Menyebarkan dan mengonfigurasi Azure Firewall Premium

Azure Firewall Premium adalah firewall generasi berikutnya dengan kemampuan yang diperlukan untuk lingkungan yang sangat sensitif dan teregulasi. Ini termasuk fitur-fitur berikut:

  • Inspeksi TLS - mendekripsi lalu lintas keluar, memproses data, kemudian mengenkripsi data dan mengirimkannya ke tujuan.
  • IDPS - Sistem deteksi dan pencegahan intrusi jaringan (IDPS) yang dapat Anda gunakan untuk memantau aktivitas jaringan untuk aktivitas berbahaya, mencatat informasi tentang aktivitas ini, melaporkannya, dan secara opsional mencoba memblokirnya.
  • Pemfilteran URL - memperluas kemampuan pemfilteran FQDN Azure Firewall untuk mempertimbangkan seluruh URL. Misalnya, www.contoso.com/a/c daripada www.contoso.com.
  • Kategori web - administrator dapat mengizinkan atau menolak akses pengguna ke kategori situs web seperti situs web perjudian, situs web media sosial, dan lainnya.

Untuk informasi selengkapnya, lihat fitur Azure Firewall Premium.

Gunakan templat untuk menyebarkan lingkungan pengujian yang memiliki jaringan virtual pusat (10.0.0.0/16) dengan tiga subnet:

  • Subnet pekerja (10.0.10.0/24)
  • Subnet Azure Bastion (10.0.20.0/24)
  • Subnet firewall (10.0.100.0/24)

Penting

Harga per jam dimulai sejak Bastion dikerahkan, terlepas dari penggunaan data keluar. Untuk informasi selengkapnya, lihat Harga dan SKU. Jika Anda menyebarkan Bastion sebagai bagian dari tutorial atau pengujian, kami sarankan Anda menghapus sumber daya ini setelah Selesai menggunakannya.

Satu jaringan virtual pusat digunakan di lingkungan pengujian ini untuk kesederhanaan. Untuk tujuan produksi, topologi hub dan spoke dengan jaringan virtual yang di-peering lebih umum.

Diagram memperlihatkan jaringan virtual pusat dengan subnet pekerja, Bastion, dan firewall.

Mesin virtual pekerja adalah klien yang mengirim permintaan HTTP/S melalui firewall.

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Menerapkan infrastruktur

Templat menyebarkan lingkungan pengujian lengkap untuk Azure Firewall Premium yang diaktifkan dengan IDPS, Inspeksi TLS, Pemfilteran URL, dan Kategori Web:

  • Kebijakan Azure Firewall Premium dan Firewall baru dengan pengaturan yang telah ditentukan sebelumnya untuk memungkinkan validasi kemampuan intinya yang mudah (IDPS, Inspeksi TLS, Pemfilteran URL, dan Kategori Web).
  • Semua dependensi, termasuk Key Vault dan Identitas Terkelola. Di lingkungan produksi, Anda mungkin sudah memiliki sumber daya ini dan tidak membutuhkannya dalam templat yang sama.
  • CA Akar yang ditandatangani sendiri, dihasilkan dan disebarkan pada Key Vault yang dibuat.
  • CA Menengah turunan yang dihasilkan dan disebarkan pada mesin virtual pengujian di Windows (WorkerVM).
  • Host Bastion (BastionHost) juga disebarkan dan Anda dapat menggunakannya untuk terhubung ke mesin pengujian Windows (WorkerVM).

Tombol untuk menyebarkan templat Resource Manager ke Azure.

Menguji firewall

Sekarang Anda dapat menguji IDPS, Inspeksi TLS, pemfilteran Web, dan kategori Web.

Tambah setelan diagnostik firewall

Untuk mengumpulkan log firewall, tambahkan pengaturan diagnostik untuk mengumpulkan log firewall.

  1. Pilih DemoFirewall. Pada Pemantauan, pilih Pengaturan diagnostik.
  2. Pilih Menambahkan pengaturan diagnostik.
  3. Untuk Nama pengaturan diagnostik, masukkan fw-diag.
  4. Di bawah log, pilih AzureFirewallApplicationRule dan AzureFirewallNetworkRule.
  5. Di bawah Detail tujuan, pilih Kirim ke Log Analytics.
  6. Pilih Simpan.

Tes IDPS

Untuk menguji IDPS, sebarkan server web pengujian internal Anda sendiri dengan sertifikat server yang sesuai. Pengujian ini mencakup pengiriman lalu lintas berbahaya ke server web, jadi jangan lakukan pengujian ini di server web publik. Untuk mempelajari selengkapnya tentang persyaratan sertifikat Azure Firewall Premium, lihat Sertifikat Azure Firewall Premium.

Gunakan curl untuk mengontrol berbagai header HTTP dan mensimulasikan lalu lintas berbahaya.

Untuk menguji IDPS untuk lalu lintas HTTP

  1. Pada mesin virtual WorkerVM, buka jendela prompt perintah administrator.

  2. Pada prompt perintah, jalankan perintah berikut ini:

    curl -A "HaxerMen" <your web server address>

  3. Anda melihat respons server web Anda.

  4. Buka log aturan Jaringan Firewall di portal Microsoft Azure untuk menemukan pemberitahuan yang mirip dengan pesan berikut ini:

    { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS:
USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Trojan was
detected”}

    Catatan

    Perlu waktu bagi data untuk mulai ditampilkan di log. Berikan setidaknya beberapa menit untuk memungkinkan log mulai menampilkan data.

  5. Tambahkan aturan tanda tangan untuk tanda tangan 2032081:

    1. Pilih DemoFirewallPolicy dan di bawah Pengaturan pilih IDPS.
    2. Pilih tab Aturan tanda tangan.
    3. Di bawah ID Tanda Tangan, di kotak teks yang terbuka ketik 2032081.
    4. Di bawah Mode,pilih Tolak.
    5. Pilih Simpan.
    6. Tunggu hingga penyebaran selesai sebelum melanjutkan.

  6. Pada WorkerVM, jalankan perintah curl lagi:

    curl -A "HaxerMen" <your web server address>

    Karena permintaan HTTP sekarang diblokir oleh firewall, Anda akan melihat output berikut setelah batas waktu koneksi kedaluwarsa:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Buka log Monitor di portal Microsoft Azure dan temukan pesan untuk permintaan yang diblokir.

Untuk menguji IDPS untuk lalu lintas HTTP

Ulangi tes curl ini menggunakan HTTPS, bukan HTTP. Contohnya:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

Anda melihat hasil yang sama dengan pengujian HTTP.

Inspeksi TLS dengan pemfilteran URL

Gunakan langkah-langkah berikut untuk menguji Inspeksi TLS dengan pemfilteran URL.

  1. Edit aturan aplikasi kebijakan firewall dan tambahkan aturan baru bernama AllowURL ke AllowWeb kumpulan aturan. Konfigurasikan URL www.nytimes.com/section/worldtarget, alamat *IP sumber, URL jenis tujuan, pilih Inspeksi TLS, dan protokol http, https.

  2. Setelah penyebaran selesai, buka browser di WorkerVM dan buka https://www.nytimes.com/section/world. Validasi bahwa respons HTML ditampilkan seperti yang diharapkan di browser.

  3. Di portal Microsoft Azure, Anda dapat melihat seluruh URL dalam log Pemantauan aturan aplikasi:

    Pesan pemberitahuan memperlihatkan URL

Beberapa halaman HTML mungkin terlihat tidak lengkap karena merujuk ke URL lain yang ditolak. Untuk mengatasi masalah ini, gunakan pendekatan berikut:

  • Jika halaman HTML berisi tautan ke domain lain, tambahkan domain ini ke aturan aplikasi baru yang memberikan akses ke FQDN ini.

  • Jika halaman HTML berisi tautan ke sub URL, ubah aturan dan tambahkan tanda bintang ke URL. Misalnya: targetURLs=www.nytimes.com/section/world*

    Atau, tambahkan URL baru ke aturan. Contohnya:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Pengujian kategori web

Buat aturan aplikasi untuk mengizinkan akses ke situs web olahraga.

  1. Dari portal, buka grup sumber daya Anda dan pilih DemoFirewallPolicy.

  2. Pilih Aturan Aplikasi, lalu pilih Tambahkan kumpulan aturan.

  3. Untuk Nama, masukkan GeneralWeb. Masukkan 103 untuk Prioritas. Untuk Grup kumpulan aturan, pilih DefaultApplicationRuleCollectionGroup.

  4. Di bawah Aturan, masukkan AllowSports untuk Nama. Masukkan * untuk Sumber. Masukkan http, https untuk Protokol. Pilih Inspeksi TLS. Untuk Jenis Tujuan, pilih Kategori web. Untuk Tujuan, pilih Olahraga.

  5. Pilih Tambahkan.

  6. Setelah penyebaran selesai, buka WorkerVM, buka browser web, dan telusuri ke https://www.nfl.com.

    Anda melihat halaman web NFL, dan log aturan aplikasi menunjukkan bahwa aturan Kategori Web: Olahraga cocok dan permintaan diizinkan.

Langkah berikutnya

  • Last updated on