Az Azure Firewall Premium üzembe helyezése és konfigurálása

  • Cikk

Az Azure Firewall Premium egy következő generációs tűzfal, amely olyan képességekkel rendelkezik, amelyek rendkívül érzékeny és szabályozott környezetekhez szükségesek. A következő funkciókat tartalmazza:

  • TLS-vizsgálat – visszafejti a kimenő forgalmat, feldolgozza az adatokat, majd titkosítja az adatokat, és elküldi azokat a célhelyre.
  • IDPS – A hálózati behatolásészlelési és -megelőzési rendszer (IDPS) lehetővé teszi a hálózati tevékenységek rosszindulatú tevékenységek monitorozását, a tevékenység naplóadatainak naplózását, a jelentéskészítést és a letiltás lehetőségének megkísérlását.
  • URL-szűrés – kibővíti az Azure Firewall teljes tartománynév-szűrési képességét, hogy egy teljes URL-címet figyelembe vegyünk. Például ahelyett, www.contoso.com/a/c hogy www.contoso.com.
  • Webkategóriák – a rendszergazdák engedélyezhetik vagy letilthatják a felhasználók hozzáférését a webhelykategóriákhoz, például a szerencsejáték-webhelyekhez, a közösségimédia-webhelyekhez és más webhelyekhez.

További információkért tekintse meg az Azure Firewall Premium funkcióit.

Sablonnal üzembe helyezhet egy központi virtuális hálózattal (10.0.0.0/16) rendelkező tesztkörnyezetet három alhálózattal:

  • feldolgozói alhálózat (10.0.10.0/24)
  • Egy Azure Bastion-alhálózat (10.0.20.0/24)
  • tűzfalalhálózat (10.0.100.0/24)

Fontos

Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.

Ebben a tesztkörnyezetben egyetlen központi virtuális hálózat van használatban az egyszerűség kedvéért. Éles környezetben gyakoribb a küllős topológia a társhálózatokkal.

Central VNet topology

A feldolgozó virtuális gép egy ügyfél, amely HTTP/S-kéréseket küld a tűzfalon keresztül.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Az infrastruktúra üzembe helyezése

A sablon egy teljes tesztelési környezetet helyez üzembe az Azure Firewall Premiumhoz idPS, TLS-ellenőrzés, URL-szűrés és webkategóriák használatával:

  • egy új Prémium szintű Azure Firewall- és tűzfalszabályzat, amely előre meghatározott beállításokkal teszi lehetővé alapvető képességeinek egyszerű ellenőrzését (IDPS, TLS-vizsgálat, URL-szűrés és webkategóriák)
  • üzembe helyezi az összes függőséget, beleértve a Key Vaultot és a felügyelt identitást. Éles környezetben előfordulhat, hogy ezek az erőforrások már létrejönnek, és nem szükségesek ugyanabban a sablonban.
  • létrehoz egy önaláírt legfelső szintű hitelesítésszolgáltatót, és üzembe helyezi azt a létrehozott Key Vaultban
  • származtatott köztes hitelesítésszolgáltatót hoz létre, és üzembe helyezi egy Windows rendszerű teszt virtuális gépen (WorkerVM)
  • a Bastion Host (BastionHost) is üzembe van helyezve, és a Windows tesztgéphez (WorkerVM) való csatlakozáshoz használható.

Button to deploy the Resource Manager template to Azure.

A tűzfal tesztelése

Mostantól tesztelheti az IDPS, a TLS-ellenőrzés, a webes szűrés és a webes kategóriákat.

Tűzfaldiagnosztikai beállítások hozzáadása

A tűzfalnaplók gyűjtéséhez diagnosztikai beállításokat kell hozzáadnia a tűzfalnaplók gyűjtéséhez.

  1. Válassza a DemoFirewallt, majd a Figyelés területen válassza a Diagnosztikai beállítások lehetőséget.
  2. Válassza a Diagnosztikai beállítások megadása lehetőséget.
  3. A diagnosztikai beállítás neveként írja be az fw-diag nevet.
  4. A naplóban válassza az AzureFirewallApplicationRule és az AzureFirewallNetworkRule lehetőséget.
  5. A Céladatok csoportban válassza a Küldés a Log Analytics-munkaterületre lehetőséget.
  6. Válassza a Mentés lehetőséget.

IDPS-tesztek

Az IDPS teszteléséhez saját belső teszt webkiszolgálót kell üzembe helyeznie egy megfelelő kiszolgálótanúsítvánnyal. Ez a teszt magában foglalja a rosszindulatú forgalom webkiszolgálóra való küldését, ezért nem ajánlott ezt nyilvános webkiszolgálóra küldeni. Az Azure Firewall Premium tanúsítványkövetelményeiről további információt az Azure Firewall Premium tanúsítványai című témakörben talál.

Különböző HTTP-fejlécek vezérlésére és rosszindulatú forgalom szimulálására használható curl .

A HTTP-forgalom IDPS-ének tesztelése:

  1. A WorkerVM virtuális gépen nyisson meg egy rendszergazdai parancssori ablakot.

  2. Írja be a következő parancsot a parancssorba:

    curl -A "HaxerMen" <your web server address>

  3. Ekkor megjelenik a webkiszolgáló válasza.

  4. Nyissa meg az Azure Portal tűzfalhálózati szabálynaplóit az alábbi üzenethez hasonló riasztás megkereséséhez:

    { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS: 
USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Tojan was 
detected”}

    Feljegyzés

    Eltarthat egy ideig, mire az adatok megjelennek a naplókban. Adjon neki legalább néhány percet, hogy a naplók elkezdjék az adatok megjelenítését.

  5. Aláírási szabály hozzáadása aláírási 2032081:

    1. Válassza a DemoFirewallPolicy lehetőséget, majd Gépház válassza az IDPS lehetőséget.
    2. Válassza az Aláírási szabályok lapot.
    3. Az Aláírás azonosítója területen a megnyitott szövegmezőbe írja be a 2032081.
    4. A Mód alatt válassza a Megtagadás lehetőséget.
    5. Válassza a Mentés lehetőséget.
    6. Várjon, amíg az üzembe helyezés befejeződik, mielőtt továbblép.

  6. A WorkerVM-en futtassa újra a curl parancsot:

    curl -A "HaxerMen" <your web server address>

    Mivel a HTTP-kérést a tűzfal letiltotta, a kapcsolat időtúllépése után a következő kimenet jelenik meg:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Nyissa meg a Monitornaplókat az Azure Portalon, és keresse meg a letiltott kérés üzenetét.

A HTTPS-forgalom IDPS-ének tesztelése

Ismételje meg ezeket a curl-teszteket HTTP helyett HTTPS használatával. Példa:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

Ugyanazokat az eredményeket kell látnia, mint a HTTP-tesztekkel.

TLS-vizsgálat URL-szűréssel

Az alábbi lépésekkel tesztelheti a TLS-ellenőrzést URL-szűréssel.

  1. Szerkessze a tűzfalszabályzat alkalmazásszabályzatát, és adjon hozzá egy új szabályt, amelyet meghívnak AllowURL a AllowWeb szabálygyűjteménybe. Konfigurálja a cél URL-címétwww.nytimes.com/section/world, a forrás IP-címét*, a céltípus URL-címét, válassza a TLS-vizsgálat lehetőséget, és a http, https protokollokat.

  2. Amikor az üzembe helyezés befejeződött, nyisson meg egy böngészőt a WorkerVM-en, és ellenőrizze https://www.nytimes.com/section/world , hogy a HTML-válasz a várt módon jelenik-e meg a böngészőben.

  3. Az Azure Portalon az alkalmazásszabály figyelési naplóiban megtekintheti a teljes URL-címet:

    Alert message showing the URL

Egyes HTML-lapok hiányosnak tűnhetnek, mert más elutasított URL-címekre hivatkoznak. A probléma megoldásához a következő megközelítést kell alkalmazni:

  • Ha a HTML-lap más tartományokra mutató hivatkozásokat tartalmaz, felveheti ezeket a tartományokat egy új alkalmazásszabályba, amely lehetővé teszi ezeknek a teljes tartományneveknek a elérését.

  • Ha a HTML-oldal al URL-címekre mutató hivatkozásokat tartalmaz, módosíthatja a szabályt, és csillagot adhat hozzá az URL-címhez. Például: targetURLs=www.nytimes.com/section/world*

    Másik lehetőségként hozzáadhat egy új URL-címet a szabályhoz. Példa:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Webkategóriák tesztelése

Hozzunk létre egy alkalmazásszabályt, amely lehetővé teszi a sportwebhelyek elérését.

  1. Nyissa meg az erőforráscsoportot a portálon, és válassza a DemoFirewallPolicy lehetőséget.

  2. Válassza az Alkalmazásszabályok lehetőséget, majd adjon hozzá egy szabálygyűjteményt.

  3. A Név mezőbe írja be a GeneralWeb, Priority103, Rule collection group select DefaultApplicationRuleCollectionGroup parancsot.

  4. Az AllowSports névtípus szabályai, forrás*, protokollhttp, https, tLS-vizsgálat, céltípus kiválasztása webkategóriák, célhely kiválasztása Sportok lehetőséget.

  5. Válassza a Hozzáadás lehetőséget.

    Sports web category

  6. Amikor az üzembe helyezés befejeződött, nyissa meg a WorkerVM-et, nyisson meg egy webböngészőt, és keresse meg a következőthttps://www.nfl.com: .

    Meg kell jelennie az NFL-weblapnak, és az alkalmazásszabály-naplóban látható, hogy a webkategória: Sportszabály megfelelt, és a kérés engedélyezve lett.

Következő lépések