Samouczek: wdrażanie i konfigurowanie Azure Firewall i zasad przy użyciu Azure Portal

  • Artykuł

Kontrolowanie dostępu do sieciowego ruchu wychodzącego jest ważną częścią ogólnego planu zabezpieczeń sieci. Możesz na przykład ograniczyć dostęp do witryn internetowych. Możesz też ograniczyć wychodzące adresy IP i porty, do których można uzyskać dostęp.

Jednym ze sposobów kontrolowania dostępu do sieci wychodzącej z podsieci platformy Azure jest użycie Azure Firewall i zasad zapory. Za pomocą Azure Firewall i zasad zapory można skonfigurować:

  • Reguły aplikacji, które definiują w pełni kwalifikowane nazwy domen (FQDN), do których można uzyskać dostęp z podsieci.
  • Reguły sieci, które definiują adres źródłowy, protokół, port docelowy i adres docelowy.

Ruch sieciowy podlega skonfigurowanym regułom zapory podczas kierowania ruchu sieciowego do zapory jako bramy domyślnej podsieci.

W tym samouczku utworzysz uproszczoną pojedynczą sieć wirtualną z dwiema podsieciami w celu łatwego wdrożenia.

  • AzureFirewallSubnet — w tej podsieci znajduje się zapora.
  • Workload-SN — w tej podsieci znajduje się serwer obciążeń. Ruch sieciowy tej podsieci przechodzi przez zaporę.

Infrastruktura sieci samouczka

W przypadku wdrożeń produkcyjnych zalecany jest model gwiazdy , w którym zapora znajduje się we własnej sieci wirtualnej. Serwery obciążeń znajdują się w równorzędnych sieciach wirtualnych w tym samym regionie z co najmniej jedną podsiecią.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Konfigurowanie testowego środowiska sieciowego
  • Wdrażanie zasad zapory i zapory
  • Tworzenie trasy domyślnej
  • Konfigurowanie reguły aplikacji w celu zezwolenia na dostęp do www.google.com
  • Konfigurowanie reguły sieci w celu umożliwienia dostępu do zewnętrznych serwerów DNS
  • Konfigurowanie reguły translatora adresów sieciowych w celu zezwolenia na pulpit zdalny na serwerze testowym
  • Testowanie zapory

Jeśli wolisz, możesz wykonać tę procedurę przy użyciu Azure PowerShell.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Konfigurowanie sieci

Najpierw utwórz grupę zasobów zawierającą zasoby wymagane do wdrożenia zapory. Następnie utwórz sieć wirtualną, podsieci i serwer testowy.

Tworzenie grupy zasobów

Grupa zasobów zawiera wszystkie zasoby wymagane w tym samouczku.

  1. Zaloguj się w witrynie Azure Portal.

  2. W menu Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie, a następnie wybierz pozycję Dodaj. Wprowadź lub wybierz poniższe wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz swoją subskrypcję platformy Azure.
    Grupa zasobów Wprowadź ciąg Test-FW-RG.
    Region (Region) Wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.

  3. Wybierz pozycję Przejrzyj i utwórz.

  4. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej

Ta sieć wirtualna będzie mieć dwie podsieci.

Uwaga

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz często zadawane pytania dotyczące Azure Firewall.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wybierz pozycję Sieć.

  3. Wyszukaj pozycję Sieć wirtualna i wybierz ją.

  4. Wybierz pozycję Utwórz, a następnie wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz swoją subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję Test-FW-RG.
    Nazwa Wprowadź ciąg Test-FW-VN.
    Region (Region) Wybierz tę samą lokalizację, której użyto wcześniej.

  5. Wybierz pozycję Dalej: adresy IP.

  6. W przypadku przestrzeni adresowej IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.

  7. W obszarze Podsieć wybierz pozycję domyślną.

  8. W polu Nazwa podsieci zmień nazwę na AzureFirewallSubnet. Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.

  9. W polu Zakres adresów wpisz wartość 10.0.1.0/26.

  10. Wybierz pozycję Zapisz.

    Następnie utwórz podsieć dla serwera obciążenia.

  11. Wybierz pozycję Dodaj podsieć.

  12. W polu Nazwa podsieci wpisz Workload-SN.

  13. W polu Zakres adresów podsieci wpisz 10.0.2.0/24.

  14. Wybierz pozycję Dodaj.

  15. Wybierz pozycję Przejrzyj i utwórz.

  16. Wybierz pozycję Utwórz.

Tworzenie maszyny wirtualnej

Teraz utwórz maszynę wirtualną obciążenia i umieść ją w podsieci Workload-SN .

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wybierz pozycję Windows Server 2019 Datacenter.

  3. Wprowadź lub wybierz następujące wartości dla maszyny wirtualnej:

    Ustawienie Wartość
    Subskrypcja Wybierz swoją subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję Test-FW-RG.
    Nazwa maszyny wirtualnej Wprowadź wartość Srv-Work.
    Region (Region) Wybierz tę samą lokalizację, której użyto wcześniej.
    Nazwa użytkownika Wprowadź nazwę użytkownika.
    Hasło Wprowadź hasło.

  4. W obszarze Reguły portów przychodzącychpubliczne porty przychodzące wybierz pozycję Brak.

  5. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne dysku i wybierz pozycję Dalej: Sieć.

  7. Upewnij się, że wybrano opcję Test-FW-VN dla sieci wirtualnej, a podsieć to Workload-SN.

  8. W obszarze Publiczny adres IP wybierz pozycję Brak.

  9. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Zarządzanie.

  10. Wybierz pozycję Wyłącz, aby wyłączyć diagnostykę rozruchu. Zaakceptuj inne wartości domyślne i wybierz pozycję Przejrzyj i utwórz.

  11. Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

  12. Po zakończeniu wdrażania wybierz zasób Srv-Work i zanotuj prywatny adres IP do późniejszego użycia.

Wdrażanie zapory i zasad

Wdróż zaporę w sieci wirtualnej.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wpisz zaporę w polu wyszukiwania i naciśnij klawisz Enter.

  3. Wybierz pozycję Zapora , a następnie wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:

    Ustawienie Wartość
    Subskrypcja Wybierz swoją subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję Test-FW-RG.
    Nazwa Wprowadź wartość Test-FW01.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
    Zarządzanie zaporą Wybierz pozycję Użyj zasad zapory, aby zarządzać tą zaporą.
    Zasady zapory Wybierz pozycję Dodaj nową, a następnie wprowadź wartość fw-test-pol.
    Wybierz ten sam region, który był wcześniej używany.
    Wybieranie sieci wirtualnej Wybierz pozycję Użyj istniejącej, a następnie wybierz pozycję Test-FW-VN.
    Publiczny adres IP Wybierz pozycję Dodaj nową, a następnie wprowadź wartość fw-pip w polu Nazwa.

  5. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie potrwa klika minut.

  7. Po zakończeniu wdrażania przejdź do grupy zasobów Test-FW-RG i wybierz zaporę Test-FW01 .

  8. Zanotuj prywatne i publiczne adresy IP zapory. Te adresy będą używane później.

Tworzenie trasy domyślnej

Na potrzeby podsieci Workload-SN skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.

  1. W menu Azure Portal wybierz pozycję Wszystkie usługi lub wyszukaj i wybierz pozycję Wszystkie usługi na dowolnej stronie.

  2. W obszarze Sieć wybierz pozycję Tabele tras.

  3. Wybierz pozycję Utwórz, a następnie wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz swoją subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję Test-FW-RG.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
    Nazwa Wprowadź wartość Firewall-route(Trasa zapory).

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz.

Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

  1. Na stronie Zapora-route wybierz pozycję Podsieci , a następnie wybierz pozycję Skojarz.
  2. Wybierz pozycję Sieć >wirtualnaTest-FW-VN.
  3. W obszarze Podsieć wybierz pozycję Workload-SN. Upewnij się, że wybrano tylko podsieć Workload-SN dla tej trasy, w przeciwnym razie zapora nie będzie działać poprawnie.
  4. Wybierz przycisk OK.
  5. Wybierz pozycję Trasy , a następnie wybierz pozycję Dodaj.
  6. W polu Nazwa trasy wprowadź wartość fw-dg.
  7. W polu Prefiks adresu wprowadź wartość 0.0.0.0/0.
  8. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne. Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.
  9. W polu Adres następnego przeskoku wprowadź prywatny adres IP zanotowany wcześniej zapory.
  10. Wybierz przycisk OK.

Konfigurowanie reguły aplikacji

Jest to reguła aplikacji, która zezwala na dostęp wychodzący do www.google.comusługi .

  1. Otwórz grupę zasobów Test-FW-RG i wybierz zasady zapory fw-test-pol .
  2. Wybierz pozycję Reguły aplikacji.
  3. Wybierz pozycję Dodaj kolekcję reguł.
  4. W polu Nazwa wprowadź ciąg App-Coll01.
  5. W polu Priorytet wprowadź wartość 200.
  6. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
  7. W obszarze Reguły w polu Nazwa wprowadź wartość Allow-Google.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wprowadź wartość 10.0.2.0/24.
  10. W polu Protocol:port wprowadź ciąg http, https.
  11. W polu Typ docelowy wybierz nazwę FQDN.
  12. W polu Miejsce docelowe wprowadź wartość www.google.com
  13. Wybierz pozycję Dodaj.

Usługa Azure Firewall zawiera wbudowaną kolekcję reguł dla nazw FQDN infrastruktury, które domyślnie są dozwolone. Te nazwy FQDN są specyficzne dla platformy i nie można ich używać do innych celów. Aby uzyskać więcej informacji, zobacz Infrastrukturalne nazwy FQDN.

Konfigurowanie reguły sieci

Jest to reguła sieci, która umożliwia ruchowi wychodzącemu dostęp do dwóch adresów IP na porcie 53 (DNS).

  1. Wybierz pozycję Reguły sieciowe.
  2. Wybierz pozycję Dodaj kolekcję reguł.
  3. W polu Nazwa wprowadź wartość Net-Coll01.
  4. W polu Priorytet wprowadź wartość 200.
  5. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
  6. W obszarze Grupa kolekcji reguł wybierz pozycję DefaultNetworkRuleCollectionGroup.
  7. W obszarze Reguły w polu Nazwa wprowadź wartość Allow-DNS.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wprowadź wartość 10.0.2.0/24.
  10. W polu Protokół wybierz UDP.
  11. W polu Porty docelowe wprowadź wartość 53.
  12. W polu Typ miejsca docelowego wybierz pozycję Adres IP.
  13. W polu Miejsce docelowe wprowadź wartość 209.244.0.3,209.244.0.4.
    Są to publiczne serwery DNS obsługiwane przez CenturyLink.
  14. Wybierz pozycję Dodaj.

Konfigurowanie reguły DNAT

Ta reguła umożliwia połączenie pulpitu zdalnego z maszyną wirtualną Srv-Work przez zaporę.

  1. Wybierz reguły DNAT.
  2. Wybierz pozycję Dodaj kolekcję reguł.
  3. W polu Nazwa wprowadź wartość rdp.
  4. W polu Priorytet wprowadź wartość 200.
  5. W obszarze Grupa kolekcji reguł wybierz pozycję DefaultDnatRuleCollectionGroup.
  6. W obszarze Reguły w polu Nazwa wprowadź wartość rdp-nat.
  7. W polu Typ źródła wybierz pozycję Adres IP.
  8. W polu Źródło wprowadź wartość *.
  9. W polu Protokół wybierz TCP.
  10. W polu Porty docelowe wprowadź wartość 3389.
  11. W polu Typ miejsca docelowego wybierz pozycję Adres IP.
  12. W polu Miejsce docelowe wprowadź publiczny adres IP zapory.
  13. W polu Przetłumaczony adres wprowadź prywatny adres IP Srv-work .
  14. W polu Przetłumaczony port wprowadź wartość 3389.
  15. Wybierz pozycję Dodaj.

Zmienianie podstawowego i pomocniczego adresu DNS dla interfejsu sieciowego Srv-Work

Na potrzeby testowania w tym samouczku skonfiguruj podstawowe i pomocnicze adresy DNS serwera. Nie jest to ogólne wymaganie Azure Firewall.

  1. W menu Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Wybierz grupę zasobów Test-FW-RG .
  2. Wybierz interfejs sieciowy dla maszyny wirtualnej Srv-Work .
  3. W obszarze Ustawienia wybierz pozycję Serwery DNS.
  4. W obszarze Serwery DNS wybierz pozycję Niestandardowe.
  5. Wprowadź ciąg 209.244.0.3 w polu tekstowym Dodawanie serwera DNS i 209.244.0.4 w następnym polu tekstowym.
  6. Wybierz pozycję Zapisz.
  7. Uruchom ponownie maszynę wirtualną Srv-Work.

Testowanie zapory

Teraz przetestuj zaporę, aby potwierdzić, że działa zgodnie z oczekiwaniami.

  1. Połącz pulpit zdalny z publicznym adresem IP zapory i zaloguj się do maszyny wirtualnej Srv-Work .

  2. Otwórz program Internet Explorer i przejdź do https://www.google.com.

  3. Wybierz przycisk OK>Zamknij w alertach zabezpieczeń programu Internet Explorer.

    Powinna zostać wyświetlona strona główna Google.

  4. Przejdź na stronę https://www.microsoft.com.

    Dostęp powinien zostać zablokowany przez zaporę.

Teraz sprawdziliśmy, czy reguły zapory działają:

  • Możesz przejść do jednej z dozwolonych nazw FQDN, ale nie do innych.
  • Możesz rozpoznać nazwy DNS przy użyciu skonfigurowanego zewnętrznego serwera DNS.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby kolejnego samouczka, a jeśli nie będą już potrzebne, możesz usunąć grupę zasobów Test-FW-RG, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki

Wdrażanie i konfigurowanie Azure Firewall Premium