Udostępnij przez

Wdrażanie i konfigurowanie Azure Firewall Basic i polityki przy użyciu portalu Azure

Usługa Azure Firewall w warstwie Podstawowa zapewnia podstawową ochronę, których klienci SMB potrzebują w przystępnej cenie. To rozwiązanie jest zalecane w środowiskach klientów protokołu SMB z wymaganiami dotyczącymi przepływności mniejszej niż 250 Mb/s. Zaleca się wdrożenie SKU w wersji Standardowej dla środowisk z wymaganiami przepustowości powyżej 250 Mb/s oraz SKU w wersji Premium na potrzeby zaawansowanej ochrony przed zagrożeniami.

Filtrowanie ruchu sieciowego i aplikacji jest ważną częścią ogólnego planu zabezpieczeń sieci. Na przykład możesz ograniczyć dostęp do witryn internetowych. Możesz też ograniczyć wychodzące adresy IP i porty, do których można uzyskać dostęp.

Jednym ze sposobów kontrolowania dostępu do sieci przychodzącej i wychodzącej z podsieci platformy Azure jest użycie usługi Azure Firewall i polityki zapory. Za pomocą usługi Azure Firewall i zasad zapory można skonfigurować:

  • Reguły aplikacji, które definiują w pełni kwalifikowane nazwy domen (FQDN), do których można uzyskać dostęp z podsieci.
  • Reguły sieci, które definiują adres źródłowy, protokół, port docelowy i adres docelowy.
  • Reguły DNAT do tłumaczenia i filtrowania ruchu internetowego przychodzącego do podsieci.

Ruch sieciowy jest poddawany skonfigurowanym regułom zapory, gdy kierujesz go do zapory jako bramy domyślnej podsieci.

W tym poradniku utworzysz uproszczoną pojedynczą sieć wirtualną z trzema podsieciami dla ułatwienia wdrożenia. Zapora Podstawowa ma obowiązkowe wymaganie konfiguracji z kartą sieciową zarządzania.

  • AzureFirewallSubnet — w tej podsieci znajduje się zapora.
  • AzureFirewallManagementSubnet — dla ruchu zarządzania usługami.
  • Workload-SN — w tej podsieci znajduje się serwer obciążeń. Ruch sieciowy tej podsieci przechodzi przez zaporę.

Uwaga / Notatka

Ponieważ Azure Firewall Basic ma ograniczony ruch w porównaniu do Azure Firewall Standard lub Premium SKU, wymaga podsieci AzureFirewallManagementSubnet, aby oddzielić ruch klientów od ruchu zarządzania Microsoft, przez co zapewnione jest brak zakłóceń w jego działaniu. Ten ruch związany z zarządzaniem jest wymagany w przypadku aktualizacji i komunikacji metryk kondycji, która odbywa się automatycznie tylko do i z firmy Microsoft. Żadne inne połączenia nie są dozwolone w tym adresie IP.

W przypadku wdrożeń produkcyjnych zalecany jest model hub-and-spoke, w którym zapora znajduje się we własnej sieci wirtualnej. Serwery obciążeń znajdują się w sparowanych sieciach wirtualnych w tym samym regionie, posiadających jedną lub więcej podsieci.

Z tego przewodnika dowiesz się, jak wykonywać następujące działania:

  • Konfigurowanie testowego środowiska sieciowego
  • Wdrażanie podstawowej zapory ogniowej i podstawowej polityki zapory ogniowej
  • Tworzenie trasy domyślnej
  • Konfigurowanie reguły aplikacji w celu zezwolenia na dostęp do www.google.com
  • Konfigurowanie reguły sieci w celu umożliwienia dostępu do zewnętrznych serwerów DNS
  • Skonfiguruj regułę NAT, aby umożliwić połączenie z pulpitem zdalnym z serwerem testowym.
  • Testowanie zapory

Jeśli wolisz, możesz wykonać tę procedurę przy użyciu programu Azure PowerShell.

Wymagania wstępne

Jeśli nie masz subskrypcji Azure, przed rozpoczęciem utwórz darmowe konto.

Tworzenie grupy zasobów

Grupa zasobów zawiera wszystkie zasoby dla instrukcji.

  1. Zaloguj się do witryny Azure Portal.
  2. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Następnie wybierz Utwórz.
  3. W polu Subskrypcja wybierz swoją subskrypcję.
  4. W polu Nazwa grupy zasobów wprowadź Test-FW-RG.
  5. W obszarze Region wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
  6. Wybierz opcję Recenzja i utwórz.
  7. Wybierz Utwórz.

Wdrażanie zapory i zasad

Wdróż zaporę i utwórz powiązaną infrastrukturę sieciową.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wpisz firewall w polu wyszukiwania i naciśnij Enter.

  3. Wybierz pozycję Zapora, a następnie wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory użyj poniższej tabeli, aby skonfigurować zaporę:

    Setting Wartość
    Subscription <Twoja subskrypcja>
    Grupa zasobów Test-FW-RG
    Name Test-FW01
    Region Wybierz tę samą lokalizację, która była wcześniej używana
    Warstwa zapory ogniowej Basic
    Zarządzanie zaporą Użyj zasad zapory, aby zarządzać tą zaporą
    Zasady zapory Dodaj nowy:
    fw-test-pol
    Twój wybrany region
    Warstwa polityki powinna być domyślnie ustawiona na Podstawowa
    Wybieranie sieci wirtualnej Utwórz nową
    Nazwa: Test-FW-VN
    Przestrzeń adresowa: 10.0.0.0/16
    Przestrzeń adresowa podsieci: 10.0.0.0/26
    Publiczny adres IP Dodaj nowy:
    Nazwa: fw-pip
    Zarządzanie — przestrzeń adresowa podsieci 10.0.1.0/26
    Adres IP publicznego zarządzania Dodaj nowy
    fw-mgmt-pip

  5. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie potrwa klika minut.

  7. Po zakończeniu wdrażania przejdź do grupy zasobów Test-FW-RG i wybierz zaporę Test-FW01 .

  8. Zanotuj prywatne i publiczne adresy IP zapory ogniowej (fw-pip). Będziesz używać tych adresów później.

Tworzenie podsieci dla serwera obciążenia

Następnie utwórz podsieć dla serwera obciążenia.

  1. Przejdź do grupy zasobów Test-FW-RG i wybierz sieć wirtualną Test-FW-VN .
  2. Wybierz pozycję Podsieci.
  3. Wybierz pozycję Podsieć.
  4. W polu Nazwa podsieci wpisz Workload-SN.
  5. W polu Zakres adresów podsieci wpisz 10.0.2.0/24.
  6. Wybierz Zapisz.

Tworzenie maszyny wirtualnej

Teraz utwórz maszynę wirtualną dla obciążenia i umieść ją w podsieci Workload-SN.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wybierz pozycję Windows Server 2019 Datacenter.

  3. Wprowadź poniższe wartości dla maszyny wirtualnej:

    Setting Wartość
    Grupa zasobów Test-FW-RG
    Nazwa maszyny wirtualnej Srv-Work
    Region Tak samo jak poprzedni
    obraz Windows Server 2019 Datacenter
    Nazwa użytkownika administratora Wpisz nazwę użytkownika
    Hasło Wpisz hasło

  4. W obszarze Reguły portów wejściowychpubliczne porty wejściowe wybierz pozycję Brak.

  5. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne dysku i wybierz pozycję Dalej: Sieć.

  7. Upewnij się, że wybrano opcję Test-FW-VN dla sieci wirtualnej, a podsieć to Workload-SN.

  8. W obszarze Publiczny adres IP wybierz pozycję Brak.

  9. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Zarządzanie.

  10. Wybierz pozycję Dalej: Monitorowanie.

  11. Wybierz pozycję Wyłącz, aby wyłączyć diagnostykę rozruchu. Zaakceptuj inne wartości domyślne i wybierz pozycję Przejrzyj i utwórz.

  12. Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

  13. Po zakończeniu wdrażania wybierz zasób Srv-Work i zanotuj prywatny adres IP do późniejszego użycia.

Tworzenie trasy domyślnej

W przypadku podsieci Workload-SN skonfiguruj domyślną trasę ruchu wychodzącego, aby przejść przez zaporę.

  1. W menu witryny Azure Portal wybierz pozycję Wszystkie usługi lub wyszukaj i wybierz pozycję Wszystkie usługi na dowolnej stronie.
  2. W obszarze Sieć wybierz pozycję Tabele tras.
  3. Wybierz Utwórz.
  4. W polu Subskrypcja wybierz swoją subskrypcję.
  5. W grupie zasobów wybierz Test-FW-RG.
  6. W polu Region wybierz tę samą lokalizację, która była wcześniej używana.
  7. W polu Nazwa wpisz Firewall-route.
  8. Wybierz opcję Recenzja i utwórz.
  9. Wybierz Utwórz.

Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

  1. Na panelu tras zapory wybierz Podsieci i następnie wybierz Skojarz.

  2. Wybierz Sieć Wirtualna>Test-FW-VN.

  3. W polu Podsieć wybierz pozycję Workload-SN. Upewnij się, że wybrano tylko podsieć Workload-SN dla tej trasy. W przeciwnym razie zapora nie będzie działać poprawnie.

  4. Kliknij przycisk OK.

  5. Wybierz pozycję Trasy , a następnie wybierz pozycję Dodaj.

  6. W polu Nazwa trasy wpisz fw-dg.

  7. W polu Miejsce docelowe prefiksu adresu wybierz pozycję Adresy IP.

  8. W polu Docelowe adresy IP/zakresy CIDR wpisz 0.0.0.0/0.

  9. W polu Typ następnego przeskoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall jest usługą zarządzaną, ale urządzenie wirtualne działa w tej sytuacji.

  10. W polu Adres następnego przeskoku wpisz prywatny adres IP zapory sieciowej, który zanotowałeś wcześniej.

  11. Wybierz Dodaj.

Konfigurowanie reguły aplikacji

Jest to reguła aplikacji, która zezwala na dostęp wychodzący do www.google.com.

  1. Otwórz element Test-FW-RG i wybierz politykę zapory fw-test-pol.
  2. Wybierz pozycję Reguły aplikacji.
  3. Wybierz pozycję Dodaj kolekcję reguł.
  4. W polu Nazwa wpisz App-Coll01.
  5. W polu Priorytet wpisz wartość 200.
  6. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
  7. W obszarze Reguły w polu Nazwa wpisz Allow-Google.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wpisz 10.0.2.0/24.
  10. W polu Protocol:port wpisz http, https.
  11. W polu Typ docelowy wybierz pozycję FQDN.
  12. W polu Miejsce docelowe wpisz www.google.com
  13. Wybierz Dodaj.

Usługa Azure Firewall zawiera wbudowany zbiór reguł dla infrastrukturalnych FQDN, które są domyślnie dozwolone. Te nazwy FQDN są specyficzne dla platformy i nie można ich używać do innych celów. Aby uzyskać więcej informacji, zobacz Infrastruktura FQDN.

Konfigurowanie reguły sieci

Jest to reguła sieci, która zezwala na dostęp wychodzący do dwóch adresów IP na porcie 53 (DNS).

  1. Wybierz Reguły sieci.
  2. Wybierz pozycję Dodaj kolekcję reguł.
  3. W polu Nazwa wpisz Net-Coll01.
  4. W polu Priorytet wpisz wartość 200.
  5. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
  6. W Grupa kolekcji reguł wybierz pozycję DefaultNetworkRuleCollectionGroup.
  7. W obszarze Reguły w polu Nazwa wpisz Allow-DNS.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wpisz 10.0.2.0/24.
  10. W polu Protokół wybierz pozycję UDP.
  11. Dla Portów docelowych wpisz 53.
  12. W polu Typ docelowy wybierz pozycję Adres IP.
  13. W polu Miejsce docelowe wpisz 209.244.0.3,209.244.0.4.
    Są to publiczne serwery DNS obsługiwane przez poziom 3.
  14. Wybierz Dodaj.

Konfigurowanie reguły DNAT

Ta reguła umożliwia łączenie pulpitu zdalnego z maszyną wirtualną Srv-Work przez zaporę.

  1. Wybierz reguły DNAT.
  2. Wybierz pozycję Dodaj kolekcję reguł.
  3. W polu Nazwa wpisz rdp.
  4. W polu Priorytet wpisz wartość 200.
  5. Dla grupy kolekcji reguł wybierz DefaultDnatRuleCollectionGroup.
  6. W obszarze Reguły w polu Nazwa wpisz rdp-nat.
  7. W polu Typ źródła wybierz pozycję Adres IP.
  8. W polu Źródło wpisz *.
  9. W polu Protokół wybierz TCP.
  10. W polu Porty docelowe wpisz 3389.
  11. W polu Typ docelowy wybierz pozycję Adres IP.
  12. W polu Miejsce docelowe wpisz publiczny adres IP zapory sieciowej (fw-pip).
  13. W polu Przetłumaczony adres wpisz prywatny adres IP Srv-work .
  14. W polu Przekierowywany port wpisz 3389.
  15. Wybierz Dodaj.

Zmienianie podstawowego i pomocniczego adresu DNS dla interfejsu sieciowego Srv-Work

Na potrzeby testowania w tym instrukcji skonfiguruj podstawowe i pomocnicze adresy DNS serwera. Nie jest to ogólne wymaganie usługi Azure Firewall.

  1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Wybierz grupę zasobów Test-FW-RG .
  2. Wybierz interfejs sieciowy dla maszyny wirtualnej Srv-Work .
  3. W obszarze Ustawienia wybierz pozycję Serwery DNS.
  4. Pod Serwery DNS, wybierz Niestandardowe.
  5. Wpisz 209.244.0.3 w polu tekstowym Dodaj serwer DNS i 209.244.0.4 w następnym polu tekstowym.
  6. Wybierz Zapisz.
  7. Uruchom ponownie maszynę wirtualną Srv-Work .

Testowanie zapory

Teraz przetestuj zaporę, aby potwierdzić, że działa zgodnie z oczekiwaniami.

  1. Połącz pulpit zdalny z publicznym adresem IP zapory (fw-) i zaloguj się do maszyny wirtualnej Srv-Work .

  2. Otwórz program Internet Explorer i przejdź do https://www.google.com.

  3. Wybierz przycisk OK>Zamknij w alertach zabezpieczeń programu Internet Explorer.

    Powinna zostać wyświetlona strona główna Google.

  4. Przejdź do http://www.microsoft.com.

    Powinieneś być zablokowany przez zaporę ogniową.

Teraz sprawdziliśmy, czy reguły zapory działają:

  • Pulpit zdalny można połączyć z maszyną wirtualną Srv-Work.
  • Możesz przejść do jednej dozwolonej nazwy FQDN, ale nie do żadnej innej.
  • Możesz rozpoznać nazwy DNS przy użyciu skonfigurowanego zewnętrznego serwera DNS.

Uprzątnij zasoby

Możesz zachować zasoby zapory na potrzeby dalszego testowania lub, jeśli nie są już potrzebne, usuń grupę zasobów Test-FW-RG , aby usunąć wszystkie zasoby związane z zaporą.

Dalsze kroki

Wdrażanie i konfigurowanie usługi Azure Firewall — wersja Premium

  • Last updated on