Azure Firewall Premium implementeren en configureren

Azure Firewall Premium is een firewall van de volgende generatie met mogelijkheden die vereist zijn voor zeer gevoelige en gereguleerde omgevingen. Het bevat de volgende functies:

• TLS-inspectie : ontsleutelt uitgaand verkeer, verwerkt de gegevens, versleutelt de gegevens en verzendt deze naar de bestemming.
• IDPS : met een netwerkinbraakdetectie en -preventiesysteem (IDPS) kunt u netwerkactiviteiten controleren op schadelijke activiteiten, informatie over deze activiteit vastleggen, rapporteren en eventueel proberen te blokkeren.
• URL-filtering : breidt de FQDN-filtermogelijkheid van Azure Firewall uit om een volledige URL te overwegen. Bijvoorbeeld, www.contoso.com/a/c in plaats van www.contoso.com.
• Webcategorieën : beheerders kunnen gebruikerstoegang tot websitecategorieën toestaan of weigeren, zoals gokwebsites, websites voor sociale media en anderen.

Zie Azure Firewall Premium-functies voor meer informatie.

U gebruikt een sjabloon voor het implementeren van een testomgeving met een centraal VNet (10.0.0.0/16) met drie subnetten:

• een werkrolsubnet (10.0.10.0/24)
• een Azure Bastion-subnet (10.0.20.0/24)
• een firewallsubnet (10.0.100.0/24)

Belangrijk

De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

In deze testomgeving wordt één centraal VNet gebruikt om het eenvoudig te maken. Voor productiedoeleinden is een hub- en spoke-topologie met peered VNets gebruikelijker.

De virtuele machine van de werkrol is een client waarmee HTTP/S-aanvragen via de firewall worden verzonden.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

De infrastructuur implementeren

Met de sjabloon wordt een volledige testomgeving geïmplementeerd voor Azure Firewall Premium ingeschakeld met IDPS, TLS-inspectie, URL-filtering en webcategorieën:

• een nieuw Azure Firewall Premium- en firewallbeleid met vooraf gedefinieerde instellingen om eenvoudige validatie van de kernmogelijkheden mogelijk te maken (IDPS, TLS-inspectie, URL-filtering en webcategorieën)
• implementeert alle afhankelijkheden, waaronder Key Vault en een beheerde identiteit. In een productieomgeving zijn deze resources mogelijk al gemaakt en niet nodig in dezelfde sjabloon.
• genereert zelfondertekende basis-CA en implementeert deze in de gegenereerde Sleutelkluis
• genereert een afgeleide tussenliggende CA en implementeert deze op een virtuele Windows-testmachine (WorkerVM)
• Er wordt ook een Bastion Host (BastionHost) geïmplementeerd en kan worden gebruikt om verbinding te maken met de Windows-testmachine (WorkerVM)

De firewall testen

U kunt nu IDPS-, TLS-inspectie-, webfilters en webcategorieën testen.

Diagnostische instellingen voor firewall toevoegen

Als u firewalllogboeken wilt verzamelen, moet u diagnostische instellingen toevoegen om firewalllogboeken te verzamelen.

1. Selecteer de DemoFirewall en selecteer onder Bewaking diagnostische instellingen.
2. Selecteer Diagnostische instellingen toevoegen.
3. Voor de naam van de diagnostische instelling typt u fw-diag.
4. Selecteer onder logboek AzureFirewallApplicationRule en AzureFirewallNetworkRule.
5. Selecteer Onder Doeldetails de optie Verzenden naar Log Analytics-werkruimte.
6. Selecteer Opslaan.

IDPS-tests

Als u IDPS wilt testen, moet u uw eigen interne testwebserver implementeren met een geschikt servercertificaat. Deze test omvat het verzenden van schadelijk verkeer naar een webserver, dus het is niet raadzaam om dit te doen op een openbare webserver. Zie Azure Firewall Premium-certificaten voor meer informatie over azure Firewall Premium-certificaatvereisten.

U kunt verschillende HTTP-headers beheren curl en schadelijk verkeer simuleren.

IdPS testen voor HTTP-verkeer:

1. Open op de virtuele Machine workerVM een opdrachtpromptvenster van de beheerder.

2. Typ de volgende opdracht bij de opdrachtprompt:

   curl -A "HaxerMen" <your web server address>

3. U ziet het antwoord van de webserver.

4. Ga naar de firewallnetwerkregellogboeken in Azure Portal om een waarschuwing te vinden die vergelijkbaar is met het volgende bericht:

   { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS: 
   USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Tojan was 
   detected”}
   

   Notitie

   Het kan enige tijd duren voordat de gegevens worden weergegeven in de logboeken. Geef het ten minste een paar minuten om de logboeken te laten beginnen met het weergeven van de gegevens.

5. Voeg een handtekeningregel toe voor handtekening 2032081:

   1. Selecteer DemoFirewallPolicy en selecteer onder Instellingen IDPS.
   2. Selecteer het tabblad Handtekeningregels .
   3. Typ onder Handtekening-id in het geopende tekstvak 2032081.
   4. Selecteer Weigeren onder Modus.
   5. Selecteer Opslaan.
   6. Wacht tot de implementatie is voltooid voordat u doorgaat.

6. Voer op WorkerVM de curl opdracht opnieuw uit:

   curl -A "HaxerMen" <your web server address>

   Omdat de HTTP-aanvraag nu wordt geblokkeerd door de firewall, ziet u de volgende uitvoer nadat de time-out van de verbinding is verlopen:

   read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

7. Ga naar de monitorlogboeken in Azure Portal en zoek het bericht voor de geblokkeerde aanvraag.

IDPS testen voor HTTPS-verkeer

Herhaal deze curl-tests met HTTPS in plaats van HTTP. Voorbeeld:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

Als het goed is, ziet u dezelfde resultaten als bij de HTTP-tests.

TLS-inspectie met URL-filtering

Gebruik de volgende stappen om TLS-inspectie te testen met URL-filtering.

1. Bewerk de toepassingsregels voor het firewallbeleid en voeg een nieuwe regel toe die aan de AllowWeb regelverzameling wordt aangeroepenAllowURL. Configureer de doel-URL, bron-IP-adres*, doeltype-URL, selecteer TLS-inspectie en protocollen http, https.www.nytimes.com/section/world

2. Wanneer de implementatie is voltooid, opent u een browser op WorkerVM en gaat u naar https://www.nytimes.com/section/world en valideert u of het HTML-antwoord wordt weergegeven zoals verwacht in de browser.

3. In Azure Portal kunt u de volledige URL bekijken in de logboeken voor bewaking van toepassingsregels:

   

Sommige HTML-pagina's zien er mogelijk onvolledig uit omdat ze verwijzen naar andere URL's die worden geweigerd. U kunt dit probleem oplossen door de volgende aanpak te volgen:

• Als de HTML-pagina koppelingen naar andere domeinen bevat, kunt u deze domeinen toevoegen aan een nieuwe toepassingsregel met toegang tot deze FQDN's.

• Als de HTML-pagina koppelingen naar sub-URL's bevat, kunt u de regel wijzigen en een sterretje toevoegen aan de URL. Bijvoorbeeld: targetURLs=www.nytimes.com/section/world*

  U kunt ook een nieuwe URL toevoegen aan de regel. Voorbeeld:

  www.nytimes.com/section/world, www.nytimes.com/section/world/*

Testen van webcategorieën

Laten we een toepassingsregel maken om toegang tot sportwebsites toe te staan.

1. Open uw resourcegroep in de portal en selecteer DemoFirewallPolicy.

2. Selecteer Toepassingsregels en voeg vervolgens een regelverzameling toe.

3. Bij Naam typt u GeneralWeb, Priority103, groep Regelverzameling de optie DefaultApplicationRuleCollectionGroup.

4. Onder Regels voor naamtype AllowSports, Bron*, Protocolhttp, https, selecteer TLS-inspectie, doeltype webcategorieën, Doel selecteren Sport.

5. Selecteer Toevoegen.

   

6. Wanneer de implementatie is voltooid, gaat u naar WorkerVM en opent u een webbrowser en bladert u naar https://www.nfl.com.

   U ziet de NFL-webpagina en in het toepassingsregellogboek ziet u dat er een webcategorie: sportregel is vergeleken en dat de aanvraag is toegestaan.

Volgende stappen

• Een POC bouwen voor TLS-inspectie in Azure Firewall
• Azure Firewall Premium in Azure Portal