Развертывание и настройка Брандмауэр Azure basic и политики с помощью портал Azure

  • Статья

Брандмауэр Azure Базовый обеспечивает необходимую защиту, необходимую клиентам SMB по доступной цене. Это решение рекомендуется для клиентских сред SMB с пропускной способностью менее 250 Мбит/с. Рекомендуется развернуть SKU "Стандартный" для сред с пропускной способностью более 250 Мбит/с и SKU "Премиум" для расширенной защиты от угроз.

Фильтрация сетевого трафика и трафика приложений является важной частью общего плана безопасности сети. Например, вы можете ограничить доступ к веб-сайтам или исходящим IP-адресам и портам, которые могут быть доступными.

Одним из способов управления входящим и исходящим сетевым доступом из подсети Azure является Брандмауэр Azure и политика брандмауэра. С помощью Брандмауэра Azure и политики брандмауэра можно настроить указанные ниже элементы.

  • Правила приложений, определяющие полные доменные имена (FQDN), к которым можно получить доступ из подсети.
  • Правила сети, определяющие адрес источника, протокол, порт назначения и адрес назначения.
  • Правила DNAT для преобразования и фильтрации входящего интернет-трафика в подсетях.

При маршрутизации трафика на брандмауэр, используемый в качестве шлюза по умолчанию, для подсети к трафику применяются настроенные правила брандмауэра.

В этом руководстве вы создадите упрощенную виртуальную сеть с тремя подсетями для простого развертывания. Брандмауэр "Базовый" имеет обязательное требование для настройки с помощью сетевой карты управления.

  • AzureFirewallSubnet — в этой подсети находится брандмауэр.
  • AzureFirewallManagementSubnet — для трафика управления службами.
  • Workload-SN — в этой подсети находится сервер рабочей нагрузки. Трафик этой подсети проходит через брандмауэр.

Примечание

Так как Брандмауэр Azure Базовый имеет ограниченный трафик по сравнению с SKU Брандмауэр Azure "Стандартный" или "Премиум", для этого требуется, чтобы сеть AzureFirewallManagementSubnet отделяла трафик клиента от трафика управления Майкрософт, чтобы обеспечить отсутствие перебоев в работе. Этот трафик управления необходим для автоматического обмена данными об обновлениях и метриках работоспособности только с корпорацией Майкрософт. Другие подключения по этому IP-адресу не разрешены.

Для развертываний в рабочей среде рекомендуется использовать звездообразную модель, в которой брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки размещены в одноранговых виртуальных сетях в одном регионе с одной или несколькими подсетями.

Из этого руководства вы узнаете, как выполнять следующие задачи:

  • настройка тестовой сетевой среды;
  • Развертывание базового брандмауэра и базовой политики брандмауэра
  • создание маршрута по умолчанию;
  • настройка правила приложения для предоставления доступа к www.google.com;
  • настройка сетевых правил для предоставления доступа к внешним DNS-серверам;
  • настройка правила NAT для подключения к тестовому серверу по протоколу удаленного рабочего стола;
  • тестирование брандмауэра.

При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.

Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Создание группы ресурсов

Группа ресурсов содержит все ресурсы для инструкций.

  1. Войдите на портал Azure.
  2. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Щелкните Создать.
  3. В качестве подписки выберите свою подписку.
  4. В качестве имени группы ресурсов введите Test-FW-RG.
  5. В поле Регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.
  6. Выберите Review + create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Развертывание брандмауэра и политики

Разверните брандмауэр и создайте связанную сетевую инфраструктуру.

  1. На домашней странице или в меню портала Azure выберите Создать ресурс.

  2. Введите брандмауэр в поле поиска и нажмите клавишу ВВОД.

  3. Выберите Брандмауэр, а затем щелкните Создать.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Подписка <ваша подписка>
    Группа ресурсов Test-FW-RG
    Имя Test-FW01
    Регион Выберите использованное ранее расположение
    Уровень брандмауэра Основной
    Управление брандмауэром Использование политики брандмауэра для управления им
    Политика брандмауэра Добавить новую:
    fw-test-pol
    Выбранный регион
    Уровень политики должен по умолчанию иметь значение Базовый.
    Выберите виртуальную сеть Создать
    Имя: Test-FW-VN
    Адресное пространство: 10.0.0.0/16
    Адресное пространство подсети: 10.0.0.0/26
    Общедоступный IP-адрес Добавить новую:
    Имя: fw-pip
    Управление — адресное пространство подсети 10.0.1.0/26
    Общедоступный IP-адрес управления Добавить новый
    fw-mgmt-pip

  5. Примите остальные значения по умолчанию и выберите Проверка и создание.

  6. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание может занять несколько минут.

  7. По завершении развертывания перейдите в группу ресурсов Test-FW-RG и выберите брандмауэр Test-FW01.

  8. Обратите внимание на частные и общедоступные IP-адреса брандмауэра (fw-pip). Эти адреса вам пригодятся позже.

Создание подсети для сервера рабочей нагрузки

Теперь создайте подсеть для сервера рабочей нагрузки.

  1. Перейдите в группу ресурсов Test-FW-RG и выберите виртуальную сеть Test-FW-VN .
  2. Выберите Подсети.
  3. Выберите Подсеть.
  4. В поле Имя подсети введите Workload-SN.
  5. В поле Диапазон адресов подсети введите 10.0.2.0/24.
  6. Щелкните Сохранить.

Создание виртуальной машины

Теперь создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть Workload-SN.

  1. На домашней странице или в меню портала Azure выберите Создать ресурс.

  2. Выберите Центр обработки данных Windows Server 2019.

  3. Введите следующие значения для виртуальной машины:

    Параметр Значение
    Группа ресурсов Test-FW-RG
    Имя виртуальной машины Srv-Work
    Регион Аналогично предыдущему
    Образ — Windows Server 2019 Datacenter
    Имя пользователя для администратора Введите имя пользователя
    Пароль Введите пароль

  4. В разделе Правила для входящих портов, Общедоступные входящие порты выберите Нет.

  5. Примите остальные значения по умолчанию и щелкните Далее: Диски.

  6. Примите значения дисков по умолчанию и щелкните Далее: сеть.

  7. Убедитесь, что выбрана виртуальная сеть Test-FW-VN и подсеть Workload-SN.

  8. В поле Общедоступный IP-адрес выберите значение Нет.

  9. Примите остальные значения по умолчанию и щелкните Далее: управление.

  10. По завершении выберите Next: Мониторинг.

  11. Выберите Отключить, чтобы отключить диагностику загрузки. Примите другие значения по умолчанию и выберите Просмотр и создание.

  12. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

  13. Когда развертывание будет завершено, выберите ресурс Srv-Work и запишите частный IP-адрес для последующего использования.

создание маршрута по умолчанию;

Для подсети Workload-SN настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

  1. В меню портала Azure выберите Все службы или выполните поиск и выберите Все службы на любой странице.
  2. В разделе Сети выберите Таблицы маршрутов.
  3. Нажмите кнопку создания.
  4. В качестве подписки выберите свою подписку.
  5. Для параметра Группа ресурсов выберите Test-FW-RG.
  6. В поле Регион выберите использованное ранее расположение.
  7. В качестве имени введите Firewall-route.
  8. Выберите Review + create (Просмотреть и создать).
  9. Нажмите кнопку создания.

После завершения развертывания выберите Перейти к ресурсу.

  1. На странице "Брандмауэр — маршрут" выберите Подсети и щелкните Связать.

  2. Выберите Виртуальная сеть>Test-FW-VN.

  3. В качестве подсети выберите Workload-SN. Убедитесь, что для этого маршрута выбрана только подсеть Workload-SN. В противном случае брандмауэр не будет работать правильно.

  4. Щелкните ОК.

  5. Выберите Маршруты, а затем нажмите кнопку Добавить.

  6. В поле Имя маршрута введите fw-dg.

  7. Для параметра Назначение префикса адреса выберите IP-адреса.

  8. Для параметра Диапазоны IP-адресов назначения или CIDR введите 0.0.0.0/0.

  9. В поле Тип следующего прыжка выберите Виртуальный модуль.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  10. В поле Адрес следующего прыжка введите частный IP-адрес для брандмауэра, который вы записали ранее.

  11. Выберите Добавить.

Настройка правила приложения

Это правило приложения, разрешающее исходящий доступ к www.google.com.

  1. Откройте группу ресурсов Test-FW-RG и выберите политику брандмауэра fw-test-pol.
  2. Выберите Правила приложений.
  3. Щелкните Добавить коллекцию правил.
  4. В поле Имя введите App-Coll01.
  5. В поле Приоритет введите 200.
  6. В разделе Действие коллекции правил выберите Разрешить.
  7. В разделе Правила в поле Имя введите Allow-Google.
  8. В поле Тип источника выберите IP-адрес.
  9. В поле Источник введите 10.0.2.0/24.
  10. В поле Протокол:порт введите http, https.
  11. В поле Тип назначения выберите пункт FQDN.
  12. В поле Адрес назначения введите www.google.com .
  13. Выберите Добавить.

Брандмауэр Azure содержит встроенную коллекцию правил для целевых полных доменных имен инфраструктуры, которые разрешены по умолчанию. Эти доменные имена предназначены для платформы и не могут использоваться для других целей. См. дополнительные сведения об FQDN инфраструктуры.

Настройка правила сети

Это сетевое правило, предоставляющее двум IP-адресам исходящий доступ на порт 53 (DNS).

  1. Выберите Сетевые правила.
  2. Щелкните Добавить коллекцию правил.
  3. В качестве имени введите Net-Coll01.
  4. В поле Приоритет введите 200.
  5. В разделе Действие коллекции правил выберите Разрешить.
  6. В разделе Группы коллекции правил выберите DefaultNetworkRuleCollectionGroup.
  7. В разделе Правила в поле Имя введите Allow-DNS.
  8. В поле Тип источника выберите IP-адрес.
  9. В поле Источник введите 10.0.2.0/24.
  10. В поле Протокол выберите UDP.
  11. В поле Порты назначения введите 53.
  12. В поле Тип назначения выберите пункт IP-адрес.
  13. В поле Адрес назначения введите 209.244.0.3,209.244.0.4.
    Это общедоступные DNS-серверы, которыми управляет Уровень 3.
  14. Выберите Добавить.

Настройка правила DNAT

Это правило позволяет через брандмауэр подключать удаленный рабочий стол к виртуальной машине Srv-Work.

  1. Выберите Правила DNAT.
  2. Щелкните Добавить коллекцию правил.
  3. В поле Имя введите rdp.
  4. В поле Приоритет введите 200.
  5. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  6. В разделе Правила в поле Имя введите rdp-nat.
  7. В поле Тип источника выберите IP-адрес.
  8. В поле Источник введите * .
  9. В поле Протокол выберите TCP.
  10. В поле Порты назначения введите 3389.
  11. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
  12. В поле Назначение введите общедоступный IP-адрес брандмауэра (fw-pip).
  13. В поле Преобразованный адрес введите частный IP-адрес Srv-work.
  14. В поле Преобразованный порт введите 3389.
  15. Выберите Добавить.

Изменение первичного и вторичного адресов DNS для сетевого интерфейса Srv-Work

В целях тестирования в этом руководстве настройте основной и вторичный DNS-адреса сервера. Это не является общим требованием службы "Брандмауэр Azure".

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.
  2. Выберите сетевой интерфейс для виртуальной машины Srv-Work.
  3. В разделе Параметры выберите DNS-серверы.
  4. Для параметра DNS-серверы выберите значение Пользовательский.
  5. Введите 209.244.0.3 в текстовое поле Добавить DNS-сервер и 209.244.0.4 — в следующее текстовое поле.
  6. Щелкните Сохранить.
  7. Перезапустите виртуальную машину Srv-Work.

тестирование брандмауэра.

Теперь проверьте брандмауэр, чтобы убедиться, что он работает должным образом.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра (fw-pip) и войдите на виртуальную машину Srv-Work .

  2. Откройте браузер Internet Explorer и перейдите на сайт [https://www.google.com]\(https://www.google.com ).

  3. Если отобразятся системы оповещения безопасности Internet Explorer, выберите ОК>Закрыть.

    Откроется домашняя страница Google.

  4. Перейдите по адресу http://www.microsoft.com.

    Брандмауэр должен вас заблокировать.

Итак, теперь вы убедились в том, что правила брандмауэра работают:

  • Вы можете подключить удаленный рабочий стол к виртуальной машине Srv-Work.
  • Вы можете перейти только к одному разрешенному имени FQDN.
  • Вы можете разрешать имена DNS с помощью настроенного внешнего DNS-сервера.

Очистка ресурсов

Ресурсы брандмауэра можно оставить для дальнейшего тестирования или, если они больше не нужны, удалить группу ресурсов Test-FW-RG , чтобы удалить все ресурсы, связанные с брандмауэром.

Дальнейшие действия

Развертывание и настройка Брандмауэра Azure уровня "Премиум"