Esercitazione: Distribuire e configurare Firewall di Azure e criteri usando la portale di Azure

  • Articolo

Il controllo dell'accesso alla rete in uscita è un componente importante di un piano di sicurezza della rete generale. Ad esempio, potrebbe essere utile limitare l'accesso ai siti Web. In alternativa, potrebbe essere utile limitare gli indirizzi IP e le porte in uscita a cui è possibile accedere.

Un modo per controllare l'accesso alla rete in uscita da una subnet di Azure è con criteri di Firewall di Azure e firewall. Con Firewall di Azure e criteri firewall è possibile configurare:

  • Regole di applicazione che definiscono i nomi di dominio completi (FQDN) accessibili da una subnet.
  • Regole di rete che definiscono l'indirizzo di origine, il protocollo, la porta di destinazione e l'indirizzo di destinazione.

Il traffico di rete è sottoposto alle regole del firewall configurate quando si instrada il traffico di rete al firewall come gateway predefinito della subnet.

Per questa esercitazione, viene creata una singola rete virtuale semplificata con due subnet per facilitare la distribuzione.

  • AzureFirewallSubnet: in questa subnet si trova il firewall.
  • Workload-SN: in questa subnet si trova il server del carico di lavoro. Il traffico di rete di questa subnet passa attraverso il firewall.

Infrastruttura di rete dell'esercitazione

Per le distribuzioni di produzione è consigliabile un modello hub e spoke, in cui il firewall si trova nella propria rete virtuale. I server del carico di lavoro si trovano nelle reti virtuali associate all'interno della stessa area con una o più subnet.

In questa esercitazione verranno illustrate le procedure per:

  • Configurare un ambiente di rete di test
  • Distribuire un firewall e criteri del firewall
  • Creare una route predefinita
  • Configurare una regola dell'applicazione per consentire l'accesso a www.google.com
  • Configurare una regola di rete per consentire l'accesso a server DNS esterni
  • Configurare una regola NAT per consentire un desktop remoto nel server di test
  • Testare il firewall

Se si preferisce, è possibile completare questa procedura usando Azure PowerShell.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Configurare la rete

In primo luogo, creare un gruppo di risorse per contenere le risorse necessarie per distribuire il firewall. Creare quindi una rete virtuale, le subnet e un server di test.

Creare un gruppo di risorse

Il gruppo di risorse contiene tutte le risorse per l'esercitazione.

  1. Accedere al portale di Azure.

  2. Nel menu portale di Azure selezionare Gruppi di risorse o cercare e selezionare Gruppi di risorse da qualsiasi pagina, quindi selezionare Aggiungi. Immettere o selezionare i valori seguenti:

    Impostazione Valore
    Subscription Selezionare la sottoscrizione di Azure.
    Resource group Immettere Test-FW-RG.
    Region Scegliere un'area, Tutte le altre risorse create devono trovarsi nella stessa area.

  3. Selezionare Rivedi e crea.

  4. Selezionare Crea.

Creare una rete virtuale

Questa rete virtuale avrà due subnet.

Nota

La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  1. Nel menu del portale di Azure o dalla pagina Home selezionare Crea una risorsa.

  2. Selezionare Rete.

  3. Cercare rete virtuale e selezionarla.

  4. Selezionare Crea, quindi immettere o selezionare i valori seguenti:

    Impostazione Valore
    Subscription Selezionare la sottoscrizione di Azure.
    Resource group Selezionare Test-FW-RG.
    Nome Immettere Test-FW-VN.
    Region Selezionare la stessa posizione usata in precedenza.

  5. Selezionare Avanti: Indirizzi IP.

  6. Per lo spazio indirizzi IPv4, accettare il valore predefinito 10.0.0.0/16.

  7. In Subnet selezionare predefinito.

  8. Per Nome subnet modificare il nome in AzureFirewallSubnet. Il firewall si troverà in questa subnet e il nome della subnet deve essere AzureFirewallSubnet.

  9. In Intervallo indirizzi digitare 10.0.1.0/26.

  10. Selezionare Salva.

    Creare quindi una subnet per un server del carico di lavoro.

  11. Selezionare Aggiungi subnet.

  12. Per Nome subnet immettere Workload-SN.

  13. In Intervallo di indirizzi subnet digitare 10.0.2.0/24.

  14. Selezionare Aggiungi.

  15. Selezionare Rivedi e crea.

  16. Selezionare Create (Crea).

Creare una macchina virtuale

Creare ora la macchina virtuale del carico di lavoro e inserirla nella subnet Workload-SN.

  1. Nel menu del portale di Azure o dalla pagina Home selezionare Crea una risorsa.

  2. Selezionare Windows Server 2019 Datacenter.

  3. Immettere o selezionare questi valori per la macchina virtuale:

    Impostazione Valore
    Subscription Selezionare la sottoscrizione di Azure.
    Resource group Selezionare Test-FW-RG.
    Nome macchina virtuale Immettere Srv-Work.
    Region Selezionare la stessa posizione usata in precedenza.
    Username Immettere un nome utente.
    Password Immettere una password.

  4. In Regole porta in ingresso, Porte in ingresso pubbliche selezionare Nessuna.

  5. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Dischi.

  6. Accettare tutte le impostazioni predefinite del disco e selezionare Avanti: Rete.

  7. Assicurarsi che per la rete virtuale sia selezionata l'opzione Test-FW-VN e che la subnet sia Workload-SN.

  8. In IP pubblico selezionare Nessuno.

  9. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Gestione.

  10. Selezionare Disabilita per disabilitare la diagnostica di avvio. Accettare tutte le altre impostazioni predefinite e selezionare Rivedi e crea.

  11. Verificare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

  12. Al termine della distribuzione, selezionare la risorsa Srv-Work e prendere nota dell'indirizzo IP privato per un uso successivo.

Distribuire il firewall e i criteri

Distribuire il firewall nella rete virtuale.

  1. Nel menu del portale di Azure o dalla pagina Home selezionare Crea una risorsa.

  2. Digitare firewall nella casella di ricerca e premere INVIO.

  3. Selezionare Firewall, quindi Crea.

  4. Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:

    Impostazione Valore
    Subscription Selezionare la sottoscrizione di Azure.
    Resource group Selezionare Test-FW-RG.
    Nome Immettere Test-FW01.
    Region Selezionare la stessa posizione usata in precedenza.
    Gestione del firewall Selezionare Usa criteri firewall per gestire il firewall.
    Criterio firewall Selezionare Aggiungi nuovo e immettere fw-test-pol.
    Selezionare la stessa area usata in precedenza.
    Scegliere una rete virtuale Selezionare Usa esistente e quindi Test-FW-VN.
    Indirizzo IP pubblico Selezionare Aggiungi nuovo e immettere fw-pip come Nome.

  5. Accettare gli altri valori predefiniti, quindi selezionare Rivedi e crea.

  6. Controllare il riepilogo e quindi selezionare Crea per creare il firewall.

    La distribuzione richiederà qualche minuto.

  7. Al termine della distribuzione, passare al gruppo di risorse Test-FW-RG e selezionare il firewall Test FW01.

  8. Prendere nota degli indirizzi IP pubblico e privato del firewall. Verranno usati in seguito.

Creare una route predefinita

Per la subnet Workload-SN configurare la route predefinita in uscita per passare attraverso il firewall.

  1. Nel menu del portale di Azure selezionare Tutti servizi oppure cercare e selezionare Tutti i servizi in qualsiasi pagina.

  2. In Rete selezionare Tabelle route.

  3. Selezionare Crea, quindi immettere o selezionare i valori seguenti:

    Impostazione Valore
    Subscription Selezionare la sottoscrizione di Azure.
    Resource group Selezionare Test-FW-RG.
    Region Selezionare la stessa posizione usata in precedenza.
    Nome Immettere Firewall-route.

  4. Selezionare Rivedi e crea.

  5. Selezionare Crea.

Al completamento della distribuzione, selezionare Vai alla risorsa.

  1. Nella pagina Firewall-route selezionare Subnet e quindi selezionare Associa.
  2. Selezionare Rete virtuale>Test-FW-VN.
  3. In Subnet selezionare Workload-SN. Assicurarsi di selezionare solo la subnet Workload-SN per questa route; in caso contrario, il firewall non funzionerà correttamente.
  4. Selezionare OK.
  5. Selezionare Route, quindi Aggiungi.
  6. In Nome route immettere fw-dg.
  7. Per Prefisso indirizzo immettere 0.0.0.0/0.
  8. In Tipo hop successivo selezionare Appliance virtuale. Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.
  9. Per Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.
  10. Selezionare OK.

Configurare una regola di applicazione

Questa è la regola dell'applicazione che consente l'accesso in uscita a www.google.com.

  1. Aprire il gruppo di risorse Test-FW-RG e selezionare il criterio firewall fw-test-pol .
  2. Selezionare Regole applicazione.
  3. Selezionare Aggiungi una raccolta regole.
  4. In Nome immettere App-Coll01.
  5. In Priorità immettere 200.
  6. Per Azione della raccolta regole selezionare Consenti.
  7. In Regole immettere Allow-Google in Nome.
  8. In Tipo di origine selezionare Indirizzo IP.
  9. In Origine immettere 10.0.2.0/24.
  10. Per Protocol:port immettere http, https.
  11. In Tipo di destinazione selezionare FQDN.
  12. Per Destinazione immettere www.google.com
  13. Selezionare Aggiungi.

Firewall di Azure include una raccolta di regole predefinite per i nomi di dominio completi dell'infrastruttura consentiti per impostazione predefinita. Questi nomi di dominio completi sono specifici per la piattaforma e non possono essere usati per altri scopi. Per altre informazioni, vedere Infrastructure FQDNs (FQDN dell'infrastruttura).

Configurare una regola di rete

Si tratta della regola di rete che consente l'accesso in uscita a due indirizzi IP sulla porta 53 (DNS).

  1. Selezionare Regole di rete.
  2. Selezionare Aggiungi una raccolta regole.
  3. In Nome immettere Net-Coll01.
  4. In Priorità immettere 200.
  5. Per Azione della raccolta regole selezionare Consenti.
  6. Per Gruppo di raccolta regole selezionare DefaultNetworkRuleCollectionGroup.
  7. In Regole immettere Allow-DNS in Nome.
  8. Per Tipo di origine selezionare Indirizzo IP.
  9. In Origine immettere 10.0.2.0/24.
  10. In Protocollo selezionare UDP.
  11. Per Porte di destinazione immettere 53.
  12. Per Tipo di destinazione selezionare Indirizzo IP.
  13. In Destinazione immettere 209.244.0.3,209.244.0.4.
    Si tratta di server DNS pubblici gestiti da CenturyLink.
  14. Selezionare Aggiungi.

Configurare una regola DNAT

Questa regola consente di connettere un desktop remoto alla macchina virtuale Srv-Work tramite il firewall.

  1. Selezionare le regole DNAT.
  2. Selezionare Aggiungi una raccolta regole.
  3. In Nome immettere rdp.
  4. In Priorità immettere 200.
  5. Per Gruppo di raccolta regole selezionare DefaultDnatRuleCollectionGroup.
  6. In Regole immettere rdp-nat in Nome.
  7. In Tipo di origine selezionare Indirizzo IP.
  8. Per Origine immettere *.
  9. In Protocollo selezionare TCP.
  10. Per Porte di destinazione immettere 3389.
  11. In Tipo di destinazione selezionare Indirizzo IP.
  12. In Destinazione immettere l'indirizzo IP pubblico del firewall.
  13. Per Indirizzo tradotto immettere l'indirizzo IP privato Srv-work .
  14. Per Porta convertita immettere 3389.
  15. Selezionare Aggiungi.

Modificare l'indirizzo DNS primario e secondario per l'interfaccia di rete Srv-Work

Ai fini del test in questa esercitazione vengono configurati gli indirizzi DNS primari e secondari del server. Questo non è un requisito generale di Firewall di Azure.

  1. Nel menu del portale di Azure selezionare Gruppi di risorse oppure cercare e selezionare Gruppi di risorse da qualsiasi pagina. Selezionare il gruppo di risorse Test-FW-RG.
  2. Selezionare l'interfaccia di rete per la macchina virtuale Srv-Work.
  3. In Impostazioni selezionare Server DNS.
  4. In Server DNS selezionare Personalizzato.
  5. Immettere 209.244.0.3 nella casella di testo Aggiungi server DNS e 209.244.0.4 nella casella di testo successiva.
  6. Selezionare Salva.
  7. Riavviare la macchina virtuale Srv-Work.

Testare il firewall

A questo punto testare il firewall per verificare che funzioni come previsto.

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall e accedere alla macchina virtuale Srv-Work.

  2. Aprire Internet Explorer e passare a https://www.google.com.

  3. Selezionare OK>Close negli avvisi di sicurezza di Internet Explorer.

    Verrà visualizzata la home page di Google.

  4. Passare a https://www.microsoft.com.

    Si verrà bloccati dal firewall.

A questo punto si è verificato che le regole del firewall funzionano:

  • È possibile passare al nome di dominio completo consentito ma non agli altri.
  • È possibile risolvere i nomi DNS con il server DNS esterno configurato.

Pulire le risorse

È possibile conservare le risorse del firewall per l'esercitazione successiva oppure, se non è più necessario, eliminare il gruppo di risorse Test-FW-RG per eliminare tutte le risorse correlate al firewall.

Passaggi successivi

Distribuire e configurare Firewall di Azure Premium