Megosztás a következőn keresztül:


Oktatóanyag: Az Azure Firewall és a szabályzat üzembe helyezése és konfigurálása az Azure Portal használatával

A kimenő hálózati hozzáférés ellenőrzése az általános hálózati biztonsági terv fontos részét képezi. Előfordulhat például, hogy korlátozni szeretné a webhelyekhez való hozzáférést. Vagy korlátozhatja a kimenő IP-címeket és portokat, amelyek elérhetők.

Az Azure-alhálózatok kimenő hálózati hozzáférésének szabályozására az Azure Firewall és a Tűzfalszabályzat használható. Az Azure Firewall és tűzfalszabályzat segítségével a következő beállításokat konfigurálhatja:

  • Alkalmazásszabályokat, amelyek egy alhálózatról elérhető teljes tartományneveket (FQDN) határoznak meg.
  • Hálózatszabályokat, amelyek forráscímet, protokollt, valamint célportot és célcímet határoznak meg.

A hálózati forgalmat a konfigurált tűzfalszabályok irányítják, ha alapértelmezett alhálózati átjáróként irányítja a tűzfalhoz a forgalmat.

Ebben az oktatóanyagban egy egyszerűsített virtuális hálózatot hoz létre két alhálózattal az egyszerű üzembe helyezés érdekében.

  • AzureFirewallSubnet – ezen az alhálózaton található a tűzfal.
  • Workload-SN – ezen az alhálózaton található a számítási feladat kiszolgálója. Ennek az alhálózatnak a hálózati forgalma a tűzfalon halad át.

A tűzfal hálózati infrastruktúrájának diagramja.

Éles üzemelő példányok esetén a központi és küllős modell használata ajánlott, ahol a tűzfal a saját virtuális hálózatában található. A számítási feladatok kiszolgálói ugyanabban a régióban egy vagy több alhálózattal rendelkező társhálózatokban találhatók.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Tesztelési hálózati környezet beállítása
  • Tűzfal- és tűzfalszabályzat üzembe helyezése
  • Alapértelmezett útvonal létrehozása
  • Alkalmazásszabály konfigurálása a www.google.com való hozzáférés engedélyezéséhez
  • Hálózatszabály konfigurálása külső DNS-kiszolgálókhoz való hozzáférés engedélyezéséhez
  • NAT-szabály konfigurálása távoli asztal tesztelési kiszolgálóhoz való engedélyezéséhez
  • A tűzfal tesztelése

Tetszés szerint az Azure PowerShell használatával végezheti el ezt az eljárást.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

A hálózat beállítása

Először is hozzon létre egy erőforráscsoportot, amely a tűzfal üzembe helyezéséhez szükséges erőforrásokat tartalmazza. Ezután hozzon létre egy virtuális hálózatot, alhálózatokat és egy tesztkiszolgálót.

Erőforráscsoport létrehozása

Az erőforráscsoport tartalmazza az oktatóanyag összes erőforrását.

  1. Jelentkezzen be az Azure Portalra.

  2. Az Azure Portal menüjében válassza az Erőforráscsoportok lehetőséget, vagy keressen rá, és válassza az Erőforráscsoportok elemet bármelyik lapról, majd válassza a Létrehozás lehetőséget. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Adja meg a Test-FW-RG értéket.
    Régió Válasszon régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.
  3. Válassza az Áttekintés + létrehozás lehetőséget.

  4. Válassza a Létrehozás lehetőséget.

Virtuális hálózat létrehozása

Ennek a virtuális hálózatnak két alhálózata lesz.

Feljegyzés

Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért tekintse meg az Azure Firewall gyakori kérdéseit.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Válassza a Hálózat lehetőséget.

  3. Keressen rá a virtuális hálózatra, és válassza a Létrehozás lehetőséget.

  4. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Név Adja meg a Test-FW-VN értéket.
    Régió Válassza ki ugyanazt a helyet, amelyet korábban használt.
  5. Válassza a Tovább lehetőséget.

  6. A Biztonság lapon válassza a Tovább gombot.

  7. IPv4-címtartomány esetén fogadja el az alapértelmezett 10.0.0.0/16 értéket.

  8. Az Alhálózatok területen válassza az alapértelmezett lehetőséget.

  9. Az Alhálózat szerkesztése lapon alhálózati célra válassza az Azure Firewall lehetőséget.

    Ezen az alhálózaton lesz a tűzfal. Az alhálózat neve kizárólag AzureFirewallSubnet lehet.

  10. Kezdőcímként írja be a 10.0.1.0-t.

  11. Válassza a Mentés lehetőséget.

Ezután hozzon létre egy alhálózatot a számítási feladat kiszolgálója számára.

  1. Válassza az Alhálózat hozzáadása lehetőséget.
  2. Az alhálózat neveként írja be a Workload-SN nevet.
  3. A kezdőcímhez írja be a 10.0.2.0/24 címet.
  4. Válassza a Hozzáadás lehetőséget.
  5. Válassza az Áttekintés + létrehozás lehetőséget.
  6. Válassza a Létrehozás lehetőséget.

Virtuális gép létrehozása

Most hozza létre a számítási feladat virtuális gépét, és helyezze el a Workload-SN alhálózatban.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Válassza a Windows Server 2019 Datacenter lehetőséget.

  3. Adja meg vagy válassza ki a virtuális gép alábbi értékeit:

    Beállítás Érték
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Virtuális gép neve Írja be a Srv-Work parancsot.
    Régió Válassza ki ugyanazt a helyet, amelyet korábban használt.
    Felhasználónév Adjon meg egy felhasználónevet.
    Jelszó Adjon meg egy jelszót.
  4. A Bejövő portszabályok területen a Nyilvános bejövő portok területen válassza a Nincs lehetőséget.

  5. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Lemezek lehetőséget.

  6. Fogadja el a lemez alapértelmezett értékét, és válassza a Tovább: Hálózatkezelés lehetőséget.

  7. Győződjön meg arról, hogy a Test-FW-VN ki van jelölve a virtuális hálózathoz, az alhálózat pedig a Workload-SN.

  8. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.

  9. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

  10. Válassza a Tovább:Figyelés lehetőséget.

  11. Válassza a Letiltás lehetőséget a rendszerindítási diagnosztika letiltásához. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.

  12. Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

  13. Az üzembe helyezés befejezése után válassza ki az Srv-Work erőforrást, és jegyezze fel a privát IP-címet későbbi használatra.

A tűzfal és a szabályzat üzembe helyezése

Helyezze üzembe a tűzfalat a virtuális hálózaton.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Írja be a tűzfalat a keresőmezőbe, és nyomja le az Enter billentyűt.

  3. Válassza a Tűzfal, majd a Létrehozás lehetőséget.

  4. A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:

    Beállítás Érték
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Név Adja meg a Test-FW01 értéket.
    Régió Válassza ki ugyanazt a helyet, amelyet korábban használt.
    Tűzfalkezelés Válassza a Tűzfalszabályzat használata a tűzfal kezeléséhez lehetőséget.
    Tűzfalszabályzat Válassza az Új hozzáadása lehetőséget, és írja be az fw-test-pol értéket.
    Válassza ki ugyanazt a régiót, amelyet korábban használt.
    Válasszon egy virtuális hálózatot Válassza a Meglévő használata, majd a Test-FW-VN lehetőséget.
    Nyilvános IP-cím Válassza az Új hozzáadása lehetőséget, és adja meg a név fw-pip elemét.
  5. Fogadja el a többi alapértelmezett értéket, majd válassza a Tovább: Címkék lehetőséget.

  6. Válassza a Tovább elemet : Véleményezés + létrehozás.

  7. Tekintse át az összegzést, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.

    Az üzembe helyezés néhány percet vesz igénybe.

  8. Az üzembe helyezés befejezése után lépjen a Test-FW-RG erőforráscsoportra, és válassza a Test-FW01 tűzfalat.

  9. Figyelje meg a tűzfal privát és nyilvános IP-címét. Ezeket a címeket később fogja használni.

Alapértelmezett útvonal létrehozása

A Workload-SN alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

  1. Az Azure Portal menüjében válassza a Minden szolgáltatás lehetőséget, vagy keresse meg és válassza az Összes szolgáltatást bármelyik lapról.

  2. A Hálózatkezelés csoportban válassza az Útvonaltáblák lehetőséget.

  3. Válassza a Létrehozás lehetőséget, majd adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Válassza ki az Azure-előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Régió Válassza ki ugyanazt a helyet, amelyet korábban használt.
    Név Adja meg a tűzfal útvonalát.
  4. Válassza az Áttekintés + létrehozás lehetőséget.

  5. Válassza a Létrehozás lehetőséget.

Az üzembe helyezés befejezése után válassza az Ugrás az erőforrásra lehetőséget.

  1. A Tűzfal útvonallap Beállítások területén válassza az Alhálózatok lehetőséget, majd a Társítás lehetőséget.

  2. Virtuális hálózat esetén válassza a Test-FW-VN lehetőséget.

  3. Alhálózat esetén válassza a Workload-SN lehetőséget.

  4. Kattintson az OK gombra.

  5. Válassza az Útvonalak lehetőséget, majd a Hozzáadás lehetőséget.

  6. Az Útvonalnév mezőbe írja be az fw-dg nevet.

  7. Céltípus esetén válassza ki az IP-címeket.

  8. Cél IP-címek/CIDR-tartományok előtagja esetén adja meg a 0.0.0.0/0 értéket.

  9. A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget.

    Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.

  10. A Következő ugrási cím mezőben adja meg a korábban feljegyzett tűzfal privát IP-címét.

  11. Válassza a Hozzáadás lehetőséget.

Alkalmazásszabály konfigurálása

Ez az az alkalmazásszabály, amely lehetővé teszi a kimenő hozzáférést.www.google.com

  1. Nyissa meg a Test-FW-RG erőforráscsoportot, és válassza ki az fw-test-pol tűzfalszabályzatot.
  2. A Beállítások területen válassza ki az alkalmazásszabályokat.
  3. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  4. A Név mezőbe írja be az App-Coll01 nevet.
  5. A Prioritás mezőben adja meg a 200 értéket.
  6. Szabálygyűjtési művelet esetén válassza az Engedélyezés lehetőséget.
  7. A Szabályok területen a Név mezőben adja meg az Allow-Google nevet.
  8. Forrástípus esetén válassza az IP-címet.
  9. Forrás esetén adja meg a 10.0.2.0/24 értéket.
  10. Protokoll:port esetén adja meg a http, https értéket.
  11. Céltípus esetén válassza az FQDN elemet.
  12. Célként adja meg azwww.google.com
  13. Válassza a Hozzáadás lehetőséget.

Az Azure Firewall tartalmaz egy beépített szabálygyűjteményt az infrastruktúra alapértelmezés szerint engedélyezett teljes tartományneveiről. Ezek a teljes tartománynevek csak az adott platformra vonatkoznak, egyéb célra nem használhatók. További információ: Infrastruktúra FQDN-jei.

Hálózatszabály konfigurálása

Ez az a hálózatszabály, amely lehetővé teszi a kimenő hozzáférést két IP-címhez az 53-as porton (DNS).

  1. Válassza a Hálózati szabályok lehetőséget.
  2. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  3. A Név mezőbe írja be a Net-Coll01 nevet.
  4. A Prioritás mezőben adja meg a 200 értéket.
  5. Szabálygyűjtési művelet esetén válassza az Engedélyezés lehetőséget.
  6. Szabálycsoport esetén válassza a DefaultNetworkRuleCollectionGroup lehetőséget.
  7. A Szabályok területen a Név mezőben adja meg az Allow-DNS nevet.
  8. Forrástípus esetén válassza az IP-cím lehetőséget.
  9. Forrás esetén adja meg a 10.0.2.0/24 értéket.
  10. A Protokoll beállításnál válassza az UDP lehetőséget.
  11. Célportok esetén adja meg az 53-at.
  12. Céltípus esetén válassza ki az IP-címet.
  13. Célként adja meg a 209.244.0.3,209.244.0.4 értéket.
    Ezek a CenturyLink által üzemeltetett nyilvános DNS-kiszolgálók.
  14. Válassza a Hozzáadás lehetőséget.

DNAT-szabály konfigurálása

Ez a szabály lehetővé teszi távoli asztal csatlakoztatását az Srv-Work virtuális géphez a tűzfalon keresztül.

  1. Válassza ki a DNAT-szabályokat.
  2. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  3. A Név mezőben adja meg az RDP értéket.
  4. A Prioritás mezőben adja meg a 200 értéket.
  5. A Szabálygyűjtemény csoportban válassza a DefaultDnatRuleCollectionGroup lehetőséget.
  6. A Szabályok területen a Név mezőben adja meg az rdp-nat értéket.
  7. Forrástípus esetén válassza az IP-címet.
  8. A Forrás mezőbe írja be a következőt*:
  9. A Protokoll beállításnál válassza a TCP lehetőséget.
  10. Célportok esetén adja meg a 3389-et.
  11. Célként adja meg a tűzfal nyilvános IP-címét.
  12. Lefordított típus esetén válassza az IP-cím lehetőséget.
  13. Lefordított cím esetén adja meg a Srv-work privát IP-címét.
  14. Lefordított port esetén adja meg a 3389-et.
  15. Válassza a Hozzáadás lehetőséget.

Módosítsa az Srv-Work hálózati adapter elsődleges és másodlagos DNS-címét.

Ebben az oktatóanyagban tesztelési célokra konfigurálja a kiszolgáló elsődleges és másodlagos DNS-címét. Ez nem általános Azure Firewall-követelmény.

  1. Az Azure Portal menüjében válassza az Erőforráscsoportok lehetőséget, vagy keressen rá és válassza ki az erőforráscsoportokat bármelyik lapról. Válassza ki a Test-FW-RG erőforráscsoportot.
  2. Válassza ki a Srv-Work virtuális gép hálózati adapterét.
  3. A Beállítások területen válassza ki a DNS-kiszolgálókat.
  4. A DNS-kiszolgálók területen válassza az Egyéni lehetőséget.
  5. Írja be a 209.244.0.3 értéket a DNS-kiszolgáló hozzáadása szövegmezőbe, a következő szövegmezőbe pedig a 209.244.0.4 értéket.
  6. Válassza a Mentés lehetőséget.
  7. Indítsa újra az Srv-Work virtuális gépet.

A tűzfal tesztelése

Most tesztelje a tűzfalat, hogy ellenőrizze, hogy a várt módon működik-e.

  1. Csatlakoztassa a távoli asztalt a nyilvános IP-cím tűzfalához, és jelentkezzen be az Srv-Work virtuális gépre.

  2. Nyissa meg a Microsoft Edge-et, és tallózással keresse meg a következőt https://www.google.com:

  3. Válassza az OK>bezárás lehetőséget az Internet Explorer biztonsági riasztásai között.

    Ekkor megjelenik a Google kezdőlapja.

  4. Nyissa meg a következő címet: https://www.microsoft.com.

    A tűzfal blokkolja a hozzáférést.

Így most már ellenőrizte, hogy a tűzfalszabályok működnek-e:

  • Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.
  • Fel tudja oldani a DNS-neveket a konfigurált külső DNS-kiszolgálóval.

Az erőforrások eltávolítása

A tűzfalhoz kapcsolódó erőforrásokat a következő oktatóanyagban is használhatja, vagy ha már nincs rá szükség, törölje a Test-FW-RG erőforráscsoportot, és vele együtt a tűzfalhoz kapcsolódó összes erőforrást.

Következő lépések