Wersja robocza i wdrożenie usługi Azure Firewall

Organizacje często muszą zaktualizować zasady usługi Azure Firewall z różnych powodów, takich jak dołączanie nowych aplikacji lub obciążeń, rozwiązywanie problemów z zabezpieczeniami, przeprowadzanie konserwacji lub optymalizowanie zasad przez scalanie lub usuwanie nieużywanych reguł. Te aktualizacje mogą obejmować wielu współautorów, a każda zmiana może potrwać kilka minut.

Korzystając z wersji roboczej i wdrażania zasad usługi Azure Firewall, można usprawnić ten proces przy użyciu podejścia dwufazowego:

• Wersja robocza: Wprowadź wiele zmian wspólnie, zapisanych w wersji roboczej tymczasowej polityki sklonowanej z twojej obecnie zastosowanej polityki. Te zmiany nie wpływają na zasady na żywo.

• Wdrożenie: Zastosuj wszystkie zmiany jednocześnie, wdrażając wersję roboczą, zastępując bieżące zastosowane zasady zaktualizowaną wersją.

Obsługiwane scenariusze i ograniczenia

Funkcja Wersja robocza i Wdrażanie jest przeznaczona dla określonych przypadków użycia i ma pewne ograniczenia:

Obsługiwane scenariusze

• Ta funkcja jest dostępna wyłącznie dla zasad usługi Azure Firewall. Nie obsługuje ona zapór skonfigurowanych przy użyciu reguł klasycznych.

Ograniczenia

• Wersja robocza jest tworzona jako klon aktualnie stosowanych zasad. Wszelkie zmiany wprowadzone w zastosowanych zasadach po utworzeniu wersji roboczej nie zostaną odzwierciedlone w wersji roboczej, chyba że zostaną ręcznie zaktualizowane.
• Wdrożenie wersji roboczej zastępuje wszystkie zastosowane zasady. Zmiany wprowadzone w zastosowanych zasadach po utworzeniu wersji roboczej nie zostaną zachowane, chyba że zostaną one również dodane do wersji roboczej.
• Tworzenie nowej grupy kolekcji reguł (RCG) nie jest obsługiwane bezpośrednio w wersji roboczej zasad.
• W danym momencie dla zasad może istnieć tylko jedna wersja robocza.

Wymagania wstępne

• Jeśli nie masz subskrypcji platformy Azure, możesz utworzyć bezpłatne konto , aby rozpocząć pracę.
• Aby użyć tej funkcji z interfejsem wiersza polecenia platformy Azure, upewnij się, że zainstalowano i zaktualizowano rozszerzenie usługi Azure Firewall do wersji 1.2.3 lub nowszej.

Uwaga / Notatka

W przypadku korzystania z tej funkcji za pośrednictwem programu Azure PowerShell lub interfejsu API REST platformy Azure należy najpierw pobrać bieżące zasady i ręcznie utworzyć wersję roboczą na jej podstawie. Natomiast użycie portalu Azure lub interfejsu CLI automatycznie generuje wersję roboczą z istniejących zasad.

Użyj wersji roboczej + wdrożenia

Usługa Azure Firewall Draft + Deployment umożliwia zbiorcze aktualizowanie zasad zapory przed ich zastosowaniem do środowiska produkcyjnego.

Portal

1. W portalu Azure przejdź do istniejącej polityki zapory lub utwórz nową.

2. Na stronie Zasady usługi Azure Firewall w sekcji Zarządzanie wybierz pozycję Wersja robocza i wdrożenie, a następnie wybierz pozycję Utwórz nową wersję roboczą. Spowoduje to utworzenie wersji roboczej, która jest dokładną kopią bieżących zastosowanych zasad.

3. Na stronie roboczej wprowadź zmiany lub dodatki do reguł lub ustawień. Te strony są identyczne z tymi w wdrożonych zasadach. Zmiany zostaną zastosowane tylko podczas wdrażania wersji roboczej.

   

4. Aby zweryfikować zmiany, wróć do ekranu Wdrażanie , aby przejrzeć zaktualizowane reguły lub ustawienia. Aby zastosować zmiany, wybierz pozycję Wdróż wersję roboczą. Po wdrożeniu wersja robocza zastępuje bieżące zasady i staje się najnowszą wersją. Wersja robocza zostanie usunięta po wdrożeniu.

   

5. Powtórz ten proces zgodnie z potrzebami, aby wprowadzić dalsze aktualizacje polityki zapory.

CLI

1. Uruchom polecenie az login , aby zalogować się do konta platformy Azure:

   az login
   

2. Utwórz wersję roboczą za pomocą polecenia az network firewall policy draft create . To polecenie tworzy wersję roboczą bieżących zastosowanych zasad. Możesz użyć parametrów --policy-name i --resource-group, aby określić nazwę i grupę zasobów polityki zapory.

   az network firewall policy draft create --policy-name fw-policy --resource-group test-rg
   

3. Zaktualizuj ustawienia wersji roboczej za pomocą polecenia az network firewall policy draft update. To polecenie umożliwia zmodyfikowanie trybu analizy zagrożeń i trybu IDPS dla wersji roboczej. Użyj parametru --threat-intel-mode aby ustawić żądany tryb analizy zagrożeń i parametru --idps-mode celu skonfigurowania trybu wykrywania i zapobiegania włamaniom (IDPS).

   az network firewall policy draft update --policy-name fw-policy --resource-group test-rg --threat-intel-mode Off --idps-mode Deny
   

4. Aktualizowanie reguł wersji roboczej

   • Utwórz nową grupę kolekcji reguł (RCG) przy użyciu polecenia az network firewall policy rule-collection-group draft create :

     az network firewall policy rule-collection-group draft create --rule-collection-group-name rcg-b --policy-name fw-policy --resource-group test-rg --priority 303
     

   • Dodawanie kolekcji reguł NAT do istniejącego RCG w wersji roboczej

     az network firewall policy rule-collection-group draft collection add-nat-collection \
           --name nat_collection_1 \
           --collection-priority 10003 \
           --policy-name fw-policy \
           --resource-group test-rg \
           --rule-collection-group-name rcg-c \
           --action DNAT \
           --rule-name network_rule_21 \
           --description "test" \
           --destination-addresses "202.120.36.15" \
           --source-addresses "202.120.36.13" "202.120.36.14" \
           --translated-address 128.1.1.1 \
           --translated-port 1234 \
           --destination-ports 12000 12001 \
           --ip-protocols TCP UDP
     

5. Wyświetl szczegóły wersji roboczej za pomocą polecenia az network firewall policy draft show :

   az network firewall policy draft show --policy-name fw-policy --resource-group test-rg
   

6. Wdróż wersję roboczą, aby zastosować zmiany za pomocą polecenia az network firewall policy deploy :

   az network firewall policy deploy --name fw-policy --resource-group test-rg
   

7. Odrzuć wersję roboczą, jeśli nie jest już potrzebna, używając polecenia az network firewall policy draft delete.

   az network firewall policy draft delete --policy-name fw-policy --resource-group test-rg
   

PowerShell

1. Użyj polecenia cmdlet New-AzFirewallPolicyDraft , aby utworzyć wersję roboczą bieżących zastosowanych zasad. Określ nazwę zasad i grupę zasobów:

   New-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
   

2. Użyj polecenia cmdlet Set-AzFirewallPolicyDraft , aby zaktualizować ustawienia w wersji roboczej. Można na przykład zaktualizować tryb analizy zagrożeń i tryb IDPS:

   Set-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg -ThreatIntelWhitelist $threatIntelWhitelist
   

3. Zaktualizuj reguły wersji roboczej przy użyciu następujących poleceń cmdlet:

   • Aby utworzyć nową grupę kolekcji reguł (RCG) w wersji roboczej, użyj polecenia cmdlet New-AzFirewallPolicyRuleCollectionGroupDraft. Określ nazwę RCG, grupę zasobów i nazwę zasad:

   New-AzFirewallPolicyRuleCollectionGroupDraft -AzureFirewallPolicyRuleCollectionGroupName rcg-a -ResourceGroupName test-rg -AzureFirewallPolicyName fw-policy -Priority 200
   

   • Użyj polecenia cmdlet Set-AzFirewallPolicyRuleCollectionGroupDraft , aby dodać kolekcję reguł NAT do istniejącego RCG w wersji roboczej:

   $rule1 = New-AzFirewallPolicyApplicationRule -Name "Allow-HTTP" -Protocol "Http:80" -SourceAddress "10.0.0.0/24" -TargetFqdn www.example.com
   
   $rule2 = New-AzFirewallPolicyApplicationRule -Name "Allow-HTTPS-2" -Protocol "Https:443" -SourceAddress "10.0.0.0/24" -TargetFqdn "www.secureexample.com"  
   
   $ruleCollection = New-AzFirewallPolicyFilterRuleCollection -Name "Allow-Rules" -Priority 100 -Rule $rule1, $rule2 -ActionType Allow   
   
   Set-AzFirewallPolicyRuleCollectionGroupDraft -AzureFirewallPolicyRuleCollectionGroupName rcg-b -ResourceGroupName test-rg -AzureFirewallPolicyName fw-policy -Priority 400 -RuleCollection $ruleCollection
   

4. Użyj polecenia cmdlet Get-AzFirewallPolicyDraft , aby wyświetlić szczegóły wersji roboczej:

   Get-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
   

5. Użyj polecenia cmdlet Deploy-AzFirewallPolicy aby zastosować zmiany w wersji roboczej do aktywnych zasad.

   Deploy-AzFirewallPolicy -Name fw-policy -ResourceGroupName test-rg
   

6. Jeśli chcesz odrzucić wersję roboczą bez stosowania zmian, użyj polecenia cmdlet Remove-AzFirewallPolicyDraft :

   Remove-AzFirewallPolicyDraft -AzureFirewallPolicyName fw-policy -ResourceGroupName test-rg
   

Dalsze kroki

Wdrażanie i konfigurowanie usługi Azure Firewall — wersja Premium