Az Azure Firewall üzembe helyezése és konfigurálása az Azure Portalon

  • Cikk

A kimenő hálózati hozzáférés ellenőrzése az általános hálózati biztonsági terv fontos részét képezi. Előfordulhat például, hogy korlátozni szeretné a webhelyekhez való hozzáférést. Vagy korlátozhatja a kimenő IP-címeket és portokat, amelyek elérhetők.

Az Azure-alhálózatok kimenő hálózati hozzáférése többek között az Azure Firewall használatával vezérelhető. Az Azure Firewall segítségével a következőket konfigurálhatja:

  • Alkalmazásszabályokat, amelyek egy alhálózatról elérhető teljes tartományneveket (FQDN) határoznak meg.
  • Hálózatszabályokat, amelyek forráscímet, protokollt, valamint célportot és célcímet határoznak meg.

A hálózati forgalmat a konfigurált tűzfalszabályok irányítják, ha alapértelmezett alhálózati átjáróként irányítja a tűzfalhoz a forgalmat.

Ebben a cikkben egy egyszerűsített, két alhálózattal rendelkező virtuális hálózatot hoz létre az egyszerű üzembe helyezés érdekében.

Éles környezetekben a küllős és a küllős modell használata javasolt, ahol a tűzfal a saját virtuális hálózatában található. A számítási feladatok kiszolgálói ugyanabban a régióban egy vagy több alhálózattal rendelkező társhálózatok virtuális hálózataiban találhatók.

  • AzureFirewallSubnet – ezen az alhálózaton található a tűzfal.
  • Workload-SN – ezen az alhálózaton található a számítási feladat kiszolgálója. Ennek az alhálózatnak a hálózati forgalma a tűzfalon halad át.

Hálózati infrastruktúra

Ebben a cikkben az alábbiakkal ismerkedhet meg:

  • Tesztelési hálózati környezet beállítása
  • Tűzfal üzembe helyezése
  • Alapértelmezett útvonal létrehozása
  • Alkalmazásszabály konfigurálása a www.google.com való hozzáférés engedélyezéséhez
  • Hálózatszabály konfigurálása külső DNS-kiszolgálókhoz való hozzáférés engedélyezéséhez
  • NAT-szabály konfigurálása távoli asztal tesztelési kiszolgálóhoz való engedélyezéséhez
  • A tűzfal tesztelése

Feljegyzés

Ez a cikk klasszikus tűzfalszabályokat használ a tűzfal kezeléséhez. Az előnyben részesített módszer a tűzfalszabályzat használata. Az eljárás tűzfalszabályzat használatával történő végrehajtásához tekintse meg az Oktatóanyagot: Az Azure Firewall és a szabályzat üzembe helyezése és konfigurálása az Azure Portal használatával

Tetszés szerint az Azure PowerShell használatával végezheti el ezt az eljárást.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

A hálózat beállítása

Először is hozzon létre egy erőforráscsoportot, amely a tűzfal üzembe helyezéséhez szükséges erőforrásokat tartalmazza. Ezután hozzon létre egy virtuális hálózatot, alhálózatokat és egy tesztkiszolgálót.

Erőforráscsoport létrehozása

Az erőforráscsoport az eljárásban használt összes erőforrást tartalmazza.

  1. Jelentkezzen be az Azure Portalra.
  2. Az Azure Portal menüjében válassza az Erőforráscsoportok lehetőséget, vagy keressen rá és válassza ki az erőforráscsoportokat bármelyik lapról. Válassza a Létrehozás parancsot.
  3. Az Előfizetés mezőben válassza ki az előfizetését.
  4. Az Erőforráscsoport neve mezőbe írja be a következőt: Test-FW-RG.
  5. Régió esetén válasszon ki egy régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
  6. Válassza az Áttekintés + létrehozás lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

Virtuális hálózat létrehozása

Ennek a virtuális hálózatnak két alhálózata van.

Feljegyzés

Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért tekintse meg az Azure Firewall gyakori kérdéseit.

  1. Az Azure Portal menüjében vagy a kezdőlapon keressen virtuális hálózatokat.
  2. Válassza ki a virtuális hálózatokat az eredménypanelen.
  3. Válassza a Létrehozás lehetőséget.
  4. Az Előfizetés mezőben válassza ki az előfizetését.
  5. Erőforráscsoport esetén válassza a Test-FW-RG lehetőséget.
  6. A virtuális hálózat neveként írja be a Test-FW-VN nevet.
  7. Régió esetén válassza ki ugyanazt a régiót, amelyet korábban használt.
  8. Válassza a Tovább lehetőséget.
  9. A Biztonság lapon válassza az Azure Firewall engedélyezése lehetőséget.
  10. Az Azure Firewall neveként írja be a Test-FW01 nevet.
  11. Az Azure Firewall nyilvános IP-címe esetén válassza a Nyilvános IP-cím létrehozása lehetőséget.
  12. A Név mezőbe írja be az fw-pip kifejezést, és válassza az OK gombot.
  13. Válassza a Tovább lehetőséget.
  14. A címtér esetében fogadja el az alapértelmezett 10.0.0.0/16 értéket.
  15. Az Alhálózat területen válassza az alapértelmezett beállítást, és módosítsa a nevet Számítási feladat SN-ére.
  16. Kezdőcímként módosítsa a 10.0.2.0/24 értékre.
  17. Válassza a Mentés lehetőséget.
  18. Válassza az Áttekintés + létrehozás lehetőséget.
  19. Válassza a Létrehozás lehetőséget.

Virtuális gép létrehozása

Most hozza létre a számítási feladat virtuális gépét, és helyezze el a Workload-SN alhálózatban.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Válassza a Windows Server 2019 Datacenter lehetőséget.

  3. Adja meg a következő értékeket a virtuális gép számára:

    Beállítás Érték
    Erőforráscsoport Test-FW-RG
    Virtuális gép neve Srv-Work
    Régió Ugyanaz, mint az előző
    Kép Windows Server 2019 Datacenter
    Rendszergazda istrator felhasználónév Írja be a felhasználónevet
    Jelszó Jelszó beírása

  4. A Bejövő portszabályok területen a Nyilvános bejövő portok területen válassza a Nincs lehetőséget.

  5. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Lemezek lehetőséget.

  6. Fogadja el a lemez alapértelmezett értékét, és válassza a Tovább: Hálózatkezelés lehetőséget.

  7. Győződjön meg arról, hogy a Test-FW-VN ki van jelölve a virtuális hálózathoz, az alhálózat pedig a Workload-SN.

  8. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.

  9. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

  10. Fogadja el az alapértelmezett beállításokat, és válassza a Tovább: Figyelés lehetőséget.

  11. A rendszerindítási diagnosztika esetében válassza a Letiltás lehetőséget a rendszerindítási diagnosztika letiltásához. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.

  12. Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

  13. Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget, és jegyezze fel a Srv-Work privát IP-címét, amelyet később használnia kell.

Feljegyzés

Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.

Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:

  • A virtuális géphez nyilvános IP-cím van hozzárendelve.
  • A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
  • Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.

A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.

Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.

A tűzfal vizsgálata

  1. Lépjen az erőforráscsoportra, és válassza ki a tűzfalat.
  2. Figyelje meg a tűzfal privát és nyilvános IP-címét. Ezeket a címeket később fogja használni.

Alapértelmezett útvonal létrehozása

Amikor a tűzfalon keresztül hoz létre egy útvonalat a kimenő és bejövő kapcsolatokhoz, elegendő egy alapértelmezett útvonal a 0.0.0.0/0-ra a virtuális berendezés privát IP-címével a következő ugrásként. Ez a tűzfalon keresztül irányítja a kimenő és bejövő kapcsolatokat. Ha például a tűzfal tcp-kézfogást hajt végre, és egy bejövő kérésre válaszol, a rendszer a választ a forgalmat küldő IP-címre irányítja. Ez az elvárt működés.

Ennek eredményeképpen nincs szükség egy másik felhasználó által definiált útvonal létrehozására az AzureFirewallSubnet IP-tartományának belefoglalásához. Ez megszakadt kapcsolatokat eredményezhet. Az eredeti alapértelmezett útvonal elegendő.

A Workload-SN alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

  1. Az Azure Portalon keressen útvonaltáblákat.
  2. Válassza az Útvonaltáblák lehetőséget az eredmények panelen.
  3. Válassza a Létrehozás lehetőséget.
  4. Az Előfizetés mezőben válassza ki az előfizetését.
  5. Erőforráscsoport esetén válassza a Test-FW-RG lehetőséget.
  6. Régió esetén válassza ki ugyanazt a helyet, amelyet korábban használt.
  7. A Név mezőbe írja be a következőt: Firewall-route.
  8. Válassza az Áttekintés + létrehozás lehetőséget.
  9. Válassza a Létrehozás lehetőséget.

Az üzembe helyezés befejezése után válassza az Ugrás az erőforrásra lehetőséget.

  1. A Tűzfalútvonal lapon válassza az Alhálózatok lehetőséget, majd a Társítás lehetőséget.

  2. Virtuális hálózat esetén válassza a Test-FW-VN lehetőséget.

  3. Alhálózat esetén válassza a Workload-SN lehetőséget. Győződjön meg arról, hogy ehhez az útvonalhoz csak a Workload-SN alhálózatot választja ki, ellenkező esetben a tűzfal nem fog megfelelően működni.

  4. Kattintson az OK gombra.

  5. Válassza az Útvonalak lehetőséget, majd a Hozzáadás lehetőséget.

  6. Az Útvonalnév mezőbe írja be az fw-dg nevet.

  7. Céltípus esetén válassza az IP-címeket.

  8. Cél IP-címek/CIDR-tartományok esetén írja be a 0.0.0.0/0 típust.

  9. A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.

    Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.

  10. A Következő ugrás címe mezőbe írja be a tűzfal magánhálózati IP-címét, amelyet korábban feljegyzett.

  11. Válassza a Hozzáadás lehetőséget.

Alkalmazásszabály konfigurálása

Ez az az alkalmazásszabály, amely lehetővé teszi a kimenő hozzáférést.www.google.com

  1. Nyissa meg a Test-FW-RG-t, és válassza a Test-FW01 tűzfalat.
  2. A Test-FW01 lap Gépház területén válassza a Szabályok (klasszikus) lehetőséget.
  3. Válassza az Alkalmazásszabály-gyűjtemény lapot.
  4. Válassza az Alkalmazásszabály-gyűjtemény hozzáadása lehetőséget.
  5. A Név mezőbe írja be a következőt: App-Coll01.
  6. A Prioritás mezőbe írja be a következőt: 200.
  7. A Művelet beállításnál válassza az Engedélyezés lehetőséget.
  8. A Szabályok területen a Cél teljes tartománynevek mezőbe írja be az Allow-Google nevet.
  9. Forrástípus esetén válassza az IP-címet.
  10. Forrás esetén írja be a 10.0.2.0/24-es típust.
  11. A Protokoll:port mezőbe írja be a következőt: http, https.
  12. A cél teljes tartománynevéhez írja be a www.google.com
  13. Válassza a Hozzáadás lehetőséget.

Az Azure Firewall tartalmaz egy beépített szabálygyűjteményt az infrastruktúra alapértelmezés szerint engedélyezett teljes tartományneveiről. Ezek a teljes tartománynevek csak az adott platformra vonatkoznak, egyéb célra nem használhatók. További információ: Infrastruktúra FQDN-jei.

Hálózatszabály konfigurálása

Ez az a hálózatszabály, amely lehetővé teszi a kimenő hozzáférést két IP-címhez az 53-as porton (DNS).

  1. Válassza a Hálózati szabály gyűjtemény lapját.

  2. Válassza a Hálózati szabálygyűjtemény hozzáadása lehetőséget.

  3. A Név mezőbe írja be a következőt: Net-Coll01.

  4. A Prioritás mezőbe írja be a következőt: 200.

  5. A Művelet beállításnál válassza az Engedélyezés lehetőséget.

  6. A Szabályok területen az IP-címek mezőbe írja be az Allow-DNS nevet.

  7. A Protokoll beállításnál válassza az UDP lehetőséget.

  8. Forrástípus esetén válassza az IP-címet.

  9. Forrás esetén írja be a 10.0.2.0/24-es típust.

  10. Céltípus esetén válassza ki az IP-címet.

  11. Célcímként írja be a 209.244.0.3,209.244.0.4

    Ezek a Level3 által üzemeltetett nyilvános DNS-kiszolgálók.

  12. A Célportok mezőbe írja be a következőt: 53.

  13. Válassza a Hozzáadás lehetőséget.

DNAT-szabály konfigurálása

Ez a szabály lehetővé teszi távoli asztal csatlakoztatását az Srv-Work virtuális géphez a tűzfalon keresztül.

  1. Válassza a NAT-szabálygyűjtemény lapot.
  2. Válassza a NAT-szabálygyűjtemény hozzáadása lehetőséget.
  3. A Név mezőbe írja be az rdp parancsot.
  4. A Prioritás mezőbe írja be a következőt: 200.
  5. A Szabályok területen írja be az rdp-nat nevet a Név mezőbe.
  6. A Protokoll beállításnál válassza a TCP lehetőséget.
  7. Forrástípus esetén válassza az IP-címet.
  8. A Forrás mezőbe írja be a következőt*:
  9. Célcímként írja be a tűzfal nyilvános IP-címét.
  10. Célportok esetén írja be a 3389-es típust.
  11. A Lefordított cím mezőbe írja be a Srv-work privát IP-címét.
  12. A Lefordított port mezőben adja meg a 3389 értéket.
  13. Válassza a Hozzáadás lehetőséget.

Módosítsa az Srv-Work hálózati adapter elsődleges és másodlagos DNS-címét.

Tesztelési célokra konfigurálja a kiszolgáló elsődleges és másodlagos DNS-címét. Ez nem általános Azure Firewall-követelmény.

  1. Az Azure Portal menüjében válassza az Erőforráscsoportok lehetőséget, vagy keressen rá és válassza ki az erőforráscsoportokat bármelyik lapról. Válassza ki a Test-FW-RG erőforráscsoportot.
  2. Válassza ki a Srv-Work virtuális gép hálózati adapterét.
  3. A Gépház területen válassza ki a DNS-kiszolgálókat.
  4. A DNS-kiszolgálók területen válassza az Egyéni lehetőséget.
  5. Írja be a 209.244.0.3-at , és nyomja le az Enter billentyűt a DNS-kiszolgáló hozzáadása szövegmezőben, a következő szövegmezőben pedig a 209.244.0.4 billentyűt.
  6. Válassza a Mentés lehetőséget.
  7. Indítsa újra az Srv-Work virtuális gépet.

A tűzfal tesztelése

Most tesztelje a tűzfalat, hogy ellenőrizze, hogy a várt módon működik-e.

  1. Csatlakozás egy távoli asztalt a tűzfal nyilvános IP-címére, és jelentkezzen be az Srv-Work virtuális gépre.

  2. Nyissa meg az Internet Explorert, és navigáljon a következő címre: https://www.google.com.

  3. Válassza az OK>bezárás lehetőséget az Internet Explorer biztonsági riasztásai között.

    Ekkor megjelenik a Google kezdőlapja.

  4. Nyissa meg a következő címet: https://www.microsoft.com.

    A tűzfalnak blokkolnia kell.

Így ellenőrizte, hogy a tűzfalszabályok működnek-e:

  • RDP használatával csatlakozhat a virtuális géphez.
  • Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.
  • Fel tudja oldani a DNS-neveket a konfigurált külső DNS-kiszolgálóval.

Az erőforrások eltávolítása

A tűzfal erőforrásait továbbra is tesztelheti, vagy ha már nincs rá szükség, törölje a Test-FW-RG erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.

Következő lépések