Azure Firewall Basic en beleid implementeren en configureren met behulp van de Azure Portal

  • Artikel

Azure Firewall Basic biedt de essentiële bescherming die SMB-klanten nodig hebben tegen een betaalbare prijs. Deze oplossing wordt aanbevolen voor SMB-klantomgevingen met doorvoervereisten van minder dan 250 Mbps. Het wordt aanbevolen om de Standard-SKU te implementeren voor omgevingen met doorvoervereisten van meer dan 250 Mbps en de Premium SKU voor geavanceerde beveiliging tegen bedreigingen.

Het filteren van netwerk- en toepassingsverkeer is een belangrijk onderdeel van een algemeen netwerkbeveiligingsplan. U kunt bijvoorbeeld de toegang tot websites beperken. U kunt ook de toegang tot uitgaande IP-adressen en poorten beperken.

Eén manier waarop u de binnenkomende en uitgaande netwerktoegang vanuit een Azure-subnet kunt beheren, is met Azure Firewall en firewallbeleid. Met Azure Firewall en firewallbeleid kunt u het volgende configureren:

  • Toepassingsregels die volledig gekwalificeerde domeinnamen (FQDN's) definiëren waartoe toegang kan worden verkregen via een subnet.
  • Netwerkregels die een bronadres, protocol, doelpoort en doeladres definiëren.
  • DNAT-regels voor het vertalen en filteren van inkomend internetverkeer naar uw subnetten.

Netwerkverkeer is onderhevig aan de geconfigureerde firewallregels wanneer u het routeert naar de firewall als standaardgateway van het subnet.

Voor deze procedure maakt u één vereenvoudigd VNet met drie subnetten voor eenvoudige implementatie. Firewall Basic heeft een verplichte vereiste die moet worden geconfigureerd met een beheer-NIC.

  • AzureFirewallSubnet – De firewall bevindt zich in dit subnet.
  • AzureFirewallManagementSubnet : voor servicebeheerverkeer.
  • Workload-SN – De workloadserver bevindt zich in dit subnet. Het netwerkverkeer van dit subnet gaat via de firewall.

Notitie

Omdat het Azure Firewall Basic beperkt verkeer heeft in vergelijking met de Azure Firewall Standard- of Premium-SKU, moet het AzureFirewallManagementSubnet het verkeer van de klant scheiden van het Microsoft-beheerverkeer om ervoor te zorgen dat er geen onderbrekingen optreden. Dit beheerverkeer is alleen nodig voor updates en communicatie met metrische statusgegevens die automatisch naar en van Microsoft plaatsvindt. Er zijn geen andere verbindingen toegestaan op dit IP-adres.

Voor productie-implementaties wordt een hub en spoke-model aanbevolen, waarbij de firewall zich in een eigen VNet bevindt. De werkbelastingservers bevinden zich in gepeerde VNets in dezelfde regio met een of meer subnetten.

In deze instructies leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een eenvoudige firewall en basisfirewallbeleid implementeren
  • Een standaardroute maken
  • Een toepassingsregel configureren om toegang tot www.google.com
  • Een netwerkregel configureren om toegang tot externe DNS-servers toe te staan
  • Een NAT-regel configureren om een extern bureaublad op de testserver toe te staan
  • De firewall testen

U kunt deze procedure desgewenst voltooien met behulp van Azure PowerShell.

Vereisten

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Een resourcegroep maken

De resourcegroep bevat alle resources voor de instructies.

  1. Meld u aan bij de Azure-portal.
  2. Selecteer in het menu van Azure-portal de optie Resourcegroepen of zoek ernaar en selecteer Resourcegroepen vanaf een willekeurige pagina. Selecteer vervolgens Maken.
  3. Bij Abonnement selecteert u uw abonnement.
  4. Bij Resourcegroepnaam typt u Test-FW-RG.
  5. Selecteer een regio bij Regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.
  6. Selecteer Controleren + maken.
  7. Selecteer Maken.

De firewall en het beleid implementeren

Implementeer de firewall en maak een bijbehorende netwerkinfrastructuur.

  1. Selecteer in het menu van de Azure-portal of op de startpagina de optie Een resource maken.

  2. Typ firewall in het zoekvak en druk op Enter.

  3. Selecteer Firewall en vervolgens Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Waarde
    Abonnement <uw abonnement>
    Resourcegroep Test-FW-RG
    Naam Test-FW01
    Region Selecteer dezelfde locatie die u eerder hebt gebruikt
    Firewalllaag Basic
    Firewallbeheer Een firewallbeleid gebruiken om deze firewall te beheren
    Firewallbeleid Nieuwe toevoegen:
    fw-test-pol
    De geselecteerde regio
    De beleidslaag moet standaard worden ingesteld op Basic
    Een virtueel netwerk kiezen Nieuwe maken
    Naam: Test-FW-VN
    Adresruimte: 10.0.0.0/16
    Subnetadresruimte: 10.0.0.0/26
    Openbaar IP-adres Nieuwe toevoegen:
    Naam: fw-pip
    Beheer - Subnetadresruimte 10.0.1.0/26
    Openbaar IP-adres voor beheer Nieuwe toevoegen
    fw-mgmt-pip

  5. Accepteer de andere standaardwaarden en selecteer vervolgens Controleren en maken.

  6. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het duurt enkele minuten voordat deze is geïmplementeerd.

  7. Zodra de implementatie is voltooid, gaat u naar de resourcegroep Test-FW-RG en selecteert u de firewall Test-FW01.

  8. Noteer de privé- en openbare IP-adressen (fw-pip) van de firewall. U hebt deze later nodig.

Een subnet voor de workloadserver maken

Maak hierna een subnet voor de werkbelastingserver.

  1. Ga naar de resourcegroep Test-FW-RG en selecteer het virtuele netwerk Test-FW-VN .
  2. Selecteer Subnetten.
  3. Selecteer Subnet.
  4. Bij Subnetnaam typt u Workload-SN.
  5. Als Subnetadresbereik typt u 10.0.2.0/24.
  6. Selecteer Opslaan.

Een virtuele machine maken

Maak nu de virtuele machine voor de werkbelasting en plaats deze in het subnet Workload-SN.

  1. Selecteer in het menu van de Azure-portal of op de startpagina de optie Een resource maken.

  2. Selecteer Windows Server 2019 Datacenter.

  3. Voer deze waarden in voor de virtuele machine:

    Instelling Waarde
    Resourcegroep Test-FW-RG
    Naam van de virtuele machine Srv-Work
    Regio Hetzelfde als vorige
    Installatiekopie Windows Server 2019 Datacenter
    Beheerdersgebruikersnaam Typ een gebruikersnaam
    Wachtwoord Typ een wachtwoord

  4. Selecteer onder Regels voor binnenkomende poort, Openbare binnenkomende poorten de optie Geen.

  5. Accepteer de overige standaardwaarden en selecteer Volgende: Schijven.

  6. Accepteer de standaardwaarden voor schijven en selecteer Volgende: Netwerken.

  7. Zorg ervoor dat Test-FW-VN is geselecteerd voor het virtuele netwerk en dat het subnet Workload-SN is.

  8. Selecteer Geen voor Openbaar IP.

  9. Accepteer de overige standaardwaarden en selecteer Volgende: Beheer.

  10. Selecteer Volgende: Bewaking.

  11. Selecteer Uitschakelen om diagnostische gegevens over opstarten uit te schakelen. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  12. Controleer de instellingen op de overzichtspagina en selecteer Maken.

  13. Nadat de implementatie is voltooid, selecteert u de resource Srv-Work en noteert u het privé-IP-adres voor later gebruik.

Een standaardroute maken

Voor het subnet Workload-SN configureert u de standaardroute voor uitgaand verkeer om via de firewall te gaan.

  1. Selecteer in het menu van Azure-portal de optie Alle services of zoek naar en selecteer Alle services vanaf elke willekeurige pagina.
  2. Selecteer onder Netwerken de optie Routetabellen.
  3. Selecteer Maken.
  4. Bij Abonnement selecteert u uw abonnement.
  5. Bij Resourcegroep selecteert u Test-FW-RG.
  6. Bij Regio selecteert u dezelfde locatie die u eerder hebt gebruikt.
  7. Bij Naam typt u Firewall-route.
  8. Selecteer Controleren + maken.
  9. Selecteer Maken.

Nadat de implementatie is voltooid, selecteert u Ga naar resource.

  1. Selecteer op de pagina Firewallroute de optie Subnetten en selecteer vervolgens Koppelen.

  2. Selecteer Virtueel netwerk>Test-FW-VN.

  3. Bij Subnet selecteert u Workload-SN. Zorg ervoor dat u alleen het subnet Workload-SN selecteert voor deze route, anders werkt de firewall niet correct.

  4. Selecteer OK.

  5. Selecteer Routes en vervolgens Toevoegen.

  6. Bij Routenaam typt u fw-dg.

  7. Bij Doeladresvoorvoegsel selecteert u IP-adressen.

  8. Typ 0.0.0.0.0/0 bij Doel-IP-adressen/CIDR-bereiken.

  9. Bij Volgend hoptype selecteert u Virtueel apparaat.

    Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.

  10. Bij Adres van de volgende hop typt u het privé-IP-adres voor de firewall dat u eerder hebt genoteerd.

  11. Selecteer Toevoegen.

Een toepassingsregel configureren

Dit is de toepassingsregel waarmee uitgaande toegang tot www.google.com wordt toegestaan.

  1. Open test-FW-RG en selecteer het firewallbeleid fw-test-pol .
  2. Selecteer Toepassingsregels.
  3. Selecteer Een regelverzameling toevoegen.
  4. Bij Naam typt u App-Coll01.
  5. Bij Prioriteit typt u 200.
  6. Selecteer Bij Actie voor regelverzameling de optie Toestaan.
  7. Onder Regels, bij Naam, typt u Allow-Google.
  8. Selecteer IP-adres bij Brontype.
  9. Typ bij Bron10.0.2.0/24.
  10. Bij Protocol:poort typt u http, https.
  11. Selecteer FQDN bij Doeltype.
  12. Bij Doel typt u www.google.com
  13. Selecteer Toevoegen.

Azure Firewall bevat een ingebouwde regelverzameling voor infrastructuur-FQDN’s die standaard zijn toegestaan. Deze FQDN’s zijn specifiek voor het platform en kunnen niet voor andere doeleinden worden gebruikt. Zie FQDN's voor infrastructuur voor meer informatie.

Een netwerkregel configureren

Dit is de netwerkregel waarmee uitgaande toegang tot twee IP-adressen op poort 53 (DNS) wordt toegestaan.

  1. Selecteer Netwerkregels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Bij Naam typt u Net-Coll01.
  4. Bij Prioriteit typt u 200.
  5. Selecteer Bij Actie voor regelverzameling de optie Toestaan.
  6. Selecteer bij RegelverzamelingsgroepDe optie DefaultNetworkRuleCollectionGroup.
  7. Onder Regels, bij Naam, typt u Allow-DNS.
  8. Bij Brontype selecteert u IP-adres.
  9. Typ bij Bron10.0.2.0/24.
  10. Bij Protocol selecteert u UDP.
  11. Bij Doelpoorten typt u 53.
  12. Bij Doeltype selecteert u IP-adres.
  13. Bij Bestemming typt u 209.244.0.3,209.244.0.4.
    Dit zijn openbare DNS-servers die worden beheerd door Level3.
  14. Selecteer Toevoegen.

Een DNAT-regel configureren

Met deze regel kunt u een extern bureaublad via de firewall verbinden met de virtuele machine Srv-Work.

  1. Selecteer de DNAT-regels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Typ rdp bij Naam.
  4. Bij Prioriteit typt u 200.
  5. Bij Regelverzamelingsgroep selecteert u DefaultDnatRuleCollectionGroup.
  6. Onder Regels typt u bij Naam de naam rdp-nat.
  7. Selecteer IP-adres bij Brontype.
  8. Typ bij Bron* .
  9. Bij Protocol selecteert u TCP.
  10. Typ bij Doelpoorten3389.
  11. Bij Doeltype selecteert u IP-adres.
  12. Bij Doel typt u het openbare IP-adres van de firewall (fw-pip).
  13. Bij Omgezet adres typt u het privé-IP-adres voor Srv-work.
  14. Bij Vertaalde poort typt u 3389.
  15. Selecteer Toevoegen.

Het primaire en secundaire DNS-adres voor de netwerkinterface Srv-Work wijzigen

Configureer voor testdoeleinden in deze instructie de primaire en secundaire DNS-adressen van de server. Dit is geen algemene Azure Firewall-vereiste.

  1. Selecteer in het menu van Azure-portal de optie Resourcegroepen of zoek ernaar en selecteer Resourcegroepen vanaf een willekeurige pagina. Selecteer de resourcegroep Test-FW-RG.
  2. Selecteer de netwerkinterface voor de virtuele machine Srv-Work.
  3. Selecteer onder Instellingen de optie DNS-servers.
  4. Selecteer onder DNS-servers de optie Aangepast.
  5. Typ 209.244.0.3 in het tekstvak DNS-server toevoegen en 209.244.0.4 in het volgende tekstvak.
  6. Selecteer Opslaan.
  7. Start de virtuele machine Srv-Work opnieuw.

De firewall testen

Test nu de firewall om te controleren of deze werkt zoals verwacht.

  1. Verbind een extern bureaublad met het openbare IP-adres van de firewall (fw-pip) en meld u aan bij de virtuele machine Srv-Work .

  2. Open Internet Explorer en blader naar https://www.google.com.

  3. Selecteer OK>Sluiten in de beveiligingswaarschuwingen van Internet Explorer.

    U zou nu de startpagina van Google moeten zien.

  4. Blader naar http://www.microsoft.com.

    U zou nu door de firewall moeten worden geblokkeerd.

Nu u hebt geverifieerd dat de firewallregels werken:

  • U kunt een extern bureaublad verbinden met de Srv-Work virtuele machine.
  • Kunt u bladeren naar de enige toegestane FQDN, maar niet naar andere.
  • Kunt u DNS-namen omzetten met behulp van de geconfigureerde externe DNS-server.

Resources opschonen

U kunt uw firewallresources bewaren voor verdere tests of, indien niet meer nodig, de resourcegroep Test-FW-RG verwijderen om alle firewallgerelateerde resources te verwijderen.

Volgende stappen

Azure Firewall Premium implementeren en configureren