja be a következőt:
www.google.com
- Válassza a Hozzáadás lehetőséget.
Az Azure Firewall tartalmaz egy beépített szabálygyűjteményt az infrastruktúra alapértelmezés szerint engedélyezett teljes tartományneveiről. Ezek a teljes tartománynevek csak az adott platformra vonatkoznak, egyéb célra nem használhatók. További információ: Infrastruktúra FQDN-jei.
Hálózatszabály konfigurálása
Ez az a hálózatszabály, amely lehetővé teszi a kimenő hozzáférést két IP-címhez az 53-as porton (DNS).
- Válassza a Hálózati szabályok lehetőséget.
- Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
- A Név mezőbe írja be a következőt: Net-Coll01.
- A Prioritás mezőbe írja be a következőt: 200.
- A Szabálygyűjtemény műveletnél válassza az Engedélyezés lehetőséget.
- A Szabálygyűjtemény csoportban válassza a DefaultNetworkRuleCollectionGroup lehetőséget.
- A Szabályok területen a Név mezőbe írja be az Allow-DNS kifejezést.
- A Forrás típusa mezőben válassza az IP-cím lehetőséget.
- A Forrás mezőbe írja be a 10.0.2.0/24 értéket.
- A Protokoll beállításnál válassza az UDP lehetőséget.
- A Célportok mezőbe írja be a következőt: 53.
- A Cél típusa mezőben válassza az IP-címet.
- A Cél mezőbe írja be a 209.244.0.3,209.244.0.4 értéket.
Ezek a Level3 által üzemeltetett nyilvános DNS-kiszolgálók. - Válassza a Hozzáadás lehetőséget.
DNAT-szabály konfigurálása
Ez a szabály lehetővé teszi egy távoli asztal csatlakoztatását a Srv-Work virtuális géphez a tűzfalon keresztül.
- Válassza ki a DNST-szabályokat.
- Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
- A Név mezőbe írja be az rdp nevet.
- A Prioritás mezőbe írja be a következőt: 200.
- A Szabálygyűjtemény csoportban válassza a DefaultDnatRuleCollectionGroup lehetőséget.
- A Szabályok területen a Név mezőbe írja be az rdp-nat nevet.
- A Forrás típusa mezőben válassza az IP-cím lehetőséget.
- A Forrás mezőbe írja be a következőt *: .
- A Protokoll beállításnál válassza a TCP lehetőséget.
- A Célportok mezőbe írja be a 3389-es értéket.
- A Céltípus mezőben válassza az IP-cím lehetőséget.
- A Cél mezőbe írja be a tűzfal nyilvános IP-címét (fw-pip).
- A Lefordított cím mezőbe írja be az Srv-work privát IP-címét.
- A Lefordított port mezőben adja meg a 3389 értéket.
- Válassza a Hozzáadás lehetőséget.
Módosítsa az Srv-Work hálózati adapter elsődleges és másodlagos DNS-címét.
Ebben az útmutatóban tesztelési célokra konfigurálja a kiszolgáló elsődleges és másodlagos DNS-címét. Ez nem általános Azure Firewall követelmény.
- A Azure Portal menüben válassza az Erőforráscsoportok lehetőséget, vagy keressen rá, és válassza az Erőforráscsoportok elemet bármelyik oldalról. Válassza a Test-FW-RG erőforráscsoportot.
- Válassza ki az Srv-Work virtuális gép hálózati adapterét.
- A Beállítások területen válassza a DNS-kiszolgálók lehetőséget.
- A DNS-kiszolgálók területen válassza az Egyéni lehetőséget.
- Írja be a 209.244.0.3 a címet a DNS-kiszolgáló hozzáadása szövegmezőbe, és 209.244.0.4 címet a következő szövegmezőbe.
- Kattintson a Mentés gombra.
- Indítsa újra az Srv-Work virtuális gépet.
A tűzfal tesztelése
Most tesztelje a tűzfalat, és ellenőrizze, hogy a várt módon működik-e.
Csatlakoztassa a távoli asztalt a nyilvános IP-cím (fw-pip) tűzfalához, és jelentkezzen be az Srv-Work virtuális gépre.
Nyissa meg az Internet Explorert, és navigáljon a következő címre:
https://www.google.com
.Válassza az OK>Bezárás lehetőséget az Internet Explorer biztonsági riasztásai között.
Meg kell jelennie a Google kezdőlapjának.
Nyissa meg a következő címet:
http://www.microsoft.com
.A tűzfal blokkolja a hozzáférést.
Most már ellenőrizte, hogy a tűzfalszabályok működnek-e:
- Távoli asztalt csatlakoztathat a Srv-Work virtuális géphez.
- Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.
- Fel tudja oldani a DNS-neveket a konfigurált külső DNS-kiszolgálóval.
Az erőforrások eltávolítása
Megtarthatja a tűzfal erőforrásait a további teszteléshez, vagy ha már nincs rá szükség, törölje a Test-FW-RG erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.