Menyebarkan dan mengonfigurasi Azure Firewall menggunakan portal Microsoft Azure
Mengontrol akses jaringan keluar adalah bagian penting dari rencana keamanan jaringan secara keseluruhan. Misalnya, Anda mungkin ingin membatasi akses ke situs web. Atau, Anda mungkin ingin membatasi alamat IP keluar dan port yang dapat diakses.
Salah satu cara Anda dapat mengontrol akses jaringan keluar dari subnet Azure adalah dengan Azure Firewall. Dengan Azure Firewall, Anda dapat mengonfigurasi:
- Aturan aplikasi yang mendefinisikan nama domain yang sepenuhnya memenuhi syarat (FQDN), yang dapat diakses dari subnet.
- Aturan jaringan yang menentukan alamat sumber, protokol, port tujuan, dan alamat tujuan.
Lalu lintas jaringan tunduk pada aturan firewall yang dikonfigurasi saat Anda merutekan lalu lintas jaringan Anda ke firewall sebagai gateway default subnet.
Untuk artikel ini, Anda membuat jaringan virtual tunggal yang disederhanakan dengan dua subnet untuk penyebaran yang mudah.
Untuk penyebaran produksi, model hub dan spoke direkomendasikan, di mana firewall berada di jaringan virtualnya sendiri. Server beban kerja berada di jaringan virtual yang di-peering di wilayah yang sama dengan satu atau beberapa subnet.
- AzureFirewallSubnet - firewall ada di subnet ini.
- Workload-SN - server beban kerja ada di subnet ini. Lalu lintas jaringan subnet ini melewati firewall.
Dalam artikel ini, Anda akan mempelajari cara:
- Menyiapkan lingkungan jaringan uji
- Menyebarkan firewall
- Buat rute default
- Mengonfigurasi aturan aplikasi untuk mengizinkan akses ke www.google.com
- Mengonfigurasi aturan jaringan untuk membuka akses ke server DNS eksternal
- Mengonfigurasi aturan NAT untuk membuka akses desktop jarak jauh ke server uji
- Menguji firewall
Catatan
Tutorial ini menggunakan aturan Firewall klasik untuk mengelola firewall. Metode yang dipilih adalah menggunakan Kebijakan Firewall. Untuk menyelesaikan tutorial ini menggunakan Kebijakan Firewall, lihat Tutorial: Menyebarkan dan mengonfigurasi Azure Firewall dan kebijakan menggunakan portal Microsoft Azure
Jika berkenan, Anda dapat menyelesaikan prosedur ini menggunakan Azure PowerShell.
Prasyarat
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
Siapkan jaringan
Pertama, buat grup sumber daya untuk memuat sumber daya yang diperlukan untuk menyebarkan firewall. Kemudian buat jaringan virtual, subnet, dan server pengujian.
Buat grup sumber daya
Grup sumber daya berisi semua sumber daya yang digunakan dalam prosedur ini.
- Masuk ke portal Azure.
- Pada menu portal Microsoft Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya dari halaman mana pun. Lalu pilih Buat.
- Untuk Langganan, Pilih langganan Anda.
- Untuk Nama grup sumber daya, jenis Test-FW-RG.
- Untuk Wilayah, pilih wilayah. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama.
- Pilih Tinjau + buat.
- Pilih Buat.
Membuat jaringan virtual
Jaringan virtual ini memiliki dua subnet.
Catatan
Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi lebih tentang ukuran subnet, lihat Tanya Jawab Umum Azure Firewall.
- Pada menu portal Azure atau dari halaman Beranda, cari Jaringan virtual.
- Pilih Jaringan virtual di panel hasil.
- Pilih Buat.
- Untuk Langganan, Pilih langganan Anda.
- Untuk Grup sumber daya, pilih Test-FW-RG.
- Untuk Nama jaringan virtual, ketik Test-FW-VN.
- Untuk Wilayah, pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
- Pilih Selanjutnya.
- Pada tab Keamanan , pilih Aktifkan Azure Firewall.
- Untuk nama Azure Firewall, ketik Test-FW01.
- Untuk alamat IP publik Azure Firewall, pilih Buat alamat IP publik.
- Untuk Nama, ketik fw-pip dan pilih OK.
- Pilih Selanjutnya.
- Untuk Ruang alamat, terima default 10.0.0.0/16.
- Di bawah Subnet, pilih default dan ubah Nama menjadi Workload-SN.
- Untuk Alamat awal, ubah ke 10.0.2.0/24.
- Pilih Simpan.
- Pilih Tinjau + buat.
- Pilih Buat.
Catatan
Azure Firewall menggunakan IP publik sesuai kebutuhan berdasarkan port yang tersedia. Setelah memilih IP publik secara acak untuk menyambungkan keluar, IP publik berikutnya hanya akan digunakan setelah tidak ada lagi koneksi yang dapat dibuat dari IP publik saat ini. Dalam skenario dengan volume lalu lintas dan throughput yang tinggi, disarankan untuk menggunakan NAT Gateway untuk menyediakan konektivitas keluar. Port SNAT dialokasikan secara dinamis di semua IP publik yang terkait dengan NAT Gateway. Untuk mempelajari selengkapnya, lihat mengintegrasikan NAT Gateway dengan Azure Firewall.
Membuat mesin virtual
Sekarang buat komputer virtual beban kerja, dan tempatkan di subnet Workload-SN.
Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.
Pilih Pusat Data Windows Server 2019.
Masukkan nilai ini untuk komputer virtual:
Pengaturan Nilai Grup sumber daya Test-FW-RG Nama komputer virtual Srv-Work Wilayah Sama seperti sebelumnya Gambar Pusat data Windows Server 2019 Nama pengguna administrator Ketik nama pengguna Kata sandi Ketik kata sandi Di bawah Aturan port masuk, Port masuk publik, pilih Tidak Ada.
Terima default lainnya lalu pilih Berikutnya: Disk.
Pakai default disk dan pilih Berikutnya : Jaringan.
Pastikan bahwa Test-FW-VN dipilih untuk jaringan virtual dan subnetnya adalah Workload-SN.
Untuk IP Publik, pilih Tidak Ada.
Pakai default yang lain dan kemudian pilih Berikutnya: Manajemen.
Terima default dan pilih Berikutnya: Pemantauan.
Untuk Diagnostik boot, pilih Nonaktifkan untuk menonaktifkan diagnostik boot. Pakai default yang lain lalu pilih Tinjau + Buat.
Tinjau ulang pengaturan pada halaman ringkasan, lalu pilih Buat.
Setelah penyebaran selesai, pilih Buka sumber daya dan perhatikan alamat IP privat Srv-Work yang perlu Anda gunakan nanti.
Catatan
Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di kumpulan backend load balancer Azure dasar internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.
IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:
- Alamat IP publik ditetapkan ke VM.
- VM ditempatkan di kumpulan backend load balancer standar, dengan atau tanpa aturan keluar.
- Sumber daya Azure NAT Gateway ditetapkan ke subnet VM.
VM yang Anda buat dengan menggunakan set skala komputer virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.
Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.
Memeriksa firewall
- Buka grup sumber daya dan pilih firewall.
- Catat alamat IP pribadi dan publik firewall. Anda menggunakan alamat ini nanti.
Buat rute default
Saat Anda membuat rute untuk konektivitas keluar dan masuk melalui firewall, rute default ke 0.0.0.0/0 dengan IP privat appliance virtual karena hop berikutnya sudah cukup. Ini mengarahkan koneksi keluar dan masuk melalui firewall. Sebagai contoh, jika firewall memenuhi handshake TCP dan menanggapi permintaan yang masuk, maka respons diarahkan ke alamat IP yang mengirim lalu lintas. Ini memang disengaja.
Akibatnya, tidak perlu membuat rute lain yang ditentukan pengguna untuk menyertakan rentang IP AzureFirewallSubnet. Ini mungkin mengakibatkan koneksi yang terputus. Rute default asli sudah cukup.
Untuk subnet Workload-SN, konfigurasikan rute default keluar untuk melewati firewall.
- Pada portal Azure cari tabel Rute.
- Pilih Tabel rute di panel hasil.
- Pilih Buat.
- Untuk Langganan, Pilih langganan Anda.
- Untuk Grup sumber daya, pilih Test-FW-RG.
- Untuk Wilayah, pilih lokasi yang Anda gunakan sebelumnya.
- Untuk Nama,ketik Firewall-rute.
- Pilih Tinjau + buat.
- Pilih Buat.
Setelah penyebaran selesai, pilih Buka sumber daya.
Pada halaman Rute-Firewall, pilih Subnet lalu pilih Asosiasikan.
Untuk Jaringan virtual, pilih Test-FW-VN.
Untuk Subnet, pilih Workload-SN. Pastikan Anda hanya memilih subnet Workload-SN untuk rute ini, jika tidak, firewall Anda tidak akan berfungsi dengan benar.
Pilih OK.
Pilih Rute, lalu pilih Tambahkan.
Untuk Nama rute,ketik fw-dg.
Untuk Jenis tujuan, pilih Alamat IP.
Untuk Alamat IP tujuan/rentang CIDR, ketik 0.0.0.0/0.
Untuk Jenis lompatan berikutnya, pilih Appliance virtual.
Azure Firewall sebenarnya adalah layanan terkelola, tetapi appliance virtual berfungsi dalam situasi ini.
Untuk Alamat lompatan berikutnya, ketikkan alamat IP privat firewall yang Anda catat sebelumnya.
Pilih Tambahkan.
Mengonfigurasi aturan aplikasi
Ini adalah aturan aplikasi yang memungkinkan akses keluar ke www.google.com
.
- Buka Test-FW-RG, dan pilih firewall Test-FW01.
- Pada halaman Test-FW01, di bawah Pengaturan,pilih Aturan (klasik).
- Pilih tab kumpulan aturan aplikasi.
- Pilih Tambahkan kumpulan aturan aplikasi.
- Untuk Nama, ketik App-Coll01.
- Untuk Prioritas, ketik 200.
- Untuk Tindakan, pilih Izinkan.
- Di bawahAturan, Target FQDN,untuk Nama,ketik Allow-Google.
- Untuk Jenis sumber, pilih alamat IP.
- Untuk Sumber, ketik 10.0.2.0/24.
- Untuk Protokol, ketik http,https.
- Untuk Target FQDNS,ketik
www.google.com
- Pilih Tambahkan.
Azure Firewall menyertakan kumpulan aturan bawaan untuk FQDN infrastruktur yang diizinkan secara default. FQDN ini khusus untuk platform dan tidak dapat digunakan untuk tujuan lain. Untuk informasi selengkapnya, lihat FQDN Infrastruktur.
Konfigurasi aturan jaringan
Aturan jaringan membuka akses keluar ke dua alamat IP di port 53 (DNS).
Pilih tab Kumpulan aturan Jaringan.
Pilih Tambahkan kumpulan aturan jaringan.
Untuk Nama,ketik Net-Coll01.
Untuk Prioritas, ketik 200.
Untuk Tindakan, pilih Izinkan.
Di bawah Aturan, Alamat IP, untuk Nama ketik Perbolehkan-DNS.
Untuk Protokol, pilih UDP.
Untuk Jenis sumber, pilih alamat IP.
Untuk Sumber, ketik 10.0.2.0/24.
Untuk Jenis tujuan, pilih Alamat IP.
Untuk Alamat tujuan, ketik 209.244.0.3,209.244.0.4
Ini adalah server DNS publik yang dioperasikan oleh Tingkat3.
Untuk Port Tujuan, ketik 53.
Pilih Tambahkan.
Mengonfigurasi aturan DNAT
Aturan ini memungkinkan Anda menyambungkan desktop jarak jauh ke mesin virtual Srv-Work melalui firewall.
- Pilih tab Kumpulan aturan Jaringan.
- Pilih Tambahkan kumpulan aturan NAT.
- Untuk Nama, ketik rdp.
- Untuk Prioritas, ketik 200.
- Di bawah Aturan, untuk Nama, ketik rdp-nat.
- Untuk Protokol, pilih TCP.
- Untuk Jenis sumber, pilih alamat IP.
- Untuk Sumber, ketik *.
- Untuk Alamat Tujuan,ketik alamat IP publik firewall.
- Untuk Port Tujuan, jenis 3389.
- Untuk Alamat yang diterjemahkan, ketik alamat IP privat Srv-work.
- Untuk Port terjemahan, ketik 3389.
- Pilih Tambahkan.
Ubah alamat DNS utama dan sekunder untuk antarmuka jaringan Srv-Work
Untuk tujuan pengujian dalam tutorial ini, konfigurasikan alamat DNS utama dan sekunder server. Ini bukan persyaratan umum Azure Firewall.
- Pada menu portal Microsoft Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya dari halaman mana pun. Pilih grup sumber daya Test-FW-RG.
- Pilih antarmuka jaringan untuk komputer virtual Srv-Work.
- Di bawah Pengaturan, pilih Server DNS.
- Di bawah Server DNS, pilih Kustom.
- Ketik 209.244.0.3 dan tekan Enter di kotak teks Tambahkan server DNS, dan 209.244.0.4 di kotak teks berikutnya.
- Pilih Simpan.
- Menghidupkan ulang komputer virtual Srv-Work.
Menguji firewall
Sekarang, uji firewall untuk mengonfirmasi bahwa firewall bekerja seperti yang diharapkan.
Menyambungkan desktop jarak jauh ke alamat IP publik firewall dan masuk ke mesin virtual Srv-Work.
Buka Internet Explorer dan telusuri
https://www.google.com
.Pilih OK>Tutup pada pemberitahuan keamanan Internet Explorer.
Anda akan melihat halaman beranda Google.
Telusuri
https://www.microsoft.com
.Firewall harus memblokir Anda.
Jadi sekarang Anda memverifikasi bahwa aturan firewall berfungsi:
- Anda dapat membuat sambungan ke mesin virtual menggunakan RDP.
- Anda dapat menjelajah ke FQDN yang diizinkan, tetapi tidak ke yang lainnya.
- Anda bisa menyelesaikan nama DNS menggunakan server DNS eksternal yang dikonfigurasi.
Membersihkan sumber daya
Anda dapat menyimpan sumber daya firewall untuk pengujian lebih lanjut, atau jika tidak diperlukan lagi, hapus grup sumber daya Test-FW-RG untuk menghapus semua sumber daya yang terkait firewall.