Menyebarkan dan mengonfigurasi Azure Firewall menggunakan portal Microsoft Azure

Mengontrol akses jaringan keluar adalah bagian penting dari rencana keamanan jaringan secara keseluruhan. Misalnya, Anda mungkin ingin membatasi akses ke situs web. Atau, Anda mungkin ingin membatasi alamat IP keluar dan port yang dapat diakses.

Salah satu cara Anda dapat mengontrol akses jaringan keluar dari subnet Azure adalah dengan Azure Firewall. Dengan Azure Firewall, Anda dapat mengonfigurasi:

  • Aturan aplikasi yang mendefinisikan nama domain yang sepenuhnya memenuhi syarat (FQDN), yang dapat diakses dari subnet.
  • Aturan jaringan yang menentukan alamat sumber, protokol, port tujuan, dan alamat tujuan.

Lalu lintas jaringan tunduk pada aturan firewall yang dikonfigurasi saat Anda merutekan lalu lintas jaringan Anda ke firewall sebagai gateway default subnet.

Untuk artikel ini, Anda membuat VNet tunggal yang disederhanakan dengan dua subnet untuk memudahkan penyebaran.

Untuk penyebaran produksi, disarankan hub dan model spoke, dengan firewall berada di VNetnya sendiri. Server beban kerja berada di VNet yang di-peering di wilayah yang sama dengan satu atau beberapa subnet.

  • AzureFirewallSubnet - firewall ada di subnet ini.
  • Workload-SN - server beban kerja ada di subnet ini. Lalu lintas jaringan subnet ini melewati firewall.

Infrastruktur jaringan

Dalam artikel ini, Anda akan mempelajari cara:

  • Menyiapkan lingkungan jaringan uji
  • Menyebarkan firewall
  • Membuat rute default
  • Mengonfigurasi aturan aplikasi untuk membuka akses ke www.google.com
  • Mengonfigurasi aturan jaringan untuk memperbolehkan akses ke server DNS eksternal
  • Mengonfigurasi aturan NAT untuk membuka akses desktop jarak jauh ke server uji
  • Menguji firewall

Catatan

Artikel ini menggunakan aturan Firewall klasik untuk mengelola firewall. Metode yang dipilih adalah menggunakan Kebijakan Firewall. Untuk menyelesaikan tutorial ini menggunakan Kebijakan Firewall, lihat Tutorial: Menyebarkan dan mengonfigurasi Azure Firewall dan kebijakan menggunakan portal Microsoft Azure

Jika mau, Anda dapat melakukan prosedur ini menggunakan Azure PowerShell.

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Menyiapkan jaringan

Pertama, buat grup sumber daya untuk memuat sumber daya yang diperlukan untuk menyebarkan firewall. Kemudian buat VNet, subnet, dan server uji.

Membuat grup sumber daya

Grup sumber daya berisi semua sumber daya yang digunakan dalam prosedur ini.

  1. Masuk ke portal Microsoft Azure di https://portal.azure.com.
  2. Pada menu portal Microsoft Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya dari halaman mana pun. Kemudian pilih Buat.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk Nama grup sumber daya, jenis Test-FW-RG.
  5. Untuk Lokasi grup sumber daya, pilih lokasi. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama.
  6. Pilih Tinjau + buat.
  7. Pilih Buat.

Buat VNet

VNet ini akan memiliki dua subnet.

Catatan

Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi selengkapnya tentang ukuran subjaringan, lihat Tanya Jawab Umum Azure Firewall.

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.

  2. Pilih Jaringan>Jaringan virtual.

  3. Untuk Langganan, Pilih langganan Anda.

  4. Untuk Grup sumber daya, pilih Test-FW-RG.

  5. Untuk Nama, ketik Test-FW-VN.

  6. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.

  7. Pilih Selanjutnya: Alamat IP.

  8. Untuk Ruang Alamat IPv4, terima default 10.0.0.0/16.

  9. Di Nama subnet, pilih default.

  10. Untuk Nama subnet ubah ke AzureFirewallSubnet. Firewall akan berada di subnet ini, dan nama subnet harus AzureFirewallSubnet.

  11. Untuk Rentang alamat, ubah ke 10.0.1.0/26.

  12. Pilih Simpan.

    Selanjutnya, buat subnet untuk server beban kerja.

  13. Pilih Tambahkan Subnet.

  14. Untuk Nama subnet, ketik Workload-01-SN.

  15. Untuk Rentang alamat subnet, ketik 10.0.2.0/24.

  16. Pilih Tambahkan.

  17. Pilih Tinjau + buat.

  18. Pilih Buat.

Membuat komputer virtual

Sekarang buat komputer virtual beban kerja, dan tempatkan di subnet Workload-SN.

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.

  2. Pilih Pusat Data Windows Server 2019.

  3. Masukkan nilai-nilai ini untuk komputer virtual:

    Pengaturan Nilai
    Grup sumber daya Test-FW-RG
    Nama komputer virtual Srv-Work
    Wilayah Sama seperti sebelumnya
    Gambar Pusat data Windows Server 2019
    Nama pengguna administrator Ketik nama pengguna
    Kata sandi Ketik kata sandi
  4. Di bawah Aturan port masuk, Port masuk publik, pilih Tidak Ada.

  5. Terima default lainnya lalu pilih Berikutnya: Disk.

  6. Pakai default disk dan pilih Berikutnya : Jaringan.

  7. Pastikan bahwa Test-FW-VN dipilih untuk jaringan virtual dan subnetnya adalah Workload-SN.

  8. Untuk IP Publik, pilih Tidak ada.

  9. Pakai default yang lain dan kemudian pilih Berikutnya: Manajemen.

  10. Untuk Diagnostik boot, pilih Nonaktifkan untuk menonaktifkan diagnostik boot. Pakai default yang lain lalu pilih Tinjau + Buat.

  11. Tinjau ulang pengaturan pada halaman ringkasan, lalu pilih Buat.

  12. Setelah penyebaran selesai, pilih Srv-Work dan catat alamat IP privat yang perlu Anda gunakan nanti.

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak ditetapkan alamat IP publik atau berada di kumpulan back-end dasar internal Azure load balancer. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

Untuk informasi selengkapnya, lihat Akses keluar default di Azure.

IP akses keluar default dinonaktifkan saat alamat IP publik ditetapkan ke VM atau VM di tempatkan di kumpulan back-end standar load balancer, dengan atau tanpa aturan keluar. Jika sumber daya gateway Terjemahan alamat jaringan (NAT) Azure Virtual Network ditetapkan ke subnet mesin virtual, IP akses keluar default dinonaktifkan.

VM yang dibuat oleh set skala mesin virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya terkait koneksi keluar di Azure, lihat NAT Sumber (SNAT) untuk koneksi keluar.

Menyebarkan firewall

Menerapkan firewall ke VNet.

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.

  2. Ketik firewall di kotak pencarian dan tekan Enter.

  3. Pilih Firewall lalu pilih Buat.

  4. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan <langganan Anda>
    Grup sumber daya Test-FW-RG
    Nama Test-FW01
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya
    Tingkat firewall Standar
    Manajemen firewall Gunakan aturan Firewall (klasik) untuk mengelola firewall ini
    Pilih jaringan virtual Gunakan yang ada: Test-FW-VN
    Alamat IP Publik Tambah yang baru
    Nama: fw-pip
  5. Terima default lainnya lalu pilih Tinjau + Buat.

  6. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Ini akan memakan waktu beberapa menit untuk penyebaran.

  7. Setelah penyebaran selesai, buka grup sumber daya Test-FW-RG, dan pilih firewall FW01.

  8. Catat alamat IP pribadi dan publik firewall. Anda akan menggunakan alamat ini nanti.

Membuat rute default

Saat membuat rute untuk konektivitas keluar dan masuk melalui firewall, rute default ke 0.0.0.0/0 dengan IP pribadi alat virtual sebagai lompatan berikutnya sudah cukup. Ini akan mengurus koneksi keluar dan masuk untuk melalui firewall. Sebagai contoh, jika firewall memenuhi handshake TCP dan menanggapi permintaan yang masuk, maka respons diarahkan ke alamat IP yang mengirim lalu lintas. Ini memang disengaja.

Akibatnya, tidak perlu membuat UDR tambahan untuk menyertakan rentang IP AzureFirewallSubnet. Hal ini dapat mengakibatkan koneksi terputus. Rute default asli sudah cukup.

Untuk subnet Workload-SN, konfigurasikan rute default keluar untuk melewati firewall.

  1. Pada menu portal Azure, pilih Buat sumber daya.
  2. Di bawah Jaringan, pilih Tabel rute.
  3. Untuk Langganan, Pilih langganan Anda.
  4. Untuk Grup sumber daya, pilih Test-FW-RG.
  5. Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
  6. Untuk Nama, ketik Firewall-rute.
  7. Pilih Tinjau + buat.
  8. Pilih Buat.

Setelah penyebaran selesai, pilih Buka sumber daya.

  1. Pada halaman Rute-Firewall, pilih Subnet lalu pilih Asosiasikan.

  2. Pilih Jaringan virtual>Test-FW-VN.

  3. Untuk Subnet, pilih Workload-SN. Pastikan Anda hanya memilih subnet Workload-SN untuk rute ini, jika tidak, firewall Anda tidak akan berfungsi dengan benar.

  4. PilihOK.

  5. Pilih Rute, lalu pilih Tambahkan.

  6. Untuk Nama rute, ketik fw-dg.

  7. Untuk Tujuan awalan alamat, pilih Alamat IP.

  8. Untuk Alamat IP tujuan/rentang CIDR, ketik 0.0.0.0/0.

  9. Untuk Jenis lompatan berikutnya, pilih Appliance virtual.

    Azure Firewall sebenarnya adalah layanan terkelola, tetapi appliance virtual berfungsi dalam situasi ini.

  10. Untuk Alamat lompatan berikutnya, ketikkan alamat IP privat firewall yang Anda catat sebelumnya.

  11. Pilih Tambahkan.

Mengonfigurasi aturan aplikasi

Ini adalah aturan aplikasi yang memungkinkan akses keluar ke www.google.com.

  1. Buka Test-FW-RG, dan pilih firewall Test-FW01.
  2. Pada halaman Test-FW01, di bawah Pengaturan, pilih Aturan (klasik) .
  3. Pilih tab kumpulan aturan aplikasi.
  4. Pilih Tambahkan kumpulan aturan aplikasi.
  5. Untuk Nama, ketik App-Coll01.
  6. Untuk Prioritas, ketik 200.
  7. Untuk Tindakan, pilih Izinkan.
  8. Di bawahAturan, Target FQDN, untuk Nama, ketik Allow-Google.
  9. Untuk Jenis sumber, pilih alamat IP.
  10. Untuk Sumber, ketikkan 10.0.2.0/24.
  11. Untuk Protokol, ketik http,https.
  12. Untuk Target FQDNS, ketik www.google.com
  13. Pilih Tambahkan.

Azure Firewall menyertakan koleksi aturan bawaan untuk FQDN infrastruktur yang diizinkan secara default. FQDN ini khusus untuk platform dan tidak dapat digunakan untuk tujuan lain. Untuk informasi selengkapnya, lihat FQDN Infrastruktur.

Mengonfigurasi aturan jaringan

Aturan jaringan membuka akses keluar ke dua alamat IP di port 53 (DNS).

  1. Pilih tab Kumpulan aturan Jaringan.

  2. Pilih Tambahkan kumpulan aturan jaringan.

  3. Untuk Nama, ketik Net-Coll01.

  4. Untuk Prioritas, ketik 200.

  5. Untuk Tindakan, pilih Izinkan.

  6. Di bawah Aturan,Alamat IP, untuk Nama ketik Perbolehkan-DNS.

  7. Untuk Protokol, pilih UDP.

  8. Untuk Jenis sumber, pilih alamat IP.

  9. Untuk Sumber, ketikkan 10.0.2.0/24.

  10. Untuk Jenis tujuan, pilih Alamat IP.

  11. Untuk Alamat tujuan, ketik 209.244.0.3,209.244.0.4

    Ini adalah server DNS publik yang dioperasikan oleh Tingkat3.

  12. Untuk Port Tujuan, ketik 53.

  13. Pilih Tambahkan.

Mengonfigurasi aturan DNAT

Aturan ini memungkinkan Anda menyambungkan desktop jarak jauh ke mesin virtual Srv-Work melalui firewall.

  1. Pilih tab Kumpulan aturan Jaringan.
  2. Pilih Tambahkan kumpulan aturan NAT.
  3. Untuk Nama, ketik rdp.
  4. Untuk Prioritas, ketik 200.
  5. Di bawah Aturan, untuk Nama, ketik rdp-nat.
  6. Untuk Protokol, pilih TCP.
  7. Untuk Jenis sumber, pilih alamat IP.
  8. Untuk Sumber, ketik * .
  9. Untuk Alamat Tujuan, ketik alamat IP publik firewall.
  10. Untuk Port Tujuan, jenis 3389.
  11. Untuk Alamat terjemahan, ketik alamat IP privat Srv-work.
  12. Untuk Port terjemahan, ketik 3389.
  13. Pilih Tambahkan.

Ubah alamat DNS utama dan sekunder untuk antarmuka jaringan Srv-Work

Untuk tujuan pengujian dalam tutorial ini, konfigurasikan alamat DNS utama dan sekunder server. Ini bukan persyaratan umum Azure Firewall.

  1. Pada menu portal Microsoft Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya dari halaman mana pun. Pilih grup sumber daya Test-FW-RG.
  2. Pilih antarmuka jaringan untuk komputer virtual Srv-Work.
  3. Di bawah Pengaturan, pilih Server DNS.
  4. Di bawah Server DNS, pilih Kustom.
  5. Ketik 209.244.0.3 di kotak teks Tambahkan server DNS, dan 209.244.0.4 di kotak teks berikutnya.
  6. Pilih Simpan.
  7. Menghidupkan ulang komputer virtual Srv-Work.

Menguji firewall

Sekarang, uji firewall untuk mengonfirmasi bahwa firewall bekerja seperti yang diharapkan.

  1. Menyambungkan desktop jarak jauh ke alamat IP publik firewall dan masuk ke mesin virtual Srv-Work.

  2. Buka Internet Explorer dan telusuri https://www.google.com.

  3. Pilih OK>Tutup pada pemberitahuan keamanan Internet Explorer.

    Anda akan melihat halaman beranda Google.

  4. Telusuri https://www.microsoft.com.

    Anda akan diblokir oleh firewall.

Jadi sekarang Anda telah memverifikasi bahwa aturan firewall berfungsi:

  • Anda dapat membuat sambungan ke mesin virtual menggunakan RDP.
  • Anda dapat menjelajah ke FQDN yang diizinkan, tetapi tidak ke yang lainnya.
  • Anda bisa menyelesaikan nama DNS menggunakan server DNS eksternal yang dikonfigurasi.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall untuk pengujian lebih lanjut, atau jika tidak diperlukan lagi, hapus grup sumber daya Test-FW-RG untuk menghapus semua sumber daya yang terkait firewall.

Langkah berikutnya

Tutorial: Memantau log Azure Firewall