Tutorial: Menerapkan dan mengonfigurasi Azure Firewall dan kebijakan menggunakan portal Microsoft Azure

  • Artikel

Mengontrol akses jaringan keluar adalah bagian penting dari rencana keamanan jaringan secara keseluruhan. Misalnya, Anda mungkin ingin membatasi akses ke situs web. Atau, Anda mungkin ingin membatasi alamat IP keluar dan port yang dapat diakses.

Salah satu cara Anda dapat mengontrol akses jaringan keluar dari subnet Azure adalah dengan Azure Firewall dan Kebijakan Firewall. Dengan Azure Firewall dan Firewall Policy, Anda dapat mengonfigurasi:

  • Aturan aplikasi yang mendefinisikan nama domain yang sepenuhnya memenuhi syarat (FQDN) yang dapat diakses dari subnet.
  • Aturan jaringan yang menentukan alamat sumber, protokol, port tujuan, dan alamat tujuan.

Lalu lintas jaringan tunduk pada aturan firewall yang dikonfigurasi saat Anda merutekan lalu lintas jaringan Anda ke firewall sebagai gateway default subnet.

Untuk artikel ini, Anda membuat VNet tunggal yang disederhanakan dengan dua subnet untuk penyebaran yang mudah.

  • AzureFirewallSubnet - firewall ada di subnet ini.
  • Workload-SN - server beban kerja ada di subnet ini. Lalu lintas jaringan subnet ini melewati firewall.

Tutorial infrastruktur jaringan

Untuk penyebaran produksi, disarankan hub dan model spoke, dengan firewall berada di VNetnya sendiri. Server beban kerja berada di VNet yang di-peering di wilayah yang sama dengan satu atau beberapa subnet.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Menyiapkan lingkungan jaringan uji
  • Menyebarkan firewall dan kebijakan firewall
  • Membuat rute default
  • Mengonfigurasi aturan aplikasi untuk membuka akses ke www.google.com
  • Mengonfigurasi aturan jaringan untuk memperbolehkan akses ke server DNS eksternal
  • Mengonfigurasi aturan NAT untuk membuka akses desktop jarak jauh ke server uji
  • Menguji firewall

Jika mau, Anda dapat menyelesaikan prosedur ini menggunakan Azure PowerShell.

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Menyiapkan jaringan

Pertama, buat grup sumber daya untuk memuat sumber daya yang diperlukan untuk menyebarkan firewall. Kemudian buat VNet, subnet, dan server uji.

Buat grup sumber daya

Grup sumber daya berisi semua sumber daya untuk tutorial ini.

  1. Masuk ke portal Azure.

  2. Pada menu portal Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya dari halaman mana pun, lalu pilih Tambahkan. Masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Masukkan Test-FW-RG.
    Wilayah Pilih wilayah. Semua sumber daya lain yang Anda buat harus berada di wilayah yang sama.

  3. Pilih Tinjau + buat.

  4. Pilih Buat.

Buat VNet

VNet ini akan memiliki dua subnet.

Catatan

Ukuran subnet AzureFirewallSubnet adalah /26. Untuk informasi selengkapnya tentang ukuran subjaringan, lihat Tanya Jawab Umum Azure Firewall.

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.

  2. Pilih Jaringan.

  3. Cari Jaringan Virtual, dan pilih jaringan tersebut.

  4. Pilih Buat, lalu masukkan atau pilih nilai berikut:

    Pengaturan Nilai
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Test-FW-RG.
    Nama Masukkan Test-FW-VN.
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya

  5. Pilih Selanjutnya: Alamat IP.

  6. Untuk Ruang Alamat IPv4, terima default 10.0.0.0/16.

  7. Di bawah Subnet, pilih default.

  8. Untuk Nama subnet ubah nama tersebut menjadi AzureFirewallSubnet. Firewall akan berada di subnet ini, dan nama subnet harus AzureFirewallSubnet.

  9. Untuk Rentang alamat, ketik 10.0.1.0/26.

  10. Pilih Simpan.

    Selanjutnya, buat subnet untuk server beban kerja.

  11. Pilih Tambahkan Subnet.

  12. Untuk Nama subnet, ketik Workload-01-SN.

  13. Untuk Rentang alamat subnet, ketik 10.0.2.0/24.

  14. Pilih Tambahkan.

  15. Pilih Tinjau + buat.

  16. Pilih Buat.

Membuat komputer virtual

Sekarang buat komputer virtual beban kerja, dan tempatkan di subnet Workload-SN.

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.

  2. Pilih Pusat Data Windows Server 2019.

  3. Masukkan atau pilih nilai-nilai ini untuk komputer virtual:

    Pengaturan Nilai
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Test-FW-RG.
    Nama komputer virtual Masukkan Srv-Work.
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya
    Nama pengguna Masukkan nama pengguna.
    Kata sandi Masukkan kata sandi.

  4. Di bawah Aturan port masuk, Port masuk publik, pilih Tidak Ada.

  5. Terima default lainnya lalu pilih Berikutnya: Disk.

  6. Pakai default disk dan pilih Berikutnya : Jaringan.

  7. Pastikan bahwa Test-FW-VN dipilih untuk jaringan virtual dan subnetnya adalah Workload-SN.

  8. Untuk IP Publik, pilih Tidak ada.

  9. Pakai default yang lain dan kemudian pilih Berikutnya: Manajemen.

  10. Pilih Nonaktifkan untuk menonaktifkan diagnostik boot. Pakai default yang lain lalu pilih Tinjau + Buat.

  11. Tinjau ulang pengaturan pada halaman ringkasan, lalu pilih Buat.

  12. Setelah penyebaran selesai, pilih sumber daya Srv-Work dan catat alamat IP pribadi untuk digunakan nanti.

Menyebarkan firewall dan kebijakan

Menerapkan firewall ke VNet.

  1. Pada menu portal Microsoft Azure atau dari halaman Beranda, pilih Buat sumber daya.

  2. Ketik firewall di kotak pencarian dan tekan Enter.

  3. Pilih Firewall lalu pilih Buat.

  4. Pada halaman Buat Firewall , gunakan tabel berikut ini untuk mengonfigurasi firewall:

    Pengaturan Nilai
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Test-FW-RG.
    Nama Masukkan Test-FW01.
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya
    Manajemen firewall Pilih Gunakan Kebijakan Firewall untuk mengelola firewall ini.
    Kebijakan Firewall Pilih Tambahkan baru, dan masukkan fw-test-pol.
    Pilih wilayah yang sama dengan yang Anda gunakan sebelumnya.
    Pilih jaringan virtual Pilih Gunakan yang sudah ada, lalu pilih Test-FW-VN.
    Alamat IP publik Pilih Tambahkan baru, dan masukkan fw-pip untuk Nama.

  5. Terima default lainnya lalu pilih Tinjau + Buat.

  6. Tinjau ringkasan, lalu pilih Buatuntuk membuat firewall.

    Ini akan memakan waktu beberapa menit untuk penyebaran.

  7. Setelah penyebaran selesai, buka grup sumber daya Test-FW-RG, dan pilih firewall FW01.

  8. Catat alamat IP pribadi dan publik firewall. Anda akan menggunakan alamat ini nanti.

Membuat rute default

Untuk subnet Workload-SN, konfigurasikan rute default keluar untuk melewati firewall.

  1. Pada menu portal Microsoft Azure, pilih Semua layanan atau cari dan pilih Semua layanan dari halaman mana pun.

  2. Di bawah Jaringan, pilih Tabel rute.

  3. Pilih Buat, lalu masukkan atau pilih nilai berikut ini:

    Pengaturan Nilai
    Langganan Pilih langganan Azure Anda.
    Grup sumber daya Pilih Test-FW-RG.
    Wilayah Pilih lokasi yang sama yang Anda gunakan sebelumnya
    Nama Masukkan Firewall-route.

  4. Pilih Tinjau + buat.

  5. Pilih Buat.

Setelah penyebaran selesai, pilih Buka sumber daya.

  1. Pada halaman Rute-Firewall, pilih Subnet lalu pilih Asosiasikan.
  2. Pilih Jaringan virtual>Test-FW-VN.
  3. Untuk Subnet, pilih Workload-SN. Pastikan Anda hanya memilih subnet Workload-SN untuk rute ini, jika tidak, firewall Anda tidak akan berfungsi dengan benar.
  4. PilihOK.
  5. Pilih Rute, lalu pilih Tambahkan.
  6. Untuk Nama rute, masukkan fw-dg.
  7. Untuk Awalan alamat, masukkan 0.0.0.0/0.
  8. Untuk Jenis lompatan berikutnya, pilih Appliance virtual. Azure Firewall sebenarnya adalah layanan terkelola, tetapi appliance virtual berfungsi dalam situasi ini.
  9. Untuk Alamat hop berikutnya, masukkan alamat IP privat untuk firewall yang Anda catat sebelumnya.
  10. PilihOK.

Mengonfigurasi aturan aplikasi

Ini adalah aturan aplikasi yang memungkinkan akses keluar ke www.google.com.

  1. Buka grup sumber daya Test-FW-RG , dan pilih kebijakan firewall fw-test-pol .
  2. Pilih Aturan aplikasi.
  3. Pilih Tambahkan Kumpulan Aturan.
  4. Untuk Nama, masukkan App-Coll01.
  5. Untuk Prioritas, masukkan 200.
  6. Untuk Tindakan kumpulan aturan, pilih Izinkan.
  7. Di bawah Aturan, untuk Nama, masukkan Allow-Google.
  8. Untuk Jenis sumber, pilih alamat IP.
  9. Untuk Sumber, masukkan 10.0.2.0/24.
  10. Untuk Protocol:port, masukkan http, https.
  11. Untuk Jenis tujuan, pilih FQDN.
  12. Untuk Tujuan, masukkan www.google.com
  13. Pilih Tambahkan.

Azure Firewall menyertakan koleksi aturan bawaan untuk FQDN infrastruktur yang diizinkan secara default. FQDN ini khusus untuk platform dan tidak dapat digunakan untuk tujuan lain. Untuk informasi selengkapnya, lihat FQDN Infrastruktur.

Mengonfigurasi aturan jaringan

Aturan jaringan membuka akses keluar ke dua alamat IP di port 53 (DNS).

  1. Pilih Aturan jaringan.
  2. Pilih Tambahkan Kumpulan Aturan.
  3. Untuk Nama, masukkan Net-Coll01.
  4. Untuk Prioritas, masukkan 200.
  5. Untuk Tindakan pengumpulan aturan, pilih Izinkan.
  6. Untuk Grup kumpulan aturan, pilih DefaultNetworkRuleCollectionGroup.
  7. Di bawah Aturan, untuk Nama, masukkan Allow-DNS.
  8. Untuk Jenis sumber, pilih Alamat IP.
  9. Untuk Sumber, masukkan 10.0.2.0/24.
  10. Untuk Protokol, pilih UDP.
  11. Untuk Port Tujuan, masukkan 53.
  12. Untuk Jenis tujuan, pilih Alamat IP.
  13. Untuk Tujuan, masukkan 209.244.0.3,209.244.0.4.
    Ini adalah server DNS publik yang dioperasikan oleh CenturyLink.
  14. Pilih Tambahkan.

Mengonfigurasi aturan DNAT

Aturan ini memungkinkan Anda menyambungkan desktop jarak jauh ke komputer virtual Srv-Work melalui firewall.

  1. Pilih Aturan DNAT.
  2. Pilih Tambahkan Kumpulan Aturan.
  3. Untuk Nama, masukkan rdp.
  4. Untuk Prioritas, masukkan 200.
  5. Untuk Grup kumpulan aturan, pilih DefaultNetworkRuleCollectionGroup.
  6. Di bawah Aturan, untuk Nama, masukkan rdp-nat.
  7. Untuk Jenis sumber, pilih alamat IP.
  8. Untuk Sumber, masukkan *.
  9. Untuk Protokol, pilih TCP.
  10. Untuk Port Tujuan, masukkan 3389.
  11. Untuk Jenis Tujuan, pilih Alamat IP.
  12. Untuk Tujuan, masukkan alamat IP publik firewall.
  13. Untuk Alamat yang diterjemahkan, masukkan alamat IP privat Srv-work .
  14. Untuk Port yang diterjemahkan, masukkan 3389.
  15. Pilih Tambahkan.

Ubah alamat DNS utama dan sekunder untuk antarmuka jaringan Srv-Work

Untuk tujuan pengujian dalam tutorial ini, konfigurasikan alamat DNS utama dan sekunder server. Ini bukan persyaratan umum Azure Firewall.

  1. Pada menu portal Microsoft Azure, pilih Grup sumber daya atau cari dan pilih Grup sumber daya dari halaman mana pun. Pilih grup sumber daya Test-FW-RG.
  2. Pilih antarmuka jaringan untuk komputer virtual Srv-Work.
  3. Di bawah Pengaturan, pilih Server DNS.
  4. Di bawah Server DNS, pilih Kustom.
  5. Masukkan 209.244.0.3 di kotak teks Add DNS server, dan 209.244.0.4 di kotak teks berikutnya.
  6. Pilih Simpan.
  7. Menghidupkan ulang komputer virtual Srv-Work.

Menguji firewall

Sekarang, uji firewall untuk mengonfirmasi bahwa firewall bekerja seperti yang diharapkan.

  1. Sambungkan desktop jarak jauh ke alamat IP publik firewall dan masuk ke komputer virtual Srv-Work.

  2. Buka Internet Explorer dan telusuri https://www.google.com.

  3. Pilih OK>Tutup pada pemberitahuan keamanan Internet Explorer.

    Anda akan melihat halaman beranda Google.

  4. Telusuri https://www.microsoft.com.

    Anda akan diblokir oleh firewall.

Jadi sekarang Anda telah memverifikasi bahwa aturan firewall berfungsi:

  • Anda dapat menjelajah ke FQDN yang diizinkan, tetapi tidak ke yang lainnya.
  • Anda bisa menyelesaikan nama DNS menggunakan server DNS eksternal yang dikonfigurasi.

Membersihkan sumber daya

Anda dapat menyimpan sumber daya firewall Anda untuk tutorial berikutnya, atau jika tidak lagi diperlukan, hapus sumber daya Test-FW-RG untuk menghapus semua sumber daya terkait firewall.

Langkah berikutnya

Menyebarkan dan mengonfigurasi Azure Firewall Premium