Az Azure Firewall üzembe helyezése és konfigurálása az Azure Portalon

A kimenő hálózati hozzáférés ellenőrzése az általános hálózati biztonsági terv fontos részét képezi. Előfordulhat például, hogy korlátozni szeretné a webhelyekhez való hozzáférést. Vagy korlátozhatja a kimenő IP-címeket és portokat, amelyek elérhetők.

Az Azure-alhálózatok kimenő hálózati hozzáférése többek között az Azure Firewall használatával vezérelhető. Az Azure Firewall segítségével a következőket konfigurálhatja:

  • Alkalmazásszabályokat, amelyek egy alhálózatról elérhető teljes tartományneveket (FQDN) határoznak meg.
  • Hálózatszabályokat, amelyek forráscímet, protokollt, valamint célportot és célcímet határoznak meg.

A hálózati forgalmat a konfigurált tűzfalszabályok irányítják, ha alapértelmezett alhálózati átjáróként irányítja a tűzfalhoz a forgalmat.

Ebben a cikkben egy egyszerűsített, két alhálózattal rendelkező virtuális hálózatot hoz létre az egyszerű üzembe helyezés érdekében.

Éles környezetekben a küllős és a küllős modell használata javasolt, ahol a tűzfal a saját virtuális hálózatában található. A számítási feladatok kiszolgálói egy vagy több alhálózattal rendelkező társhálózatokban találhatók az USA nyugati régiójában.

  • AzureFirewallSubnet – ezen az alhálózaton található a tűzfal.
  • Workload-SN – ezen az alhálózaton található a számítási feladat kiszolgálója. Ennek az alhálózatnak a hálózati forgalma a tűzfalon halad át.

A tűzfal hálózati infrastruktúrájának diagramja.

Ebben a cikkben az alábbiakkal ismerkedhet meg:

  • Tesztelési hálózati környezet beállítása
  • Tűzfal üzembe helyezése
  • Alapértelmezett útvonal létrehozása
  • Alkalmazásszabály konfigurálása a www.google.com való hozzáférés engedélyezéséhez
  • Hálózatszabály konfigurálása külső DNS-kiszolgálókhoz való hozzáférés engedélyezéséhez
  • Az Azure Bastion üzembe helyezése a virtuális gépek biztonságos eléréséhez
  • A tűzfal tesztelése

Feljegyzés

Ez a cikk klasszikus tűzfalszabályokat használ a tűzfal kezeléséhez. Az előnyben részesített módszer a tűzfalszabályzat használata. Az eljárás tűzfalszabályzat használatával történő végrehajtásához tekintse meg az Oktatóanyagot: Az Azure Firewall és a szabályzat üzembe helyezése és konfigurálása az Azure Portal használatával

Tetszés szerint az Azure PowerShell használatával végezheti el ezt az eljárást.

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

A hálózat beállítása

Először is hozzon létre egy erőforráscsoportot, amely a tűzfal üzembe helyezéséhez szükséges erőforrásokat tartalmazza. Ezután hozzon létre egy virtuális hálózatot, alhálózatokat és egy tesztkiszolgálót.

Erőforráscsoport létrehozása

Az erőforráscsoport az eljárásban használt összes erőforrást tartalmazza.

  1. Jelentkezzen be az Azure Portalra.
  2. Az Azure Portal menüjében válassza az Erőforráscsoportok lehetőséget, vagy keressen rá és válassza ki az erőforráscsoportokat bármelyik lapról. Válassza a Létrehozás parancsot.
  3. Az Előfizetés mezőben válassza ki az előfizetését.
  4. Az Erőforráscsoport neve mezőbe írja be a következőt: Test-FW-RG.
  5. Régió esetén válassza az USA nyugati régióját. Minden más létrehozott erőforrásnak az USA nyugati régiójában kell lennie.
  6. Válassza az Áttekintés + létrehozás lehetőséget.
  7. Válassza a Létrehozás lehetőséget.

Virtuális hálózat létrehozása

Ennek a virtuális hálózatnak két alhálózata van.

Feljegyzés

Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért tekintse meg az Azure Firewall gyakori kérdéseit.

  1. Az Azure Portal menüjében vagy a kezdőlapon keresse meg és válassza ki a virtuális hálózatokat.

  2. Válassza a Létrehozás lehetőséget.

  3. Az Alapok lapon konfigurálja a következő beállításokat:

    Beállítás Érték
    Subscription Válassza ki az előfizetését
    Erőforráscsoport Test-FW-RG
    Virtuális hálózat neve Test-FW-VN
    Régió USA nyugati régiója

  4. Válassza a Tovább lehetőséget.

  5. A Biztonság lapon konfigurálja a következő beállításokat:

    Beállítás Érték
    Az Azure Firewall engedélyezése Kiválasztott
    Az Azure Firewall neve Test-FW01
    Kategória Szabvány
    Policy Nincs (Klasszikus tűzfalszabályok használata)
    Nyilvános Azure Firewall IP-cím Válassza a Nyilvános IP-cím létrehozása lehetőséget, írja be az fw-pip nevet, és válassza az OK gombot

  6. Válassza a Tovább lehetőséget.

  7. Az IP-címek lapon konfigurálja a következő beállításokat:

    Beállítás Érték
    Címterület Fogadja el az alapértelmezett 10.0.0.0/16-os értéket
    Subnets Válassza ki az alapértelmezett értéket, módosítsa a NevetSzámítási feladat SN-ére, és állítsa a kezdőcímeta 10.0.2.0/24 értékre. Válassza a Mentés lehetőséget.

  8. Válassza az Áttekintés + létrehozás lehetőséget.

  9. Válassza a Létrehozás lehetőséget.

Feljegyzés

Az Azure Firewall szükség szerint nyilvános IP-címeket használ az elérhető portok alapján. Miután véletlenszerűen kiválasztott egy nyilvános IP-címet a kimenő csatlakozáshoz, csak a következő elérhető nyilvános IP-címet fogja használni, miután az aktuális nyilvános IP-címről nem lehet több kapcsolatot létesíteni. A nagy forgalmú és átviteli sebességgel rendelkező helyzetekben ajánlott NAT-átjárót használni a kimenő kapcsolat biztosításához. Az SNAT-portok dinamikusan vannak lefoglalva a NAT Gatewayhez társított összes nyilvános IP-cím között. További információ: SNAT-portok méretezése az Azure NAT Gateway használatával.

Virtuális gép létrehozása

Most hozza létre a számítási feladat virtuális gépét, és helyezze el a Workload-SN alhálózatban.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Válassza az Ubuntu Server 22.04 LTS lehetőséget.

  3. Adja meg a következő értékeket a virtuális gép számára:

    Beállítás Érték
    Erőforráscsoport Test-FW-RG
    Virtuális gép neve Srv-Work
    Régió USA nyugati régiója
    Image Ubuntu Server 22.04 LTS – x64 Gen2
    Méret Standard_B2s
    Hitelesítési típus Nyilvános SSH-kulcs
    Felhasználónév azureuser
    Nyilvános SSH-kulcs forrása Új kulcspár előállítása
    Kulcspár neve Srv-Work_key

  4. A Hálózatkezelés lapon konfigurálja a következő beállításokat:

    Beállítás Érték
    Virtuális hálózat Test-FW-VN
    Alhálózat Munkaterhelés-SN
    Nyilvános IP-cím Nincs

  5. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

  6. Fogadja el az alapértelmezett beállításokat, és válassza a Tovább: Figyelés lehetőséget.

  7. A rendszerindítási diagnosztikához válassza a Letiltás lehetőséget. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.

  8. Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

  9. Az Új kulcspár létrehozása párbeszédpanelen válassza a Titkos kulcs letöltése és az erőforrás létrehozása lehetőséget. Mentse a kulcsfájlt Srv-Work_key.pem néven.

  10. Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget, és jegyezze fel a Srv-Work privát IP-címét, amelyet később használnia kell.

Feljegyzés

Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.

Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:

  • A virtuális géphez nyilvános IP-cím van hozzárendelve.
  • A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
  • Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.

A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.

Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.

A tűzfal vizsgálata

  1. Lépjen az erőforráscsoportra, és válassza ki a tűzfalat.
  2. Figyelje meg a tűzfal privát és nyilvános IP-címét. Ezeket a címeket később fogja használni.

Alapértelmezett útvonal létrehozása

Amikor a tűzfalon keresztül hoz létre egy útvonalat a kimenő és bejövő kapcsolatokhoz, elegendő egy alapértelmezett útvonal a 0.0.0.0/0-ra a virtuális berendezés privát IP-címével a következő ugrásként. Ez a tűzfalon keresztül irányítja a kimenő és bejövő kapcsolatokat. Ha például a tűzfal tcp-kézfogást hajt végre, és egy bejövő kérésre válaszol, a rendszer a választ a forgalmat küldő IP-címre irányítja. Ez az elvárt működés.

Ennek eredményeképpen nincs szükség egy másik felhasználó által definiált útvonal létrehozására az AzureFirewallSubnet IP-tartományának belefoglalásához. Ez megszakadt kapcsolatokat eredményezhet. Az eredeti alapértelmezett útvonal elegendő.

A Workload-SN alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

  1. Az Azure Portalon keresse meg és válassza ki az Útvonaltáblákat.

  2. Válassza a Létrehozás lehetőséget.

  3. Az Alapok lapon konfigurálja a következő beállításokat:

    Beállítás Érték
    Subscription Válassza ki az előfizetését
    Erőforráscsoport Test-FW-RG
    Régió USA nyugati régiója
    Név Tűzfalútvonal
    Átjáró útvonalak terjesztése Válassza ki a kívánt beállítást

  4. Válassza az Áttekintés + létrehozás lehetőséget.

  5. Válassza a Létrehozás lehetőséget.

Az üzembe helyezés befejezése után válassza az Ugrás az erőforrásra lehetőséget.

  1. A Tűzfalútvonal lapon válassza a Beállítások>alhálózatok , majd a Társítás lehetőséget.

  2. Virtuális hálózat esetén válassza a Test-FW-VN lehetőséget.

  3. Alhálózat esetén válassza a Workload-SN lehetőséget. Győződjön meg arról, hogy ehhez az útvonalhoz csak a Workload-SN alhálózatot választja ki, ellenkező esetben a tűzfal nem fog megfelelően működni.

  4. Kattintson az OK gombra.

  5. Válassza az Útvonalak lehetőséget, majd a Hozzáadás lehetőséget.

  6. Konfigurálja az útvonalat a következő beállításokkal:

    Beállítás Érték
    Útvonal neve fw-dg
    Cél típusa IP-címek
    Cél IP-címek/CIDR-tartományok 0.0.0.0/0
    Következő ugrás típusa Virtuális berendezés. Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.
    A következő csomópont címe A tűzfal privát IP-címe, amelyet korábban feljegyzett

  7. Válassza a Hozzáadás lehetőséget.

Alkalmazásszabály konfigurálása

Ez az az alkalmazásszabály, amely lehetővé teszi a kimenő hozzáférést.www.google.com

  1. Nyissa meg a Test-FW-RG erőforráscsoportot, és válassza a Test-FW01 tűzfalat.

  2. A Test-FW01 lap Beállítások területén válassza a Szabályok (klasszikus) lehetőséget.

  3. Válassza az Alkalmazásszabály-gyűjtemény lapot.

  4. Válassza az Alkalmazásszabály-gyűjtemény hozzáadása lehetőséget.

  5. Konfigurálja a szabálygyűjteményt a következő beállításokkal:

    Beállítás Érték
    Név App-Coll01
    Priority 200
    Tevékenység Engedélyezés

  6. A Szabályok területen adja meg a cél teljes tartományneveit, és konfigurálja a következő beállításokat:

    Beállítás Érték
    Név Google engedélyezése
    Forrás típusa IP-cím
    Forrás 10.0.2.0/24
    Protokoll:port http, https
    Cél teljes tartománynevek www.google.com

  7. Válassza a Hozzáadás lehetőséget.

Az Azure Firewall tartalmaz egy beépített szabálygyűjteményt az infrastruktúra alapértelmezés szerint engedélyezett teljes tartományneveiről. Ezek a teljes tartománynevek csak az adott platformra vonatkoznak, egyéb célra nem használhatók. További információ: Infrastruktúra FQDN-jei.

Hálózatszabály konfigurálása

Ez az a hálózatszabály, amely lehetővé teszi a kimenő hozzáférést két IP-címhez az 53-as porton (DNS).

  1. Válassza a Hálózati szabály gyűjtemény lapját.

  2. Válassza a Hálózati szabálygyűjtemény hozzáadása lehetőséget.

  3. Konfigurálja a szabálygyűjteményt a következő beállításokkal:

    Beállítás Érték
    Név Net-Coll01
    Priority 200
    Tevékenység Engedélyezés

  4. A Szabályok, IP-címek területen konfigurálja a következő beállításokat:

    Beállítás Érték
    Név Engedélyezés–DNS
    Protokoll UDP-
    Forrás típusa IP-cím
    Forrás 10.0.2.0/24
    Cél típusa IP-cím
    Célcím 209.244.0.3,209.244.0.4 (a Level3 által üzemeltetett nyilvános DNS-kiszolgálók)
    Célportok 53

  5. Válassza a Hozzáadás lehetőséget.

Az Azure Bastion üzembe helyezése

Most helyezze üzembe az Azure Bastiont, hogy biztonságos hozzáférést biztosítson a virtuális géphez.

  1. Az Azure Portal menüjében válassza az Erőforrás létrehozása elemet.

  2. A keresőmezőbe írja be a Bastion kifejezést , és válassza ki az eredmények közül.

  3. Válassza a Létrehozás lehetőséget.

  4. Az Alapok lapon konfigurálja a következő beállításokat:

    Beállítás Érték
    Subscription Válassza ki az előfizetését
    Erőforráscsoport Test-FW-RG
    Név Test-Bastion
    Régió USA nyugati régiója
    Kategória Fejlesztő
    Virtuális hálózat Test-FW-VN
    Alhálózat Válassza az Alhálózat szerkesztése lehetőséget

  5. Az Alhálózat szerkesztése lapon konfigurálja a következő beállításokat:

    Beállítás Érték
    Kezdőcím 10.0.4.0/26
    Méret /26

  6. Válassza a Mentés lehetőséget, és zárja be az alhálózatok lapot.

  7. Válassza az Áttekintés + létrehozás lehetőséget.

  8. A validálás után válassza a Create lehetőséget.

Feljegyzés

A Bastion üzembe helyezése körülbelül 10 percet vesz igénybe. A fejlesztői szint tesztelési és kiértékelési célokra szolgál. Éles üzembe helyezés esetén tekintse át az Azure Bastion termékváltozatának lehetőségeit az Azure Bastion termékváltozat-összehasonlításában.

Módosítsa az Srv-Work hálózati adapter elsődleges és másodlagos DNS-címét.

Tesztelési célokra konfigurálja a kiszolgáló elsődleges és másodlagos DNS-címét. Ez nem általános Azure Firewall-követelmény.

  1. Az Azure Portal menüjében válassza az Erőforráscsoportok lehetőséget, vagy keressen rá és válassza ki az erőforráscsoportokat bármelyik lapról. Válassza ki a Test-FW-RG erőforráscsoportot.

  2. Válassza ki a Srv-Work virtuális gép hálózati adapterét.

  3. A Beállítások területen válassza ki a DNS-kiszolgálókat.

  4. A DNS-kiszolgálók területen válassza az Egyéni lehetőséget.

  5. Konfigurálja a következő DNS-kiszolgálókat:

    DNS-kiszolgáló Érték
    Primary 209.244.0.3
    Secondary 209.244.0.4

  6. Válassza a Mentés lehetőséget.

  7. Indítsa újra az Srv-Work virtuális gépet.

A tűzfal tesztelése

Most tesztelje a tűzfalat, hogy ellenőrizze, hogy a várt módon működik-e.

  1. Az Azure Portalon lépjen a Srv-Work virtuális gépre.

  2. Válassza a Csatlakozás lehetőséget, majd válassza a Csatlakozás a Bastionon keresztül lehetőséget.

  3. Válassza az SSH titkos kulcs használata helyi fájlból lehetőséget.

  4. Felhasználónévként írja be az azureuser nevet.

  5. Válassza ki a mappaikont, és keresse meg a korábban letöltött Srv-Work_key.pem fájlt.

  6. Válassza a Csatlakozás lehetőséget.

  7. A bash-parancssorban futtassa a következő parancsokat a DNS-feloldás teszteléséhez:

    nslookup www.google.com
nslookup www.microsoft.com

    Mindkét parancsnak válaszokat kell visszaadnia, jelezve, hogy a DNS-lekérdezések átjutnak a tűzfalon.

  8. Futtassa a következő parancsokat az alkalmazásszabály teszteléséhez:

    curl https://www.google.com
curl https://www.microsoft.com

    A www.google.com kérésnek sikeresnek kell lennie, és látnia kell a HTML-választ.

    A www.microsoft.com kérésnek sikertelennek kell lennie, és azt jelzi, hogy a tűzfal blokkolja a kérést.

Így ellenőrizte, hogy a tűzfalszabályok működnek-e:

  • A Bastion és az SSH használatával csatlakozhat a virtuális géphez.
  • Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.
  • Fel tudja oldani a DNS-neveket a konfigurált külső DNS-kiszolgálóval.

Az erőforrások eltávolítása

A tűzfal erőforrásait továbbra is tesztelheti, vagy ha már nincs rá szükség, törölje a Test-FW-RG erőforráscsoportot az összes tűzfallal kapcsolatos erőforrás törléséhez.

Következő lépések

  • Last updated on