Condividi tramite


Esercitazione: Distribuire e configurare Firewall di Azure e criteri usando il portale di Azure

Il controllo dell'accesso alla rete in uscita è un componente importante di un piano di sicurezza della rete generale. Ad esempio, potrebbe essere utile limitare l'accesso ai siti Web. In alternativa, potrebbe essere utile limitare gli indirizzi IP e le porte in uscita a cui è possibile accedere.

Un modo per controllare l'accesso alla rete in uscita da una subnet di Azure consiste nell'usare Firewall di Azure e i criteri del firewall. Con Firewall di Azure e criteri firewall, è possibile configurare:

  • Regole di applicazione che definiscono i nomi di dominio completi (FQDN) accessibili da una subnet.
  • Regole di rete che definiscono l'indirizzo di origine, il protocollo, la porta di destinazione e l'indirizzo di destinazione.

Il traffico di rete è sottoposto alle regole del firewall configurate quando si instrada il traffico di rete al firewall come gateway predefinito della subnet.

Per questa esercitazione, viene creata una singola rete virtuale semplificata con due subnet per facilitare la distribuzione.

  • AzureFirewallSubnet: in questa subnet si trova il firewall.
  • Workload-SN: in questa subnet si trova il server del carico di lavoro. Il traffico di rete di questa subnet passa attraverso il firewall.

Diagramma dell'infrastruttura di rete del firewall.

Per le distribuzioni di produzione è consigliabile un modello hub e spoke, in cui il firewall si trova nella propria rete virtuale. I server del carico di lavoro si trovano nelle reti virtuali associate all'interno della stessa area con una o più subnet.

In questa esercitazione apprenderai a:

  • Configurare un ambiente di rete di test
  • Distribuire un firewall e criteri firewall
  • Creare una route predefinita
  • Configurare una regola dell'applicazione per consentire l'accesso a www.google.com
  • Configurare una regola di rete per consentire l'accesso a server DNS esterni
  • Configurare una regola NAT per consentire un desktop remoto nel server di test
  • Testare il firewall

Se si preferisce, è possibile completare questa procedura usando Azure PowerShell.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Configurare la rete

In primo luogo, creare un gruppo di risorse per contenere le risorse necessarie per distribuire il firewall. Creare quindi una rete virtuale, le subnet e un server di test.

Creare un gruppo di risorse

Il gruppo di risorse contiene tutte le risorse per l'esercitazione.

  1. Accedere al portale di Azure.

  2. Nel menu portale di Azure selezionare Gruppi di risorse o cercare e selezionare Gruppi di risorse da qualsiasi pagina, quindi selezionare Crea. Immetti o seleziona i valori seguenti:

    Impostazione Valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Immettere Test-FW-RG.
    Paese Scegliere un'area. Tutte le altre risorse create devono risiedere nella stessa area.
  3. Selezionare Rivedi e crea.

  4. Seleziona Crea.

Creare una rete virtuale

Questa rete virtuale avrà due subnet.

Nota

La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  1. Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.

  2. Selezionare Rete.

  3. Cercare Rete virtuale e selezionare Crea.

  4. Immetti o seleziona i valori seguenti:

    Impostazione Valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare Test-FW-RG.
    Nome Immettere Test-FW-VN.
    Paese Selezionare la stessa posizione usata in precedenza.
  5. Selezionare Avanti.

  6. Selezionare Avanti nella scheda Sicurezza.

  7. In Spazio indirizzi IPv4, accettare il valore predefinito 10.0.0.0/16.

  8. In Subnet, selezionare predefinita.

  9. Nella pagina Modifica subnet selezionare Firewall di Azure per scopo subnet.

    Il firewall si troverà in questa subnet e il nome della subnet deve essere AzureFirewallSubnet.

  10. Per Indirizzo iniziale digitare 10.0.1.0.

  11. Seleziona Salva.

Creare quindi una subnet per un server del carico di lavoro.

  1. Selezionare Aggiungi subnet.
  2. Per Nome subnet immettere Workload-SN.
  3. Per Indirizzo iniziale digitare 10.0.2.0/24.
  4. Selezionare Aggiungi.
  5. Selezionare Rivedi e crea.
  6. Seleziona Crea.

Creare una macchina virtuale

Creare ora la macchina virtuale del carico di lavoro e inserirla nella subnet Workload-SN.

  1. Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.

  2. Selezionare Windows Server 2019 Datacenter.

  3. Immettere o selezionare questi valori per la macchina virtuale:

    Impostazione Valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare Test-FW-RG.
    Virtual machine name Immettere Srv-Work.
    Paese Selezionare la stessa posizione usata in precedenza.
    Username Immettere un nome utente.
    Password Immettere una password.
  4. In Regole porta in ingresso, Porte in ingresso pubbliche selezionare Nessuna.

  5. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Dischi.

  6. Accettare le impostazioni predefinite per i dischi e selezionare Avanti: Rete.

  7. Assicurarsi che per la rete virtuale sia selezionata l'opzione Test-FW-VN e che la subnet sia Workload-SN.

  8. In IP pubblico selezionare Nessuno.

  9. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Gestione.

  10. Selezionare Avanti: Monitoraggio.

  11. Selezionare Disabilitare per disabilitare la diagnostica di avvio. Accettare tutte le altre impostazioni predefinite e selezionare Rivedi e crea.

  12. Verificare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

  13. Al termine della distribuzione, selezionare la risorsa Srv-Work e prendere nota dell'indirizzo IP privato per usarlo in seguito.

Distribuire il firewall e il criterio

Distribuire il firewall nella rete virtuale.

  1. Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.

  2. Digitare firewall nella casella di ricerca e premere INVIO.

  3. Selezionare Firewall, quindi Crea.

  4. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione Valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare Test-FW-RG.
    Nome Immettere Test-FW01.
    Paese Selezionare la stessa posizione usata in precedenza.
    Gestione del firewall selezionare Usa un criterio firewall per gestire questo firewall.
    Criterio firewall Selezionare Aggiungi nuovo e immettere fw-test-pol.
    Selezionare la stessa area usata in precedenza.
    Scegliere una rete virtuale Selezionare Usa esistente e quindi Test-FW-VN.
    Indirizzo IP pubblico Selezionare Aggiungi nuovo e immettere fw-pip come Nome.
  5. Deselezionare la casella di controllo Abilita scheda di interfaccia di rete di gestione firewall.

  6. Accettare gli altri valori predefiniti, quindi selezionare Avanti: Tag.

  7. Selezionare Avanti: Rivedi e crea.

  8. Controllare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione richiederà qualche minuto.

  9. Al termine della distribuzione, passare al gruppo di risorse Test-FW-RG e selezionare il firewall Test FW01.

  10. Prendere nota degli indirizzi IP pubblico e privato del firewall. Verranno usati in seguito.

Creare una route predefinita

Per la subnet Workload-SN configurare la route predefinita in uscita per passare attraverso il firewall.

  1. Nel menu del portale di Azure selezionare Tutti servizi oppure cercare e selezionare Tutti i servizi in qualsiasi pagina.

  2. In Rete selezionare Tabelle route.

  3. Selezionare Crea, quindi immettere o selezionare i valori seguenti:

    Impostazione Valore
    Abbonamento Seleziona la tua sottoscrizione di Azure.
    Gruppo di risorse Selezionare Test-FW-RG.
    Paese Selezionare la stessa posizione usata in precedenza.
    Nome Immettere Firewall-route.
  4. Selezionare Rivedi e crea.

  5. Seleziona Crea.

Al completamento della distribuzione, selezionare Vai alla risorsa.

  1. Nella pagina Firewall-route, in Impostazioni, selezionare Subnet e quindi Associa.

  2. Per Rete virtuale selezionare Test-FW-VN.

  3. In Subnet selezionare Workload-SN.

  4. Seleziona OK.

  5. Selezionare Route, quindi Aggiungi.

  6. In Nome route immettere fw-dg.

  7. In Tipo di destinazione selezionare Indirizzi IP.

  8. Per Prefisso indirizzi IP di destinazione/intervalli CIDR immettere 0.0.0.0/0.

  9. In Tipo hop successivo selezionare Appliance virtuale.

    Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.

  10. Per Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.

  11. Selezionare Aggiungi.

Configurare una regola di applicazione

Questa è la regola dell'applicazione che consente l'accesso in uscita a www.google.com.

  1. Aprire il gruppo di risorse Test-FW-RG e selezionare il criterio firewall fw-test-pol .
  2. In Impostazioni selezionare Regole applicazione.
  3. Selezionare Aggiungi una raccolta regole.
  4. In Nome immettere App-Coll01.
  5. In Priorità immettere 200.
  6. Per Azione della raccolta regole selezionare Consenti.
  7. In Regole immettere Allow-Google in Nome.
  8. In Tipo di origine selezionare Indirizzo IP.
  9. Per Origine immettere 10.0.2.0/24.
  10. Per Protocol:port immettere http, https.
  11. In Tipo di destinazione selezionare FQDN.
  12. Per Destinazione immettere www.google.com
  13. Selezionare Aggiungi.

Firewall di Azure include una raccolta di regole predefinite per i nomi di dominio completi dell'infrastruttura consentiti per impostazione predefinita. Questi nomi di dominio completi sono specifici per la piattaforma e non possono essere usati per altri scopi. Per altre informazioni, vedere Infrastructure FQDNs (FQDN dell'infrastruttura).

Configurare una regola di rete

Si tratta della regola di rete che consente l'accesso in uscita a due indirizzi IP sulla porta 53 (DNS).

  1. Selezionare Regole di rete.
  2. Selezionare Aggiungi una raccolta regole.
  3. In Nome immettere Net-Coll01.
  4. In Priorità immettere 200.
  5. Per Azione della raccolta regole selezionare Consenti.
  6. Per Gruppo di raccolta regole selezionare DefaultNetworkRuleCollectionGroup.
  7. In Regole immettere Allow-DNS in Nome.
  8. In Tipo di origine selezionare Indirizzo IP.
  9. Per Origine immettere 10.0.2.0/24.
  10. In Protocollo selezionare UDP.
  11. Per Porte di destinazione immettere 53.
  12. Per Tipo di destinazione selezionare Indirizzo IP.
  13. In Destinazione immettere 209.244.0.3.209.244.0.4.
    Si tratta di server DNS pubblici gestiti da CenturyLink.
  14. Selezionare Aggiungi.

Configurare una regola DNAT

Questa regola consente di connettere un desktop remoto alla macchina virtuale Srv-Work tramite il firewall.

  1. Selezionare le regole DNAT.
  2. Selezionare Aggiungi una raccolta regole.
  3. In Nome immettere RDP.
  4. In Priorità immettere 200.
  5. Per Gruppo di raccolta regole selezionare DefaultDnatRuleCollectionGroup.
  6. In Regole immettere rdp-nat in Nome.
  7. In Tipo di origine selezionare Indirizzo IP.
  8. In Origine immettere *.
  9. In Protocollo selezionare TCP.
  10. Per Porte di destinazione immettere 3389.
  11. In Destinazione immettere l'indirizzo IP pubblico del firewall.
  12. Per Tipo tradotto, selezionare Indirizzo IP.
  13. Per Indirizzo tradotto immettere l'indirizzo IP privato Srv-work .
  14. Per Porta convertita immettere 3389.
  15. Selezionare Aggiungi.

Modificare l'indirizzo DNS primario e secondario per l'interfaccia di rete Srv-Work

Ai fini del test in questa esercitazione vengono configurati gli indirizzi DNS primari e secondari del server. Questo non è un requisito generale di Firewall di Azure.

  1. Nel menu del portale di Azure selezionare Gruppi di risorse oppure cercare e selezionare Gruppi di risorse da qualsiasi pagina. Selezionare il gruppo di risorse Test-FW-RG.
  2. Selezionare l'interfaccia di rete per la macchina virtuale Srv-Work.
  3. In Impostazioni selezionare Server DNS.
  4. In Server DNS selezionare Personalizzato.
  5. Immettere 209.244.0.3 nella casella di testo Aggiungi server DNS e 209.244.0.4 nella casella di testo successiva.
  6. Seleziona Salva.
  7. Riavviare la macchina virtuale Srv-Work.

Testare il firewall

A questo punto testare il firewall per verificare che funzioni come previsto.

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall e accedere alla macchina virtuale Srv-Work.

  2. Aprire Microsoft Edge e passare a https://www.google.com.

  3. Selezionare OK>Close negli avvisi di sicurezza di Internet Explorer.

    Verrà visualizzata la home page di Google.

  4. Passa a https://www.microsoft.com.

    Si verrà bloccati dal firewall.

A questo punto si è verificato che le regole del firewall funzionano:

  • È possibile passare al nome di dominio completo consentito ma non agli altri.
  • È possibile risolvere i nomi DNS con il server DNS esterno configurato.

Pulire le risorse

È possibile conservare le risorse del firewall per l'esercitazione successiva oppure, se non è più necessario, eliminare il gruppo di risorse Test-FW-RG per eliminare tutte le risorse correlate al firewall.

Passaggi successivi