Udostępnij przez

Samouczek: wdrażanie i konfigurowanie usługi Azure Firewall oraz zasad przy użyciu witryny Azure Portal

Kontrolowanie dostępu do sieciowego ruchu wychodzącego jest ważną częścią ogólnego planu zabezpieczeń sieci. Na przykład możesz ograniczyć dostęp do witryn internetowych. Możesz też ograniczyć wychodzące adresy IP i porty, do których można uzyskać dostęp.

Jednym ze sposobów kontrolowania wychodzącego dostępu do sieci z podsieci platformy Azure jest użycie usługi Azure Firewall i zasad zapory. Za pomocą usługi Azure Firewall i zasad zapory można skonfigurować:

  • Reguły aplikacji, które definiują w pełni kwalifikowane nazwy domen (FQDN), do których można uzyskać dostęp z podsieci.
  • Reguły sieci, które definiują adres źródłowy, protokół, port docelowy i adres docelowy.

Ruch sieciowy podlega skonfigurowanym regułom zapory podczas kierowania ruchu sieciowego do zapory jako bramy domyślnej podsieci.

W tym samouczku utworzysz uproszczoną pojedynczą sieć wirtualną z dwiema podsieciami w celu łatwego wdrożenia.

  • AzureFirewallSubnet — w tej podsieci znajduje się zapora.
  • Workload-SN — w tej podsieci znajduje się serwer obciążeń. Ruch sieciowy tej podsieci przechodzi przez zaporę.

Diagram infrastruktury sieciowej zapory.

W przypadku wdrożeń produkcyjnych zalecany jest model piasty i szprych, w którym zapora znajduje się we własnej sieci wirtualnej. Serwery obciążeń znajdują się w równorzędnych sieciach wirtualnych w tym samym regionie z co najmniej jedną podsiecią.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Konfigurowanie testowego środowiska sieciowego
  • Wdrażanie zasad zapory i zapory
  • Tworzenie trasy domyślnej
  • Konfigurowanie reguły aplikacji w celu zezwolenia na dostęp do www.google.com
  • Konfigurowanie reguły sieci w celu umożliwienia dostępu do zewnętrznych serwerów DNS
  • Skonfiguruj regułę translatora adresów sieciowych, aby zezwolić na przychodzący dostęp HTTP do serwera testowego.
  • Testowanie zapory

Jeśli wolisz, możesz wykonać tę procedurę przy użyciu programu Azure PowerShell.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Konfigurowanie sieci

Najpierw utwórz grupę zasobów zawierającą zasoby wymagane do wdrożenia zapory. Następnie utwórz sieć wirtualną, podsieci i serwer testowy.

Tworzenie grupy zasobów

Grupa zasobów zawiera wszystkie zasoby wymagane w tym samouczku.

  1. Zaloguj się w witrynie Azure Portal.

  2. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie, a następnie wybierz pozycję Utwórz. Wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wprowadź wartość Test-FW-RG.
    Region (Region) Wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.

  3. Wybierz pozycję Przejrzyj i utwórz.

  4. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej

Ta sieć wirtualna ma dwie podsieci.

Uwaga

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wybierz pozycję Sieć.

  3. Wyszukaj pozycję Sieć wirtualna i wybierz pozycję Utwórz.

  4. Wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję Test-FW-RG.
    Nazwisko Wprowadź ciąg Test-FW-VN.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.

  5. Wybierz Dalej.

  6. Na karcie Zabezpieczenia wybierz pozycję Dalej.

  7. W przypadku przestrzeni adresowej IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.

  8. W obszarze Podsieci wybierz pozycję domyślne.

  9. Na stronie Edytowanie podsieci w obszarze Podsieć wybierz pozycję Azure Firewall.

    Zapora znajduje się w tej podsieci, a nazwa podsieci musi być azureFirewallSubnet.

  10. W polu Adres początkowy wpisz 10.0.1.0.

  11. Wybierz pozycję Zapisz.

Następnie utwórz podsieć dla serwera obciążenia.

  1. Wybierz pozycję Dodaj podsieć.
  2. W polu Nazwa podsieci wpisz Workload-SN.
  3. W polu Adres początkowy wpisz 10.0.2.0/24.
  4. Wybierz Dodaj.
  5. Wybierz pozycję Przejrzyj i utwórz.
  6. Wybierz pozycję Utwórz.

Wdrażanie usługi Azure Bastion

Wdróż wersję Azure Bastion Developer, aby bezpiecznie nawiązać połączenie z maszyną wirtualną Srv-Work na potrzeby testowania.

  1. W polu wyszukiwania w górnej części portalu wprowadź wartość Bastion. Wybierz pozycję Bastions z wyników wyszukiwania.

  2. Wybierz pozycję Utwórz.

  3. Na stronie Tworzenie usługi Bastion wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję Test-FW-RG.
    Szczegóły wystąpienia
    Nazwisko Wprowadź Test-Bastion.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
    Warstwa Wybierz pozycję Deweloper.
    Sieć wirtualna Wybierz pozycję Test-FW-VN.
    Subnet Podsieć AzureBastionSubnet jest tworzona automatycznie z przestrzenią adresową 10.0.0.0/26.

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Przejrzyj ustawienia i wybierz pozycję Utwórz.

    Ukończenie wdrożenia trwa kilka minut.

Tworzenie maszyny wirtualnej

Teraz utwórz maszynę wirtualną obciążenia i umieść ją w podsieci Workload-SN .

  1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna, wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

  2. Wybierz pozycję Utwórz>maszynę wirtualną.

  3. Wprowadź lub wybierz następujące wartości dla maszyny wirtualnej:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję Test-FW-RG.
    Szczegóły wystąpienia
    Nazwa maszyny wirtualnej Wprowadź wartość Srv-Work.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
    Opcje dostępności Wybierz opcję Brak wymogu dot. nadmiarowości infrastruktury.
    Typ zabezpieczeń Wybierz opcję Standardowa.
    obraz Wybierz pozycję Ubuntu Server 24.04 LTS -x64 Gen2
    Rozmiar Wybierz rozmiar maszyny wirtualnej.
    Konto administratora
    Username Wprowadź azureuser.
    Źródło klucza publicznego SSH Wybierz pozycję Generuj nową parę kluczy.
    Nazwa pary kluczy Wprowadź Srv-Work_key.

  4. W obszarze Reguły portów wejściowych publiczne porty wejściowe wybierz pozycję Brak.

  5. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne dysku i wybierz pozycję Dalej: Sieć.

  7. Upewnij się, że wybrano opcję Test-FW-VN dla sieci wirtualnej, a podsieć to Workload-SN.

  8. W obszarze Publiczny adres IP wybierz pozycję Brak.

  9. Wybierz pozycję Przejrzyj i utwórz.

  10. Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

  11. Po wyświetleniu monitu wybierz pozycję Pobierz klucz prywatny i utwórz zasób. Zapisz plik klucza prywatnego na komputerze.

  12. Po zakończeniu wdrażania wybierz zasób Srv-Work i zanotuj prywatny adres IP do późniejszego użycia.

Instalowanie serwera internetowego

Nawiąż połączenie z maszyną wirtualną i zainstaluj serwer internetowy na potrzeby testowania.

  1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Wybierz grupę zasobów Test-FW-RG .

  2. Wybierz maszynę wirtualną Srv-Work .

  3. Wybierz pozycję Operacje>Uruchom polecenie>RunShellScript.

  4. W polu skryptu wprowadź następujące polecenia:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<html><body><h1>Azure Firewall DNAT Test</h1><p>If you can see this page, the DNAT rule is working correctly!</p></body></html>" | sudo tee /var/www/html/index.html

  5. Wybierz Uruchom.

  6. Poczekaj na pomyślne ukończenie skryptu.

Wdrażanie zapory i zasad

Wdróż zaporę w sieci wirtualnej.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wpisz zaporę w polu wyszukiwania i naciśnij Enter.

  3. Wybierz pozycję Zapora, a następnie wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję Test-FW-RG.
    Szczegóły wystąpienia
    Nazwisko Wprowadź ciąg Test-FW01.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
    SKU zapory ogniowej Wybierz opcję Standardowa.
    Zarządzanie zaporą Wybierz pozycję Użyj zasad zapory, aby zarządzać tą zaporą.
    Zasady zapory Wybierz pozycję Dodaj nową, a następnie wprowadź fw-test-pol.
    Wybierz ten sam region, który był wcześniej używany. Wybierz przycisk OK.
    Wybieranie sieci wirtualnej Wybierz pozycję Użyj istniejącej, a następnie wybierz pozycję Test-FW-VN. Zignoruj ostrzeżenie dotyczące wymuszonego tunelowania. Ostrzeżenie zostanie rozwiązane w późniejszym kroku.
    Publiczny adres IP Wybierz pozycję Dodaj nową, a następnie wprowadź ciąg fw- w polu Nazwa. Wybierz przycisk OK.

  5. Wyczyść pole wyboru Włącz kartę sieciową zarządzania zaporą.

  6. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Dalej: Tagi.

  7. Wybierz pozycję Dalej: Przejrzyj i utwórz.

  8. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie może potrwać kilka minut.

  9. Po zakończeniu wdrażania przejdź do grupy zasobów Test-FW-RG i wybierz zaporę Test-FW01 .

  10. Zanotuj prywatne i publiczne adresy IP zapory. Użyjesz tych adresów później.

Tworzenie trasy domyślnej

Na potrzeby podsieci Workload-SN skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.

  1. W menu witryny Azure Portal wybierz pozycję Wszystkie usługi lub wyszukaj i wybierz pozycję Wszystkie usługi na dowolnej stronie.

  2. W obszarze Sieć wybierz pozycję Tabele tras.

  3. Wybierz pozycję Utwórz, a następnie wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję Test-FW-RG.
    Szczegóły wystąpienia
    Nazwisko Wprowadź wartość Zapora-route.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz.

Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

  1. Na stronie Zapora-route w obszarze Ustawienia wybierz pozycję Podsieci, a następnie wybierz pozycję Skojarz.

  2. W obszarze Sieć wirtualna wybierz pozycję Test-FW-VN.

  3. W polu Podsieć wybierz pozycję Workload-SN.

  4. Wybierz przycisk OK.

  5. Wybierz pozycję Trasy , a następnie wybierz pozycję Dodaj.

  6. W polu Nazwa trasy wprowadź wartość fw-dg.

  7. W polu Typ docelowy wybierz pozycję Adresy IP.

  8. W polu Prefiks Docelowy adresy IP/zakresy CIDR wprowadź wartość 0.0.0.0/0.

  9. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.

  10. W polu Adres następnego przeskoku wprowadź prywatny adres IP zanotowany wcześniej zapory.

  11. Wybierz Dodaj.

Konfigurowanie reguły aplikacji

Jest to reguła aplikacji, która zezwala na dostęp wychodzący do usługi www.google.com.

  1. Otwórz grupę zasobów Test-FW-RG i wybierz zasady zapory fw-test-pol.
  2. W obszarzeReguły> wybierz pozycję Reguły aplikacji.
  3. Wybierz pozycję Dodaj kolekcję reguł.
  4. W polu Nazwa wprowadź ciąg App-Coll01.
  5. W polu Priorytet wprowadź wartość 200.
  6. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
  7. W obszarze Reguły w polu Nazwa wprowadź wartość Allow-Google.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wprowadź wartość 10.0.2.0/24.
  10. W polu Protocol:port wprowadź wartość http, https.
  11. W polu Typ docelowy wybierz pozycję FQDN.
  12. W polu Miejsce docelowe wprowadź wartość www.google.com
  13. Wybierz Dodaj.

Usługa Azure Firewall zawiera wbudowaną kolekcję reguł dla nazw FQDN infrastruktury, które domyślnie są dozwolone. Te nazwy FQDN są specyficzne dla platformy i nie można ich używać do innych celów. Aby uzyskać więcej informacji, zobacz Infrastrukturalne nazwy FQDN.

Poczekaj na ukończenie wdrożenia reguły aplikacji przed utworzeniem reguły sieciowej w następnych krokach.

Konfigurowanie reguły sieci

Jest to reguła sieci, która umożliwia ruchowi wychodzącemu dostęp do dwóch adresów IP na porcie 53 (DNS).

  1. Wybierz pozycję Reguły sieci.
  2. Wybierz pozycję Dodaj kolekcję reguł.
  3. W polu Nazwa wprowadź wartość Net-Coll01.
  4. W polu Priorytet wprowadź wartość 200.
  5. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
  6. W obszarze Grupa kolekcji reguł wybierz pozycję DefaultNetworkRuleCollectionGroup.
  7. W obszarze Reguły w polu Nazwa wprowadź wartość Allow-DNS.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wprowadź wartość 10.0.2.0/24.
  10. W polu Protokół wybierz UDP.
  11. W polu Porty docelowe wprowadź wartość 53.
  12. W polu Typ docelowy wybierz pozycję Adres IP.
  13. W polu Miejsce docelowe wprowadź wartość 209.244.0.3,209.244.0.4.
    Są to publiczne serwery DNS obsługiwane przez CenturyLink.
  14. Wybierz Dodaj.

Poczekaj na ukończenie wdrożenia reguły sieci przed utworzeniem reguły DNAT w następnych krokach.

Konfigurowanie reguły DNAT

Ta reguła umożliwia nawiązanie połączenia z serwerem internetowym na maszynie wirtualnej Srv-Work za pośrednictwem zapory.

  1. Wybierz reguły DNAT.
  2. Wybierz pozycję Dodaj kolekcję reguł.
  3. W polu Nazwa wprowadź wartość HTTP.
  4. W polu Priorytet wprowadź wartość 200.
  5. W obszarze Grupa kolekcji reguł wybierz pozycję DefaultDnatRuleCollectionGroup.
  6. W obszarze Reguły w polu Nazwa wprowadź wartość http-nat.
  7. W polu Typ źródła wybierz pozycję Adres IP.
  8. W polu Źródło wprowadź wartość *.
  9. W polu Protokół wybierz TCP.
  10. W polu Porty docelowe wprowadź wartość 80.
  11. W polu Miejsce docelowe wprowadź publiczny adres IP zapory.
  12. W polu Typ przetłumaczony wybierz pozycję Adres IP.
  13. W polu Przetłumaczony adres wprowadź prywatny adres IP Srv-work.
  14. W polu Przetłumaczony port wprowadź wartość 80.
  15. Wybierz Dodaj.

Zmienianie podstawowego i pomocniczego adresu DNS dla interfejsu sieciowego Srv-Work

Na potrzeby testowania w tym samouczku skonfiguruj podstawowe i pomocnicze adresy DNS serwera. Nie jest to ogólne wymaganie usługi Azure Firewall.

  1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Wybierz grupę zasobów Test-FW-RG .
  2. Wybierz interfejs sieciowy dla maszyny wirtualnej Srv-Work .
  3. W obszarze Ustawienia wybierz pozycję Serwery DNS.
  4. W obszarze Serwery DNS wybierz pozycję Niestandardowe.
  5. Wprowadź ciąg 209.244.0.3 w polu tekstowym Dodawanie serwera DNS i 209.244.0.4 w następnym polu tekstowym.
  6. Wybierz pozycję Zapisz.
  7. Uruchom ponownie maszynę wirtualną Srv-Work.

Testowanie zapory

Teraz przetestuj zaporę, aby potwierdzić, że działa zgodnie z oczekiwaniami.

Przetestuj regułę DNAT

  1. Otwórz przeglądarkę internetową na komputerze lokalnym.
  2. Na pasku adresu wprowadź http://<firewall-public-ip-address>, gdzie <firewall-public-ip-address> jest publicznym adresem IP zapory, którą zanotowałeś wcześniej.
  3. Powinna zostać wyświetlona niestandardowa strona internetowa: Test DNAT usługi Azure Firewall. Potwierdza to, że reguła DNAT działa, a ruch jest przekazywany do maszyny wirtualnej Srv-Work .

Testowanie reguł aplikacji i sieci

Użyj usługi Azure Bastion, aby bezpiecznie nawiązać połączenie z maszyną wirtualną Srv-Work i przetestować reguły zapory.

  1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Wybierz grupę zasobów Test-FW-RG .

  2. Wybierz maszynę wirtualną Srv-Work .

  3. Wybierz Połącz>przez Bastion.

  4. Na stronie Bastion wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Typ uwierzytelniania Wybierz Klucz prywatny SSH z pliku lokalnego.
    Username Wprowadź azureuser.
    Plik lokalny Wybierz pozycję Przeglądaj i wybierz plik Srv-Work_key.pem pobrany podczas tworzenia maszyny wirtualnej.

  5. Wybierz i podłącz.

    Zostanie otwarta nowa karta przeglądarki z sesją SSH na maszynie wirtualnej Srv-Work .

  6. W sesji SSH wprowadź następujące polecenie, aby przetestować dostęp do usługi Google:

    curl -I https://www.google.com

    Powinna zostać wyświetlona pomyślna odpowiedź HTTP (200 OK), wskazująca, że reguła aplikacji zezwala na dostęp do usługi Google.

  7. Teraz przetestuj dostęp do firmy Microsoft, który powinien zostać zablokowany. Wejść:

    curl -I https://www.microsoft.com

    Polecenie powinno wygasnąć lub nie powieść się po około 60 sekundach, co oznacza, że zapora sieciowa blokuje dostęp.

Teraz sprawdziliśmy, czy reguły zapory działają:

  • Dostęp do serwera internetowego można uzyskać za pośrednictwem reguły DNAT.
  • Możesz przejść do jednej z dozwolonych nazw FQDN, ale nie do innych.
  • Możesz rozpoznać nazwy DNS przy użyciu skonfigurowanego zewnętrznego serwera DNS.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby kolejnego samouczka, a jeśli nie będą już potrzebne, możesz usunąć grupę zasobów Test-FW-RG, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Wdrażanie i konfigurowanie usługi Azure Firewall — wersja Premium

  • Last updated on