Wdrażanie i konfigurowanie usługi Azure Firewall przy użyciu witryny Azure Portal

  • Artykuł

Kontrolowanie dostępu do sieciowego ruchu wychodzącego jest ważną częścią ogólnego planu zabezpieczeń sieci. Na przykład możesz ograniczyć dostęp do witryn sieci Web. Możesz też ograniczyć wychodzące adresy IP i porty, do których można uzyskać dostęp.

Jednym ze sposobów kontrolowania dostępu do sieciowego ruchu wychodzącego z podsieci platformy Azure jest użycie usługi Azure Firewall. Za pomocą usługi Azure Firewall można skonfigurować następujące reguły:

  • Reguły aplikacji, które definiują w pełni kwalifikowane nazwy domen (FQDN), do których można uzyskać dostęp z podsieci.
  • Reguły sieci, które definiują adres źródłowy, protokół, port docelowy i adres docelowy.

Ruch sieciowy podlega skonfigurowanym regułom zapory podczas kierowania ruchu sieciowego do zapory jako bramy domyślnej podsieci.

W tym artykule utworzysz uproszczoną pojedynczą sieć wirtualną z dwiema podsieciami w celu łatwego wdrożenia.

W przypadku wdrożeń produkcyjnych zalecany jest model piasty i szprychy , w którym zapora znajduje się w własnej sieci wirtualnej. Serwery obciążeń znajdują się w równorzędnych sieciach wirtualnych w tym samym regionie z co najmniej jedną podsiecią.

  • AzureFirewallSubnet — w tej podsieci znajduje się zapora.
  • Workload-SN — w tej podsieci znajduje się serwer obciążeń. Ruch sieciowy tej podsieci przechodzi przez zaporę.

Infrastruktura sieciowa

W tym artykule omówiono sposób wykonywania następujących zadań:

  • Konfigurowanie testowego środowiska sieciowego
  • Wdrażanie zapory
  • Tworzenie trasy domyślnej
  • Konfigurowanie reguły aplikacji w celu zezwolenia na dostęp do www.google.com
  • Konfigurowanie reguły sieci w celu umożliwienia dostępu do zewnętrznych serwerów DNS
  • Konfigurowanie reguły translatora adresów sieciowych w celu umożliwienia pulpitu zdalnego na serwerze testowym
  • Testowanie zapory

Uwaga

W tym artykule użyto klasycznych reguł zapory do zarządzania zaporą. Preferowaną metodą jest użycie zasad zapory. Aby wykonać tę procedurę przy użyciu zasad zapory, zobacz Samouczek: wdrażanie i konfigurowanie Azure Firewall i zasad przy użyciu Azure Portal

Jeśli wolisz, możesz wykonać tę procedurę przy użyciu Azure PowerShell.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Konfigurowanie sieci

Najpierw utwórz grupę zasobów zawierającą zasoby wymagane do wdrożenia zapory. Następnie utwórz sieć wirtualną, podsieci i serwer testowy.

Tworzenie grupy zasobów

Grupa zasobów zawiera wszystkie zasoby używane w tej procedurze.

  1. Zaloguj się do witryny Azure Portal pod adresem https://portal.azure.com.
  2. W menu Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Następnie wybierz pozycję Utwórz.
  3. W polu Subskrypcja wybierz subskrypcję.
  4. W polu Nazwa grupy zasobów wpisz Test-FW-RG.
  5. W obszarze Region wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
  6. Wybierz pozycję Przejrzyj i utwórz.
  7. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej

Ta sieć wirtualna będzie miała dwie podsieci.

Uwaga

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Azure Firewall — często zadawane pytania.

  1. W menu Azure Portal lub na stronie głównej wyszukaj pozycję Sieci wirtualne.

  2. Wybierz pozycję Sieci wirtualne w okienku wyników.

  3. Wybierz przycisk Utwórz.

  4. W polu Subskrypcja wybierz subskrypcję.

  5. W obszarze Grupa zasobów wybierz pozycję Test-FW-RG.

  6. W polu Nazwa wpisz wartość Test-FW-VN.

  7. Wybierz pozycję Dalej: adresy IP.

  8. W obszarze Przestrzeń adresowa zaakceptuj wartość domyślną 10.0.0.0/16.

  9. W obszarze Nazwa podsieci wybierz pozycję domyślną i zmień ją na AzureFirewallSubnet. Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.

  10. W polu Zakres adresów podsieci zmień go na 10.0.1.0/26.

  11. Wybierz pozycję Zapisz.

    Następnie utwórz podsieć dla serwera obciążenia.

  12. Wybierz pozycję Dodaj podsieć.

  13. W polu Nazwa podsieci wpisz Workload-SN.

  14. W polu Zakres adresów podsieci wpisz 10.0.2.0/24.

  15. Wybierz pozycję Dodaj.

  16. Wybierz pozycję Przejrzyj i utwórz.

  17. Wybierz pozycję Utwórz.

Tworzenie maszyny wirtualnej

Teraz utwórz maszynę wirtualną obciążenia i umieść ją w podsieci Workload-SN .

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wybierz pozycję Windows Server 2019 Datacenter.

  3. Wprowadź poniższe wartości dla maszyny wirtualnej:

    Ustawienie Wartość
    Grupa zasobów Test-FW-RG
    Nazwa maszyny wirtualnej Srv-Work
    Region (Region) Tak samo jak poprzednio
    Obraz Windows Server 2019 Datacenter
    Nazwa użytkownika administratora Wpisz nazwę użytkownika
    Hasło Wpisz hasło

  4. W obszarze Reguły portów przychodzącychpubliczne porty przychodzące wybierz pozycję Brak.

  5. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne dysku i wybierz pozycję Dalej: Sieć.

  7. Upewnij się, że wybrano opcję Test-FW-VN dla sieci wirtualnej, a podsieć to Workload-SN.

  8. W obszarze Publiczny adres IP wybierz pozycję Brak.

  9. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Zarządzanie.

  10. Zaakceptuj wartości domyślne i wybierz pozycję Dalej: Monitorowanie.

  11. W obszarze Diagnostyka rozruchu wybierz pozycję Wyłącz , aby wyłączyć diagnostykę rozruchu. Zaakceptuj inne wartości domyślne i wybierz pozycję Przejrzyj i utwórz.

  12. Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

  13. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu i zanotuj prywatny adres IP Srv-Work , który będzie potrzebny później.

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresÓW IP dostępu wychodzącego zapewnia wychodzący adres IP, którego nie można skonfigurować.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy publiczny adres IP jest przypisany do maszyny wirtualnej, maszyna wirtualna jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia z regułami ruchu wychodzącego lub bez niego albo jeśli zasób bramy translatora adresów sieciowych platformy Azure Virtual Network jest przypisany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przez zestawy skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Wdrażanie zapory

Wdróż zaporę w sieci wirtualnej.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wpisz zaporę w polu wyszukiwania i naciśnij klawisz Enter.

  3. Wybierz pozycję Zapora, a następnie wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:

    Ustawienie Wartość
    Subskrypcja <Twoja subskrypcja>
    Grupa zasobów Test-FW-RG
    Nazwa Test-FW01
    Region (Region) Wybierz tę samą lokalizację, której użyto poprzednio
    Jednostka SKU zapory Standardowa
    Zarządzanie zaporą Zarządzanie tą zaporą za pomocą reguł zapory (klasycznej)
    Wybieranie sieci wirtualnej Użyj istniejącej: Test-FW-VN
    Publiczny adres IP Dodaj nowy
    Nazwa: fw-pip

  5. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie potrwa klika minut.

  7. Po zakończeniu wdrażania wybierz zasób Przejdź do zasobu.

  8. Zanotuj prywatne i publiczne adresy IP zapory. Te adresy będą używane później.

Tworzenie trasy domyślnej

Podczas tworzenia trasy dla łączności wychodzącej i przychodzącej przez zaporę domyślna trasa do 0.0.0.0.0/0 z prywatnym adresem IP urządzenia wirtualnego jako następny przeskok jest wystarczająca. Dzięki temu wszystkie połączenia wychodzące i przychodzące będą przechodzić przez zaporę. Jeśli na przykład zapora spełnia uzgadnianie TCP i odpowiada na przychodzące żądanie, odpowiedź jest kierowana do adresu IP, który wysłał ruch. Jest to celowe.

W związku z tym nie ma potrzeby tworzenia dodatkowej trasy zdefiniowanej przez użytkownika w celu uwzględnienia zakresu adresów IP usługi AzureFirewallSubnet. Może to spowodować porzucone połączenia. Oryginalna trasa domyślna jest wystarczająca.

Na potrzeby podsieci Workload-SN skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.

  1. Na Azure Portal wyszukaj tabele tras.
  2. Wybierz pozycję Tabele tras w okienku wyników.
  3. Wybierz przycisk Utwórz.
  4. W polu Subskrypcja wybierz subskrypcję.
  5. W obszarze Grupa zasobów wybierz pozycję Test-FW-RG.
  6. W polu Region wybierz tę samą lokalizację, która była używana wcześniej.
  7. W polu Nazwa wpisz wartość Firewall-route.
  8. Wybierz pozycję Przejrzyj i utwórz.
  9. Wybierz pozycję Utwórz.

Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

  1. Na stronie Zapora-trasa wybierz pozycję Podsieci , a następnie wybierz pozycję Skojarz.

  2. W obszarze Sieć wirtualna wybierz pozycję Test-FW-VN.

  3. W obszarze Podsieć wybierz pozycję Workload-SN. Upewnij się, że wybrano tylko podsieć Workload-SN dla tej trasy. W przeciwnym razie zapora nie będzie działać poprawnie.

  4. Wybierz przycisk OK.

  5. Wybierz pozycję Trasy , a następnie wybierz pozycję Dodaj.

  6. W polu Nazwa trasy wpisz fw-dg.

  7. W polu Miejsce docelowe prefiksu adresu wybierz pozycję Adresy IP.

  8. W polu Docelowe adresy IP/zakresy CIDR wpisz wartość 0.0.0.0/0.

  9. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.

  10. W polu Adres następnego skoku wpisz wcześniej zanotowany prywatny adres IP zapory.

  11. Wybierz pozycję Dodaj.

Konfigurowanie reguły aplikacji

Jest to reguła aplikacji, która zezwala na dostęp wychodzący do usługi www.google.com.

  1. Otwórz zaporę Test-FW-RG i wybierz zaporę Test-FW01 .
  2. Na stronie Test-FW01 w obszarze Ustawienia wybierz pozycję Reguły (klasyczne).
  3. Wybierz kartę Kolekcja reguł aplikacji .
  4. Wybierz pozycję Dodaj kolekcję reguł aplikacji.
  5. W polu Nazwa wpisz wartość App-Coll01.
  6. W polu Priorytet wpisz wartość 200.
  7. W polu Akcja wybierz opcję Zezwalaj.
  8. W obszarze Reguły, docelowe nazwy FQDN, w polu Nazwa wpisz Allow-Google.
  9. W polu Typ źródła wybierz pozycję Adres IP.
  10. W polu Źródło wpisz wartość 10.0.2.0/24.
  11. W polu Protocol:port wpisz wartość http, https.
  12. W polu Target FQDNS (Docelowe nazwy FQDN) wpisz www.google.com
  13. Wybierz pozycję Dodaj.

Usługa Azure Firewall zawiera wbudowaną kolekcję reguł dla nazw FQDN infrastruktury, które domyślnie są dozwolone. Te nazwy FQDN są specyficzne dla platformy i nie można ich używać do innych celów. Aby uzyskać więcej informacji, zobacz Infrastrukturalne nazwy FQDN.

Konfigurowanie reguły sieci

Jest to reguła sieci, która umożliwia ruchowi wychodzącemu dostęp do dwóch adresów IP na porcie 53 (DNS).

  1. Wybierz kartę Kolekcja reguł sieciowych .

  2. Wybierz pozycję Dodaj kolekcję reguł sieciowych.

  3. W polu Nazwa wpisz wartość Net-Coll01.

  4. W polu Priorytet wpisz wartość 200.

  5. W polu Akcja wybierz opcję Zezwalaj.

  6. W obszarze Regułyadresy IP w polu Nazwa wpisz Allow-DNS.

  7. W polu Protokół wybierz UDP.

  8. W polu Typ źródła wybierz pozycję Adres IP.

  9. W polu Źródło wpisz wartość 10.0.2.0/24.

  10. W polu Typ miejsca docelowego wybierz pozycję Adres IP.

  11. W polu Adres docelowy wpisz 209.244.0.3,209.244.0.4

    Są to publiczne serwery DNS obsługiwane przez poziom 3.

  12. W polu Porty docelowe wpisz wartość 53.

  13. Wybierz pozycję Dodaj.

Konfigurowanie reguły DNAT

Ta reguła umożliwia łączenie pulpitu zdalnego z maszyną wirtualną Srv-Work za pośrednictwem zapory.

  1. Wybierz kartę Kolekcja reguł translatora adresów sieciowych .
  2. Wybierz pozycję Dodaj kolekcję reguł translatora adresów sieciowych.
  3. W polu Nazwa wpisz rdp.
  4. W polu Priorytet wpisz wartość 200.
  5. W obszarze Reguły w polu Nazwa wpisz rdp-nat.
  6. W polu Protokół wybierz TCP.
  7. W polu Typ źródła wybierz pozycję Adres IP.
  8. W polu Źródło wpisz *.
  9. W polu Adres docelowy wpisz publiczny adres IP zapory.
  10. W polu Porty docelowe wpisz wartość 3389.
  11. W polu Przetłumaczony adres wpisz prywatny adres IP Srv-work.
  12. W polu Przekształcony port wpisz 3389.
  13. Wybierz pozycję Dodaj.

Zmienianie podstawowego i pomocniczego adresu DNS dla interfejsu sieciowego Srv-Work

Na potrzeby testowania skonfiguruj podstawowe i pomocnicze adresy DNS serwera. Nie jest to ogólne wymaganie Azure Firewall.

  1. W menu Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Wybierz grupę zasobów Test-FW-RG .
  2. Wybierz interfejs sieciowy dla maszyny wirtualnej Srv-Work .
  3. W obszarze Ustawienia wybierz pozycję Serwery DNS.
  4. W obszarze Serwery DNS wybierz pozycję Niestandardowe.
  5. Wpisz 209.244.0.3 i naciśnij klawisz Enter w polu tekstowym Dodaj serwer DNS i 209.244.0.4 w następnym polu tekstowym.
  6. Wybierz pozycję Zapisz.
  7. Uruchom ponownie maszynę wirtualną Srv-Work.

Testowanie zapory

Teraz przetestuj zaporę, aby potwierdzić, że działa zgodnie z oczekiwaniami.

  1. Połącz pulpit zdalny z publicznym adresem IP zapory i zaloguj się do maszyny wirtualnej Srv-Work.

  2. Otwórz program Internet Explorer i przejdź do https://www.google.com.

  3. Wybierz przycisk OK>Zamknij w alertach zabezpieczeń programu Internet Explorer.

    Powinna zostać wyświetlona strona główna Google.

  4. Przejdź na stronę https://www.microsoft.com.

    Dostęp powinien zostać zablokowany przez zaporę.

Teraz sprawdziliśmy, czy reguły zapory działają:

  • Połączenie z maszyną wirtualną można nawiązać przy użyciu protokołu RDP.
  • Możesz przejść do jednej z dozwolonych nazw FQDN, ale nie do innych.
  • Możesz rozpoznać nazwy DNS przy użyciu skonfigurowanego zewnętrznego serwera DNS.

Czyszczenie zasobów

Zasoby zapory można zachować, aby kontynuować testowanie lub jeśli nie są już potrzebne, usuń grupę zasobów Test-FW-RG , aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki