Tutorial: Menyebarkan dan mengonfigurasi Azure Firewall dan kebijakan dengan menggunakan portal Microsoft Azure

Mengontrol akses jaringan keluar adalah bagian penting dari rencana keamanan jaringan secara keseluruhan. Misalnya, Anda mungkin ingin membatasi akses ke situs web. Atau, Anda mungkin ingin membatasi alamat IP keluar dan port yang dapat diakses.

Anda dapat mengontrol akses jaringan keluar dari subnet Azure dengan menggunakan Azure Firewall dan Kebijakan Firewall. Dengan menggunakan Azure Firewall dan Kebijakan Firewall, Anda dapat mengonfigurasi:

  • Aturan aplikasi yang mendefinisikan nama domain yang sepenuhnya memenuhi syarat (FQDN), yang dapat diakses dari subnet.
  • Aturan jaringan yang menentukan alamat sumber, protokol, port tujuan, dan alamat tujuan.

Lalu lintas jaringan dikenakan aturan firewall yang dikonfigurasi saat Anda merutekan lalu lintas jaringan Anda ke firewall sebagai gerbang default untuk subnet.

Untuk tutorial ini, Anda membuat jaringan virtual tunggal (VNet) yang disederhanakan dengan dua subnet untuk penyebaran yang mudah.

  • AzureFirewallSubnet - firewall ada di subnet ini.
  • Workload-SN - server beban kerja ada di subnet ini. Lalu lintas jaringan subnet ini melewati firewall.

Diagram yang memperlihatkan infrastruktur jaringan firewall.

Untuk penyebaran produksi, gunakan model hub dan spoke, di mana firewall berada di VNet-nya sendiri. Server untuk beban kerja berada di Jaringan Virtual (VNets) yang dihubungkan dengan satu atau lebih subnet di wilayah yang sama.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Menyiapkan lingkungan jaringan uji
  • Mengonfigurasi firewall dan kebijakannya
  • Buat rute default
  • Mengonfigurasi aturan aplikasi untuk mengizinkan akses ke www.google.com
  • Mengonfigurasi aturan jaringan untuk membuka akses ke server DNS eksternal
  • Mengonfigurasi aturan NAT untuk mengizinkan akses HTTP masuk ke server pengujian
  • Menguji firewall

Jika mau, Anda dapat menyelesaikan prosedur ini dengan menggunakan Azure PowerShell.

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Siapkan jaringan

Pertama, buat grup sumber daya untuk memuat sumber daya yang diperlukan untuk menyebarkan firewall. Kemudian buat jaringan virtual, subnet, dan server pengujian.

Buat grup sumber daya

Grup sumber daya berisi semua sumber daya untuk tutorial ini.

  1. Masuk ke portal Azure.

  2. Pada menu portal Microsoft Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya dari halaman mana pun, lalu pilih Buat. Masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Masukkan Test-FW-RG.
    Wilayah Pilih wilayah. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama.

  3. Pilih Tinjau + buat>Buat.

Membuat VNet

VNet ini memiliki dua subnet.

Catatan

Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi lebih tentang ukuran subnet, lihat Tanya Jawab Umum Azure Firewall.

  1. Pada menu portal Microsoft Azure atau dari Beranda, pilih Buat sumber daya, cari Jaringan virtual, dan pilih Buat.

  2. Masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Test-FW-RG.
    Nama Masukkan Test-FW-VN.
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya

  3. Pilih Berikutnya dua kali untuk masuk ke tab alamat IP .

  4. Untuk Ruang Alamat IPv4, terima sebagai default 10.0.0.0/16.

  5. Di bawah Subnet, pilih default. Pada panel Edit subnet , atur tujuan Subnet ke Azure Firewall.

    Firewall berada di subnet ini, dan nama subnet harus AzureFirewallSubnet.

  6. Untuk Alamat awal, ketik 10.0.1.0, lalu pilih Simpan.

  7. Pilih Tambahkan subnet dan masukkan nilai berikut, lalu pilih Tambahkan:

    Pengaturan Nilai
    Nama subnet Workload-SN
    Alamat awal 10.0.2.0/24

  8. Pilih Tinjau + buat>Buat.

Sebarkan Azure Bastion

Sebarkan edisi Pengembang Azure Bastion untuk terhubung dengan aman ke komputer virtual Srv-Work untuk pengujian.

  1. Di kotak pencarian di bagian atas portal, masukkan Bastion dan pilih Bastions dari hasil. Pilih Buat dan masukkan nilai berikut:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Test-FW-RG.
    Rincian contoh
    Nama Masukkan Test-Bastion.
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya
    Tier Pilih Pengembang.
    Jaringan virtual Pilih Test-FW-VN.
    Subnet AzureBastionSubnet dibuat secara otomatis dengan ruang alamat 10.0.0.0/26.

  2. Pilih Tinjau + buat>Buat.

    Penyebaran membutuhkan waktu beberapa menit untuk selesai.

Membuat mesin virtual

Buat komputer virtual beban kerja dan letakkan di subnet Workload-SN .

  1. Dalam kotak pencarian di bagian atas portal, masukkan Komputer virtual, pilih Komputer virtual, lalu pilih Buat>Komputer virtual.

  2. Masukkan atau pilih nilai-nilai ini untuk komputer virtual:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Test-FW-RG.
    Rincian contoh
    Nama komputer virtual Masukkan Srv-Work.
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya
    Opsi ketersediaan Pilih Tidak diperlukan redundansi infrastruktur.
    Jenis keamanan Pilih Standar.
    Gambar Pilih Ubuntu Server 24.04 LTS -x64 Gen2
    Ukuran Pilih ukuran untuk komputer virtual.
    Akun administrator
    Nama Pengguna Masukkan azureuser.
    Sumber kunci publik SSH Pilih Buat pasangan kunci baru.
    Nama pasangan kunci Masukkan Srv-Work_key.

  3. Di bawah Aturan port masuk, atur Port masuk publik ke Tidak Ada.

  4. Terima default lainnya, dan pada tab Jaringan, pastikan Test-FW-VN / dipilih dan IP Publiktidak ada.

  5. Pilih Tinjau + buat>Buat. Saat diminta, pilih Unduh kunci privat dan buat sumber daya dan simpan file kunci.

  6. Setelah penyebaran selesai, catat alamat IP privat Srv-Work untuk digunakan nanti.

Menginstal server web

Sambungkan ke komputer virtual dan instal server web untuk pengujian.

  1. Di grup sumber daya Test-FW-RG , pilih komputer virtual Srv-Work .

  2. PilihPerintah>Jalankan Operasi>RunShellScript, masukkan perintah berikut, lalu pilih Jalankan:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<html><body><h1>Azure Firewall DNAT Test</h1><p>If you can see this page, the DNAT rule is working correctly!</p></body></html>" | sudo tee /var/www/html/index.html

  3. Tunggu hingga skrip berhasil diselesaikan.

Menyebarkan firewall dan kebijakan

Sebarkan firewall ke jaringan virtual.

  1. Pada menu portal Microsoft Azure atau dari Beranda, pilih Buat sumber daya, cari Firewall, dan pilih Buat.

  2. Pada Buat Firewall, gunakan tabel berikut untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Test-FW-RG.
    Rincian contoh
    Nama Masukkan Test-FW01.
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya
    Firewall Kode Produk Pilih Standar.
    Pengelolaan firewall Pilih Gunakan Kebijakan Firewall untuk mengelola firewall ini.
    Kebijakan Firewall Pilih Tambahkan baru, dan masukkan fw-test-pol.
    Pilih wilayah yang sama dengan yang Anda gunakan sebelumnya. Pilih OK.
    Pilih jaringan virtual Pilih Gunakan yang sudah ada, lalu pilih Test-FW-VN. Abaikan peringatan tentang Penerowongan Paksa. Peringatan diselesaikan di langkah selanjutnya.
    Alamat IP publik Pilih Tambahkan baru, dan masukkan fw-pip untuk Nama. Pilih OK.

  3. Kosongkan kotak centang Aktifkan NIC Manajemen Firewall , terima nilai default lainnya, lalu pilih Tinjau + buat>Buat.

    Proses ini membutuhkan waktu beberapa menit untuk disebarkan.

  4. Setelah penyebaran selesai, buka Test-FW-RG, pilih firewall Test-FW01 , dan perhatikan alamat IP privat dan publik untuk digunakan nanti.

Buat rute default

Untuk subnet Workload-SN, konfigurasikan rute default keluar untuk melewati firewall.

  1. Cari dan pilih Tabel rute, pilih Buat, dan masukkan nilai berikut:

    Pengaturan Nilai
    Detail proyek
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Test-FW-RG.
    Rincian contoh
    Nama Masukkan Firewall-route.
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya

  2. Pilih Tinjau + buat>Buat.

Setelah penempatan selesai, pilih Go to resource.

  1. Pada panel Rute firewall, di bawah Pengaturan, pilih Subnet>Kaitkan.

  2. Untuk Jaringan virtual, pilih Test-FW-VN, dan untuk Subnet, pilih Workload-SN. Pilih OK.

  3. Pilih Tambahkan Rute>, dan masukkan nilai berikut:

    Pengaturan Nilai
    Nama rute fw-dg
    Jenis tujuan Alamat IP
    Awalan alamat IP tujuan/rentang CIDR 0.0.0.0/0
    Jenis lompatan berikutnya Perangkat virtual
    Alamat lompatan selanjutnya Alamat IP privat untuk firewall yang Anda catat sebelumnya

    Catatan

    Azure Firewall sebenarnya adalah layanan terkelola, tetapi appliance virtual berfungsi dalam situasi ini.

  4. Pilih Tambahkan.

Mengonfigurasi aturan aplikasi

Aturan aplikasi ini memberikan akses keluar ke www.google.com.

  1. Buka grup sumber daya Test-FW-RG, dan pilih kebijakan firewall fw-test-pol.

  2. Di bawahAturan>, pilih Aturan> aplikasiTambahkan kumpulan aturan.

  3. Masukkan nilai berikut:

    Pengaturan Nilai
    Nama App-Coll01
    Prioritas 200
    Aksi pengumpulan aturan Izinkan
    Aturan
    Nama Izinkan Google
    Jenis sumber Alamat IP
    Sumber 10.0.2.0/24
    Protokol:port http, https
    Jenis Tujuan FQDN
    Tujuan www.google.com

  4. Pilih Tambahkan.

Azure Firewall menyertakan kumpulan aturan bawaan untuk FQDN infrastruktur yang diizinkan secara default. FQDN ini khusus untuk platform dan tidak dapat digunakan untuk tujuan lain. Untuk informasi selengkapnya, lihat FQDN Infrastruktur.

Tunggu hingga penyebaran aturan aplikasi selesai sebelum melanjutkan.

Konfigurasi aturan jaringan

Aturan jaringan ini memberikan akses keluar ke dua alamat IP di port 53 (DNS).

  1. Pilih Aturan> jaringanTambahkan kumpulan aturan.

  2. Masukkan nilai berikut:

    Pengaturan Nilai
    Nama Net-Coll01
    Prioritas 200
    Aksi pengumpulan aturan Izinkan
    Kelompok koleksi aturan DefaultNetworkRuleCollectionGroup
    Aturan
    Nama Izinkan-DNS
    Jenis sumber Alamat IP
    Sumber 10.0.2.0/24
    Protokol UDP
    Port Tujuan 53
    Jenis tujuan Alamat IP
    Tujuan 209.244.0.3,209.244.0.4 (server DNS publik yang dioperasikan oleh CenturyLink)

  3. Pilih Tambahkan.

Tunggu hingga penyebaran aturan jaringan selesai sebelum melanjutkan.

Mengonfigurasi aturan DNAT

Aturan ini tersambung ke server web pada komputer virtual Srv-Work melalui firewall.

  1. Pilih aturan >Tambahkan kumpulan aturan.

  2. Masukkan nilai berikut:

    Pengaturan Nilai
    Nama HTTP
    Prioritas 200
    Kelompok koleksi aturan DefaultDnatRuleCollectionGroup
    Aturan
    Nama http-nat
    Jenis sumber Alamat IP
    Sumber *
    Protokol TCP
    Port Tujuan 80
    Tujuan Alamat IP publik firewall
    Jenis Terjemahan Alamat IP
    Alamat yang diterjemahkan Alamat IP privat Srv-Work
    Port yang diterjemahkan 80

  3. Pilih Tambahkan.

Ubah alamat DNS utama dan sekunder untuk antarmuka jaringan Srv-Work

Untuk tujuan pengujian dalam tutorial ini, konfigurasikan alamat DNS utama dan sekunder server. Konfigurasi ini bukan persyaratan Azure Firewall umum.

  1. Di grup sumber daya Test-FW-RG , pilih antarmuka jaringan untuk komputer virtual Srv-Work .
  2. Di bawah Pengaturan, pilih server DNS>Kustom.
  3. Masukkan 209.244.0.3 dan 209.244.0.4 sebagai server DNS, lalu pilih Simpan.
  4. Menghidupkan ulang komputer virtual Srv-Work.

Menguji firewall

Sekarang, uji firewall untuk mengonfirmasi bahwa firewall bekerja seperti yang diharapkan.

Menguji aturan DNAT

  1. Di browser web di komputer lokal Anda, masukkan http://<firewall-public-ip-address>.
  2. Anda melihat halaman web kustom: Uji DNAT Azure Firewall. Ini mengonfirmasi bahwa aturan DNAT berfungsi.

Menguji aplikasi dan aturan jaringan

Gunakan Azure Bastion untuk menyambungkan dengan aman ke komputer virtual Srv-Work dan uji aturan firewall.

  1. Di grup sumber daya Test-FW-RG , pilih komputer virtual Srv-Work , lalu pilih Sambungkan>melalui Bastion.

  2. Pada halaman Bastion, masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Jenis Autentikasi Pilih Kunci Privat SSH dari File Lokal.
    Nama Pengguna Masukkan azureuser.
    File Lokal Pilih Telusuri dan pilih file Srv-Work_key.pem yang Anda unduh selama pembuatan VM.

  3. Pilih Sambungkan.

    Tab browser baru terbuka dengan sesi SSH ke komputer virtual Srv-Work .

  4. Di sesi SSH, masukkan perintah berikut untuk menguji akses ke Google:

    curl -I https://www.google.com

    Anda melihat respons HTTP yang berhasil (200 OK), menunjukkan bahwa aturan aplikasi mengizinkan akses ke Google.

  5. Sekarang uji akses ke Microsoft, yang harus diblokir. Masuk:

    curl -I https://www.microsoft.com

    Perintah kehabisan waktu atau gagal setelah sekitar 60 detik, menunjukkan bahwa firewall memblokir akses.

Sekarang Anda memverifikasi bahwa aturan firewall berfungsi:

  • Anda dapat mengakses server web melalui aturan DNAT.
  • Anda dapat menjelajahi satu-satunya FQDN yang diizinkan, tetapi tidak ke yang lainnya.
  • Anda dapat mengatasi nama DNS dengan menggunakan server DNS eksternal yang dikonfigurasi.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall Anda untuk tutorial berikutnya. Jika Anda tidak lagi membutuhkannya, hapus grup sumber daya Test-FW-RG untuk menghapus semua sumber daya terkait firewall.

Langkah berikutnya

Menyebarkan dan mengonfigurasi Azure Firewall Premium

  • Last updated on