Distribuire e configurare Firewall di Azure Criteri di base e usando il portale di Azure

  • Articolo

Firewall di Azure Basic fornisce ai clienti SMB essenziali la protezione necessaria a un prezzo conveniente. Questa soluzione è consigliata per gli ambienti dei clienti SMB con requisiti di velocità effettiva inferiori a 250 Mbps. È consigliabile distribuire lo SKU Standard per gli ambienti con più di 250 Mbps requisiti di velocità effettiva e lo SKU Premium per la protezione avanzata delle minacce.

Il filtro del traffico di rete e applicazione è una parte importante di un piano generale di sicurezza di rete. Ad esempio, potrebbe essere utile limitare l'accesso ai siti Web. In alternativa, potrebbe essere utile limitare gli indirizzi IP e le porte in uscita a cui è possibile accedere.

Un modo per controllare sia l'accesso in ingresso che in uscita da una subnet di Azure è con criteri di Firewall di Azure e firewall. Con Firewall di Azure e criteri firewall è possibile configurare:

  • Regole di applicazione che definiscono i nomi di dominio completi (FQDN) accessibili da una subnet.
  • Regole di rete che definiscono l'indirizzo di origine, il protocollo, la porta di destinazione e l'indirizzo di destinazione.
  • Regole DNAT per tradurre e filtrare il traffico Internet in ingresso nelle subnet.

Il traffico di rete è sottoposto alle regole del firewall configurate quando si instrada il traffico di rete al firewall come gateway predefinito della subnet.

Per questa procedura, è possibile creare una rete virtuale semplificata con tre subnet per semplificare la distribuzione. Firewall Basic ha un requisito obbligatorio da configurare con una scheda di interfaccia di rete di gestione.

  • AzureFirewallSubnet: in questa subnet si trova il firewall.
  • AzureFirewallManagementSubnet : per il traffico di gestione dei servizi.
  • Workload-SN: in questa subnet si trova il server del carico di lavoro. Il traffico di rete di questa subnet passa attraverso il firewall.

Nota

Poiché la Firewall di Azure Basic ha un traffico limitato rispetto allo SKU Standard o Premium Firewall di Azure, è necessario che AzureFirewallManagementSubnet separa il traffico dei clienti dal traffico di gestione Microsoft per garantire nessuna interruzione. Questo traffico di gestione è necessario per le comunicazioni di aggiornamenti e metriche di integrità che si verificano automaticamente solo da e verso Microsoft. Nessuna altra connessione è consentita su questo INDIRIZZO IP.

Per le distribuzioni di produzione è consigliabile un modello hub e spoke, in cui il firewall si trova nella propria rete virtuale. I server del carico di lavoro si trovano nelle reti virtuali associate all'interno della stessa area con una o più subnet.

In questa procedura si apprenderà come:

  • Configurare un ambiente di rete di test
  • Distribuire un firewall di base e criteri di firewall di base
  • Creare una route predefinita
  • Configurare una regola dell'applicazione per consentire l'accesso a www.google.com
  • Configurare una regola di rete per consentire l'accesso a server DNS esterni
  • Configurare una regola NAT per consentire un desktop remoto nel server di test
  • Testare il firewall

Se si preferisce, è possibile completare questa procedura usando Azure PowerShell.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Creare un gruppo di risorse

Il gruppo di risorse contiene tutte le risorse per la procedura.

  1. Accedere al portale di Azure.
  2. Nel menu del portale di Azure selezionare Gruppi di risorse oppure cercare e selezionare Gruppi di risorse da qualsiasi pagina. Quindi selezionare Crea.
  3. In Sottoscrizione selezionare la propria sottoscrizione.
  4. In Nome del gruppo di risorse immettere Test-FW-RG.
  5. Per Area selezionare un'area. Tutte le altre risorse create devono trovarsi nella stessa area.
  6. Selezionare Rivedi e crea.
  7. Selezionare Crea.

Distribuire il firewall e i criteri

Distribuire il firewall e creare l'infrastruttura di rete associata.

  1. Nel menu del portale di Azure o dalla pagina Home selezionare Crea una risorsa.

  2. Digitare firewall nella casella di ricerca e premere INVIO.

  3. Selezionare Firewall, quindi Crea.

  4. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione Valore
    Subscription <sottoscrizione in uso>
    Resource group Test-FW-RG
    Nome Test-FW01
    Region Selezionare la stessa località usata in precedenza
    Livello firewall Base
    Gestione del firewall Usare criteri firewall per gestire il firewall
    Criterio firewall Aggiungi nuovo:
    fw-test-pol
    Area selezionata
    Il livello criteri deve essere predefinito in Basic
    Scegliere una rete virtuale Crea nuovo
    Nome: Test-FW-VN
    Spazio indirizzi: 10.0.0.0/16
    Spazio indirizzi subnet: 10.0.0.0/26
    Indirizzo IP pubblico Aggiungi nuovo:
    Nome: fw-pip
    Gestione - Spazio indirizzi subnet 10.0.1.0/26
    Indirizzo IP pubblico di gestione Aggiungi nuovo
    fw-mgmt-pip

  5. Accettare gli altri valori predefiniti, quindi selezionare Rivedi e crea.

  6. Controllare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione richiederà qualche minuto.

  7. Al termine della distribuzione, passare al gruppo di risorse Test-FW-RG e selezionare il firewall Test FW01.

  8. Si notino gli indirizzi IP privati e pubblici del firewall (fw-pip). Verranno usati in seguito.

Creare una subnet per il server del carico di lavoro

Creare quindi una subnet per un server del carico di lavoro.

  1. Passare al gruppo di risorse Test-FW-RG e selezionare la rete virtuale Test-FW-VN .
  2. Selezionare Subnet.
  3. Selezionare Subnet.
  4. Per Nome subnet immettere Workload-SN.
  5. In Intervallo di indirizzi subnet digitare 10.0.2.0/24.
  6. Selezionare Salva.

Creare una macchina virtuale

Creare ora la macchina virtuale del carico di lavoro e inserirla nella subnet Workload-SN.

  1. Nel menu del portale di Azure o dalla pagina Home selezionare Crea una risorsa.

  2. Selezionare Windows Server 2019 Datacenter.

  3. Immettere i valori seguenti per la macchina virtuale:

    Impostazione Valore
    Resource group Test-FW-RG
    Nome macchina virtuale Srv-Work
    Region Come precedente
    Immagine Windows Server 2019 Datacenter
    Nome utente amministratore Digitare un nome utente
    Password Digitare una password

  4. In Regole porta in ingresso, Porte in ingresso pubbliche selezionare Nessuna.

  5. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Dischi.

  6. Accettare tutte le impostazioni predefinite del disco e selezionare Avanti: Rete.

  7. Assicurarsi che per la rete virtuale sia selezionata l'opzione Test-FW-VN e che la subnet sia Workload-SN.

  8. In IP pubblico selezionare Nessuno.

  9. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Gestione.

  10. Selezionare Avanti: Monitoraggio.

  11. Selezionare Disabilita per disabilitare la diagnostica di avvio. Accettare tutte le altre impostazioni predefinite e selezionare Rivedi e crea.

  12. Verificare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

  13. Al termine della distribuzione, selezionare la risorsa Srv-Work e prendere nota dell'indirizzo IP privato per un uso successivo.

Creare una route predefinita

Per la subnet Workload-SN configurare la route predefinita in uscita per passare attraverso il firewall.

  1. Nel menu del portale di Azure selezionare Tutti servizi oppure cercare e selezionare Tutti i servizi in qualsiasi pagina.
  2. In Rete selezionare Tabelle route.
  3. Selezionare Crea.
  4. In Sottoscrizione selezionare la propria sottoscrizione.
  5. Per Gruppo di risorse selezionare Test-FW-RG.
  6. In Area selezionare la stessa località usata in precedenza.
  7. In Nome immettere Firewall-route.
  8. Selezionare Rivedi e crea.
  9. Selezionare Crea.

Al completamento della distribuzione, selezionare Vai alla risorsa.

  1. Nella pagina Firewall-route selezionare Subnet e quindi Associa.

  2. Selezionare Rete virtuale>Test-FW-VN.

  3. In Subnet selezionare Workload-SN. Assicurarsi di selezionare solo la subnet Workload-SN per questa route; in caso contrario, il firewall non funzionerà correttamente.

  4. Selezionare OK.

  5. Selezionare Route, quindi Aggiungi.

  6. In Nome route digitare fw-dg.

  7. Per Destinazione prefisso indirizzo selezionare Indirizzi IP.

  8. Per indirizzi IP di destinazione/intervalli CIDR digitare 0.0.0.0/0.

  9. In Tipo hop successivo selezionare Appliance virtuale.

    Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.

  10. In Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.

  11. Selezionare Aggiungi.

Configurare una regola di applicazione

Questa è la regola dell'applicazione che consente l'accesso in uscita a www.google.com.

  1. Aprire test-FW-RG e selezionare i criteri firewall fw-test-pol .
  2. Selezionare Regole applicazione.
  3. Selezionare Aggiungi una raccolta regole.
  4. In Nome immettere App-Coll01.
  5. In Priorità immettere 200.
  6. Per Azione della raccolta regole selezionare Consenti.
  7. In Regole, per Nome digitare Allow-Google.
  8. In Tipo di origine selezionare Indirizzo IP.
  9. In Origine digitare 10.0.2.0/24.
  10. In Protocollo:Porta immettere http, https.
  11. Per Tipo di destinazione selezionare FQDN.
  12. Per Destinazione digitare www.google.com
  13. Selezionare Aggiungi.

Firewall di Azure include una raccolta di regole predefinite per i nomi di dominio completi dell'infrastruttura consentiti per impostazione predefinita. Questi nomi di dominio completi sono specifici per la piattaforma e non possono essere usati per altri scopi. Per altre informazioni, vedere Infrastructure FQDNs (FQDN dell'infrastruttura).

Configurare una regola di rete

Si tratta della regola di rete che consente l'accesso in uscita a due indirizzi IP sulla porta 53 (DNS).

  1. Selezionare Regole di rete.
  2. Selezionare Aggiungi una raccolta regole.
  3. In Nome immettere Net-Coll01.
  4. In Priorità immettere 200.
  5. Per Azione della raccolta regole selezionare Consenti.
  6. Per il gruppo di raccolta Rule selezionare DefaultNetworkRuleCollectionGroup.
  7. In Regole immettere Allow-DNS in Nome.
  8. Per Tipo di origine selezionare Indirizzo IP.
  9. In Origine digitare 10.0.2.0/24.
  10. In Protocollo selezionare UDP.
  11. In Porte di destinazione immettere 53.
  12. Per Tipo di destinazione selezionare Indirizzo IP.
  13. Per Destination digitare 209.244.0.3.209.244.0.4.
    Questi sono server DNS pubblici gestiti da Level3.
  14. Selezionare Aggiungi.

Configurare una regola DNAT

Questa regola consente di connettere un desktop remoto alla macchina virtuale Srv-Work attraverso il firewall.

  1. Selezionare le regole DNAT.
  2. Selezionare Aggiungi una raccolta regole.
  3. Per Nome digitare rdp.
  4. In Priorità immettere 200.
  5. Per gruppo di raccolta regole selezionare DefaultDnatRuleCollectionGroup.
  6. In Regole, per Nome, digitare rdp-nat.
  7. In Tipo di origine selezionare Indirizzo IP.
  8. Per Origine, digitare * .
  9. In Protocollo selezionare TCP.
  10. In Porte di destinazione digitare 3389.
  11. In Tipo di destinazione selezionare Indirizzo IP.
  12. Per Destinazione digitare l'indirizzo IP pubblico del firewall (fw-pip).
  13. Per Indirizzo convertito digitare l'indirizzo IP privato di Srv-work.
  14. Per Porta tradotta digitare 3389.
  15. Selezionare Aggiungi.

Modificare l'indirizzo DNS primario e secondario per l'interfaccia di rete Srv-Work

A scopo di test in questa procedura, configurare gli indirizzi DNS primari e secondari del server. Questo non è un requisito generale di Firewall di Azure.

  1. Nel menu del portale di Azure selezionare Gruppi di risorse oppure cercare e selezionare Gruppi di risorse da qualsiasi pagina. Selezionare il gruppo di risorse Test-FW-RG.
  2. Selezionare l'interfaccia di rete per la macchina virtuale Srv-Work.
  3. In Impostazioni selezionare Server DNS.
  4. In Server DNS selezionare Personalizzato.
  5. Immettere 209.244.0.3 nella casella di testo Aggiungi server DNS e 209.244.0.4 nella casella di testo successiva.
  6. Selezionare Salva.
  7. Riavviare la macchina virtuale Srv-Work.

Testare il firewall

A questo punto testare il firewall per verificare che funzioni come previsto.

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall (fw-pip) e accedere alla macchina virtuale Srv-Work .

  2. Aprire Internet Explorer e passare a https://www.google.com.

  3. Selezionare OK>Close negli avvisi di sicurezza di Internet Explorer.

    Verrà visualizzata la home page di Google.

  4. Passare a http://www.microsoft.com.

    Si verrà bloccati dal firewall.

A questo punto si è verificato che le regole del firewall funzionano:

  • È possibile connettere un desktop remoto alla macchina virtuale Srv-Work.
  • È possibile passare al nome di dominio completo consentito ma non agli altri.
  • È possibile risolvere i nomi DNS con il server DNS esterno configurato.

Pulire le risorse

È possibile mantenere le risorse del firewall per ulteriori test o, se non è più necessario, eliminare il gruppo di risorse Test-FW-RG per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Distribuire e configurare Firewall di Azure Premium