Share via

Menyebarkan dan mengonfigurasi Azure Firewall Dasar dan kebijakan menggunakan portal Azure

  • Artikel

Azure Firewall Basic memberikan perlindungan penting yang dibutuhkan pelanggan SMB pada titik harga yang terjangkau. Solusi ini direkomendasikan untuk lingkungan pelanggan SMB dengan persyaratan throughput kurang dari 250 Mbps. Disarankan untuk menyebarkan SKU Standar untuk lingkungan dengan persyaratan throughput lebih dari 250 Mbps dan SKU Premium untuk perlindungan ancaman tingkat lanjut.

Memfilter lalu lintas jaringan dan aplikasi adalah bagian penting dari rencana keamanan jaringan secara keseluruhan. Misalnya, Anda mungkin ingin membatasi akses ke situs web. Atau, Anda mungkin ingin membatasi alamat IP keluar dan port yang dapat diakses.

Salah satu cara Anda dapat mengontrol akses jaringan masuk dan keluar dari subnet Azure adalah dengan Azure Firewall dan Kebijakan Firewall. Dengan Azure Firewall dan Firewall Policy, Anda dapat mengonfigurasi:

  • Aturan aplikasi yang mendefinisikan nama domain yang sepenuhnya memenuhi syarat (FQDN) yang dapat diakses dari subnet.
  • Aturan jaringan yang menentukan alamat sumber, protokol, port tujuan, dan alamat tujuan.
  • Aturan DNAT untuk menerjemahkan dan memfilter lalu lintas Internet masuk ke subnet Anda.

Lalu lintas jaringan tunduk pada aturan firewall yang dikonfigurasi saat Anda merutekan lalu lintas jaringan Anda ke firewall sebagai gateway default subnet.

Untuk cara ini, Anda membuat VNet tunggal yang disederhanakan dengan tiga subnet untuk penyebaran yang mudah. Firewall Basic memiliki persyaratan wajib untuk dikonfigurasi dengan NIC manajemen.

  • AzureFirewallSubnet - firewall ada di subnet ini.
  • AzureFirewallManagementSubnet - untuk lalu lintas manajemen layanan.
  • Workload-SN - server beban kerja ada di subnet ini. Lalu lintas jaringan subnet ini melewati firewall.

Catatan

Karena Azure Firewall Basic memiliki lalu lintas terbatas dibandingkan dengan SKU Standar atau Premium Azure Firewall, azureFirewallManagementSubnet mengharuskan AzureFirewallManagementSubnet untuk memisahkan lalu lintas pelanggan dari lalu lintas manajemen Microsoft untuk memastikan tidak ada gangguan di dalamnya. Lalu lintas manajemen ini diperlukan untuk pembaruan dan komunikasi metrik kesehatan yang terjadi secara otomatis ke dan dari Microsoft saja. Tidak ada koneksi lain yang diperbolehkan pada IP ini.

Untuk penyebaran produksi, disarankan hub dan model spoke, dengan firewall berada di VNetnya sendiri. Server beban kerja berada di VNet yang di-peering di wilayah yang sama dengan satu atau beberapa subnet.

Dalam cara ini, Anda mempelajari cara:

  • Menyiapkan lingkungan jaringan uji
  • Menyebarkan firewall dasar dan kebijakan firewall dasar
  • Membuat rute default
  • Mengonfigurasi aturan aplikasi untuk membuka akses ke www.google.com
  • Mengonfigurasi aturan jaringan untuk memperbolehkan akses ke server DNS eksternal
  • Mengonfigurasi aturan NAT untuk membuka akses desktop jarak jauh ke server uji
  • Menguji firewall

Jika mau, Anda dapat menyelesaikan prosedur ini menggunakan Azure PowerShell.

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Membuat grup sumber daya

Grup sumber daya berisi semua sumber daya untuk panduan.

  1. Masuk ke portal Azure.
  2. Pada menu portal Microsoft Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya dari halaman mana pun. Kemudian pilih Buat.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk Nama grup sumber daya, masukkan Test-FW-RG.
  5. Untuk Wilayah, pilih wilayah. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama.
  6. Pilih Tinjau + buat.
  7. Pilih Buat.

Menyebarkan firewall dan kebijakan

Sebarkan firewall dan buat infrastruktur jaringan terkait.

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.

  2. Ketik firewall di kotak pencarian dan tekan Enter.

  3. Pilih Firewall lalu pilih Buat.

  4. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan <langganan Anda>
    Grup sumber daya Test-FW-RG
    Nama Test-FW01
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya
    Tingkat Firewall Dasar
    Manajemen firewall Gunakan Firewall Policy untuk mengelola firewall ini
    Kebijakan firewall Tambah baru:
    fw-test-pol
    Wilayah yang Anda pilih
    Tingkat kebijakan harus default ke Dasar
    Pilih jaringan virtual Buat baru
    Nama: Test-FW-VN
    Ruang alamat: 10.0.0.0/16
    Ruang alamat subnet: 10.0.0.0/26
    Alamat IP Publik Tambah baru:
    Nama: fw-pip
    Manajemen - Ruang alamat subnet 10.0.1.0/26
    Alamat IP publik manajemen Tambah yang baru
    fw-mgmt-pip

  5. Terima default lainnya lalu pilih Tinjau + Buat.

  6. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Ini akan memakan waktu beberapa menit untuk penyebaran.

  7. Setelah penyebaran selesai, buka grup sumber daya Test-FW-RG, dan pilih firewall FW01.

  8. Perhatikan alamat IP privat dan publik firewall (fw-pip). Anda akan menggunakan alamat ini nanti.

Membuat subnet untuk server beban kerja

Selanjutnya, buat subnet untuk server beban kerja.

  1. Buka grup sumber daya Test-FW-RG dan pilih jaringan virtual Test-FW-VN .
  2. Pilih Subnet.
  3. Pilih Subnet.
  4. Untuk Nama subnet, ketik Workload-01-SN.
  5. Untuk Rentang alamat subnet, ketik 10.0.2.0/24.
  6. Pilih Simpan.

Membuat komputer virtual

Sekarang buat komputer virtual beban kerja, dan tempatkan di subnet Workload-SN.

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.

  2. Pilih Pusat Data Windows Server 2019.

  3. Masukkan nilai-nilai ini untuk komputer virtual:

    Pengaturan Nilai
    Grup sumber daya Test-FW-RG
    Nama komputer virtual Srv-Work
    Wilayah Sama seperti sebelumnya
    Gambar Pusat data Windows Server 2019
    Nama pengguna administrator Ketik nama pengguna
    Kata sandi Ketik kata sandi

  4. Di bawah Aturan port masuk, Port masuk publik, pilih Tidak Ada.

  5. Terima default lainnya lalu pilih Berikutnya: Disk.

  6. Pakai default disk dan pilih Berikutnya : Jaringan.

  7. Pastikan bahwa Test-FW-VN dipilih untuk jaringan virtual dan subnetnya adalah Workload-SN.

  8. Untuk IP Publik, pilih Tidak ada.

  9. Pakai default yang lain dan kemudian pilih Berikutnya: Manajemen.

  10. Pilih Berikutnya: Pemantauan.

  11. Pilih Nonaktifkan untuk menonaktifkan diagnostik boot. Pakai default yang lain lalu pilih Tinjau + Buat.

  12. Tinjau ulang pengaturan pada halaman ringkasan, lalu pilih Buat.

  13. Setelah penyebaran selesai, pilih sumber daya Srv-Work dan catat alamat IP pribadi untuk digunakan nanti.

Membuat rute default

Untuk subnet Workload-SN, konfigurasikan rute default keluar untuk melewati firewall.

  1. Pada menu portal Microsoft Azure, pilih Semua layanan atau cari dan pilih Semua layanan dari halaman mana pun.
  2. Di bawah Jaringan, pilih Tabel rute.
  3. Pilih Buat.
  4. Untuk Langganan, Pilih langganan Anda.
  5. Untuk Grup sumber daya, pilih Test-FW-RG.
  6. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  7. Untuk Nama, ketik Firewall-rute.
  8. Pilih Tinjau + buat.
  9. Pilih Buat.

Setelah penyebaran selesai, pilih Buka sumber daya.

  1. Pada halaman Rute Firewall, pilih Subnet lalu pilih Kaitkan.

  2. Pilih Jaringan virtual>Test-FW-VN.

  3. Untuk Subnet, pilih Workload-SN. Pastikan Anda hanya memilih subnet Workload-SN untuk rute ini, jika tidak, firewall Anda tidak akan berfungsi dengan benar.

  4. PilihOK.

  5. Pilih Rute, lalu pilih Tambahkan.

  6. Untuk Nama rute, ketik fw-dg.

  7. Untuk Tujuan awalan alamat, pilih Alamat IP.

  8. Untuk Alamat IP tujuan/rentang CIDR, ketik 0.0.0.0/0.

  9. Untuk Jenis lompatan berikutnya, pilih Appliance virtual.

    Azure Firewall sebenarnya adalah layanan terkelola, tetapi appliance virtual berfungsi dalam situasi ini.

  10. Untuk Alamat lompatan berikutnya, ketikkan alamat IP privat firewall yang Anda catat sebelumnya.

  11. Pilih Tambahkan.

Mengonfigurasi aturan aplikasi

Ini adalah aturan aplikasi yang memungkinkan akses keluar ke www.google.com.

  1. Buka Test-FW-RG, dan pilih kebijakan firewall fw-test-pol.
  2. Pilih Aturan aplikasi.
  3. Pilih Tambahkan Kumpulan Aturan.
  4. Untuk Nama, ketik App-Coll01.
  5. Untuk Prioritas, ketik 200.
  6. Untuk Tindakan pengumpulan aturan, pilih Izinkan.
  7. Di bawah Aturan, untuk Nama, ketik Allow-Google.
  8. Untuk Jenis sumber, pilih alamat IP.
  9. Untuk Sumber, ketikkan 10.0.2.0/24.
  10. Untuk Protokol, ketik http,https.
  11. Untuk Jenis tujuan, pilih FQDN.
  12. Untuk Tujuan, ketikkan www.google.com
  13. Pilih Tambahkan.

Azure Firewall menyertakan koleksi aturan bawaan untuk FQDN infrastruktur yang diizinkan secara default. FQDN ini khusus untuk platform dan tidak dapat digunakan untuk tujuan lain. Untuk informasi selengkapnya, lihat FQDN Infrastruktur.

Mengonfigurasi aturan jaringan

Aturan jaringan membuka akses keluar ke dua alamat IP di port 53 (DNS).

  1. Pilih Aturan jaringan.
  2. Pilih Tambahkan Kumpulan Aturan.
  3. Untuk Nama, ketik Net-Coll01.
  4. Untuk Prioritas, ketik 200.
  5. Untuk Tindakan pengumpulan aturan, pilih Izinkan.
  6. Untuk Grup kumpulan aturan, pilih DefaultNetworkRuleCollectionGroup.
  7. Di bawah Aturan, untuk Nama, ketik Allow-DNS.
  8. Untuk Jenis sumber, pilih Alamat IP.
  9. Untuk Sumber, ketik 10.0.2.0/24.
  10. Untuk Protokol, pilih UDP.
  11. Untuk Port Tujuan, ketik 53.
  12. Untuk Jenis tujuan, pilih Alamat IP.
  13. Untuk Tujuan, ketik 209.244.0.3,209.244.0.4.
    Ini adalah server DNS publik yang dioperasikan oleh Tingkat3.
  14. Pilih Tambahkan.

Mengonfigurasi aturan DNAT

Aturan ini memungkinkan Anda menyambungkan desktop jarak jauh ke mesin virtual Srv-Work melalui firewall.

  1. Pilih Aturan DNAT.
  2. Pilih Tambahkan Kumpulan Aturan.
  3. Untuk Nama, ketik rdp.
  4. Untuk Prioritas, ketik 200.
  5. Untuk Grup kumpulan aturan, pilih DefaultNetworkRuleCollectionGroup.
  6. Di bawah Aturan, untuk Nama, ketik rdp-nat.
  7. Untuk Jenis sumber, pilih alamat IP.
  8. Untuk Sumber, ketik * .
  9. Untuk Protokol, pilih TCP.
  10. Untuk Port Tujuan, ketik 3389.
  11. Untuk Jenis Tujuan, pilih Alamat IP.
  12. Untuk Tujuan, ketik alamat IP publik firewall (fw-pip).
  13. Untuk Alamat terjemahan, ketik alamat IP privat Srv-work.
  14. Untuk Port terjemahan, ketik 3389.
  15. Pilih Tambahkan.

Ubah alamat DNS utama dan sekunder untuk antarmuka jaringan Srv-Work

Untuk tujuan pengujian dalam cara ini, konfigurasikan alamat DNS utama dan sekunder server. Ini bukan persyaratan umum Azure Firewall.

  1. Pada menu portal Microsoft Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya dari halaman mana pun. Pilih grup sumber daya Test-FW-RG.
  2. Pilih antarmuka jaringan untuk komputer virtual Srv-Work.
  3. Di bawah Pengaturan, pilih Server DNS.
  4. Di bawah Server DNS, pilih Kustom.
  5. Ketik 209.244.0.3 di kotak teks Tambahkan server DNS, dan 209.244.0.4 di kotak teks berikutnya.
  6. Pilih Simpan.
  7. Menghidupkan ulang komputer virtual Srv-Work.

Menguji firewall

Sekarang, uji firewall untuk mengonfirmasi bahwa firewall bekerja seperti yang diharapkan.

  1. Sambungkan desktop jarak jauh ke alamat IP publik firewall (fw-pip) dan masuk ke komputer virtual Srv-Work .

  2. Buka Internet Explorer dan telusuri https://www.google.com.

  3. Pilih OK>Tutup pada pemberitahuan keamanan Internet Explorer.

    Anda akan melihat halaman beranda Google.

  4. Telusuri http://www.microsoft.com.

    Anda akan diblokir oleh firewall.

Jadi sekarang Anda telah memverifikasi bahwa aturan firewall berfungsi:

  • Anda dapat menyambungkan desktop jarak jauh ke komputer virtual Srv-Work.
  • Anda dapat menjelajah ke FQDN yang diizinkan, tetapi tidak ke yang lainnya.
  • Anda bisa menyelesaikan nama DNS menggunakan server DNS eksternal yang dikonfigurasi.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall untuk pengujian lebih lanjut, atau jika tidak lagi diperlukan, hapus grup sumber daya Test-FW-RG untuk menghapus semua sumber daya terkait firewall.

Langkah berikutnya

Menyebarkan dan mengonfigurasi Azure Firewall Premium