Поделиться через

Развертывание и настройка Брандмауэра Azure с помощью портала Azure

  • Статья

Управление доступом исходящих сетевых подключений является важной частью общего плана безопасности сети. Например, может потребоваться ограничить доступ к веб-сайтам. Кроме того, может потребоваться ограничить исходящие IP-адреса и порты, к которым можно получить доступ.

Вы можете управлять доступом к исходящей сети из подсети Azure только с помощью Брандмауэра Azure. Брандмауэр Azure позволяет настроить:

  • Правила приложений, определяющие полные доменные имена (FQDN), к которым можно получить доступ из подсети.
  • Правила сети, определяющие адрес источника, протокол, порт назначения и адрес назначения.

При маршрутизации трафика на брандмауэр, используемый в качестве шлюза по умолчанию, для подсети к трафику применяются настроенные правила брандмауэра.

В этой статье описано, как создать упрощенную виртуальную сеть с двумя подсетями для простого развертывания.

Для рабочих развертываний рекомендуется использовать центральной и периферийной модели , где брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки находятся в одноранговых виртуальных сетях в одном регионе с одной или несколькими подсетями.

  • AzureFirewallSubnet — в этой подсети находится брандмауэр.
  • Workload-SN — в этой подсети находится сервер рабочей нагрузки. Трафик этой подсети проходит через брандмауэр.

Схема сетевой инфраструктуры брандмауэра.

Вы узнаете, как выполнять следующие задачи:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра;
  • Создание маршрута по умолчанию
  • настройка правила приложения для предоставления доступа к www.google.com
  • настройка сетевых правил для предоставления доступа к внешним DNS-серверам;
  • настройка правила NAT для подключения к тестовому серверу по протоколу удаленного рабочего стола;
  • тестирование брандмауэра.

Примечание.

В этой статье для управления брандмауэром используются классические правила брандмауэра. Рекомендуется использовать политику брандмауэра. Сведения о том, как выполнить эту процедуру с использованием политики брандмауэра, см. в учебнике по развертыванию и настройке Брандмауэра Azure и политики с помощью портала Azure.

При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Настройка сети

Сначала создайте группу ресурсов, необходимых для развертывания брандмауэра. Затем создайте виртуальную сеть, подсети и тестовый сервер.

Создание или изменение группы ресурсов

Группа ресурсов содержит все ресурсы, используемые в этой процедуре.

  1. Войдите на портал Azure.
  2. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Затем выберите Создать.
  3. В качестве подписки выберите свою подписку.
  4. В качестве имени группы ресурсов введите Test-FW-RG.
  5. В поле Регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.
  6. Выберите Review + create (Просмотреть и создать).
  7. Нажмите кнопку создания.

Создание виртуальной сети

Эта виртуальная сеть имеет две подсети.

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. В меню портал Azure или на домашней странице найдите виртуальные сети.
  2. Выберите виртуальные сети в области результатов.
  3. Нажмите кнопку создания.
  4. В качестве подписки выберите свою подписку.
  5. Для параметра Группа ресурсов выберите Test-FW-RG.
  6. Для имени виртуальной сети введите Test-FW-VN.
  7. В поле Регион выберите тот же регион, который использовался ранее.
  8. Выберите Далее.
  9. На вкладке "Безопасность" выберите "Включить Брандмауэр Azure".
  10. Для имени Брандмауэр Azure введите Test-FW01.
  11. Для Брандмауэр Azure общедоступного IP-адреса выберите "Создать общедоступный IP-адрес".
  12. В поле "Имя" введите fw-pip и нажмите кнопку "ОК".
  13. Выберите Далее.
  14. В поле Диапазон адресов примите значение по умолчанию 10.0.0.0/16.
  15. В подсети выберите значение по умолчанию и измените имя на Workload-SN.
  16. Для начального адреса измените его на 10.0.2.0/24.
  17. Выберите Сохранить.
  18. Выберите Review + create (Просмотреть и создать).
  19. Нажмите кнопку создания.

Примечание.

Брандмауэр Azure по мере необходимости использует общедоступные IP-адреса на основе доступных портов. После случайного выбора общедоступного IP-адреса для исходящего трафика он будет использовать только следующий общедоступный IP-адрес после отсутствия дополнительных подключений из текущего общедоступного IP-адреса. В сценариях с большим объемом трафика и пропускной способностью рекомендуется использовать шлюз NAT для обеспечения исходящего подключения. Порты SNAT динамически выделяются во всех общедоступных IP-адресах, связанных с шлюзом NAT. Дополнительные сведения см. в статье об интеграции шлюза NAT с Брандмауэр Azure.

Создание виртуальной машины

Теперь создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть Workload-SN.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Выберите Центр обработки данных Windows Server 2019.

  3. Введите следующие значения для виртуальной машины:

    Параметр Значение
    Группа ресурсов Test-FW-RG
    Virtual machine name Srv-Work
    Область/регион Аналогично предыдущему
    Изображения Windows Server 2019 Datacenter
    Имя пользователя для администратора Введите имя пользователя
    Пароль Введите пароль

  4. В разделе Правила для входящих портов, Общедоступные входящие порты выберите Нет.

  5. Примите другие значения по умолчанию и нажмите кнопку Далее: Диски.

  6. Примите значения по умолчанию для диска и нажмите кнопку "Далее: сеть".

  7. Убедитесь, что выбрана виртуальная сеть Test-FW-VN и подсеть Workload-SN.

  8. В поле Общедоступный IP-адрес выберите значение Нет.

  9. Примите другие значения по умолчанию и нажмите кнопку "Далее: управление".

  10. Примите значения по умолчанию и нажмите кнопку "Далее: мониторинг".

  11. Для параметра Диагностика загрузки выберите Отключить, чтобы отключить диагностику загрузки. Примите другие значения по умолчанию и выберите Просмотр и создание.

  12. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

  13. После завершения развертывания выберите "Перейти к ресурсу " и запишите частный IP-адрес Srv-Work , который потребуется использовать позже.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс шлюза NAT Azure назначается подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Проверка брандмауэра

  1. Перейдите в группу ресурсов и выберите брандмауэр.
  2. Запишите частный и общедоступный IP-адреса брандмауэра. Эти адреса используются позже.

Создание маршрута по умолчанию

При создании маршрута для исходящего и входящего подключения через брандмауэр по умолчанию используется маршрут 0.0.0.0/0 с частным IP-адресом виртуального устройства в качестве следующего прыжка. Это направляет все исходящие и входящие подключения через брандмауэр. Например, если брандмауэр выполняет TCP-подтверждение и отвечает на входящий запрос, ответ перенаправляется на IP-адрес, который отправил трафик. Это сделано намеренно.

В результате нет необходимости создавать другой определяемый пользователем маршрут для включения диапазона IP-адресов AzureFirewallSubnet. Это может привести к удаленным подключениям. Достаточно исходного маршрута по умолчанию.

Для подсети Workload-SN настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

  1. На портал Azure выполните поиск таблиц Route.
  2. Выберите таблицы маршрутов в области результатов.
  3. Нажмите кнопку создания.
  4. В качестве подписки выберите свою подписку.
  5. Для параметра Группа ресурсов выберите Test-FW-RG.
  6. В поле Регион выберите использованное ранее расположение.
  7. В качестве имени введите Firewall-route.
  8. Выберите Review + create (Просмотреть и создать).
  9. Нажмите кнопку создания.

После завершения развертывания выберите Перейти к ресурсу.

  1. На странице Брандмауэр — маршрут выберите Подсети, а затем выберите Связать.

  2. Для виртуальной сети выберите Test-FW-VN.

  3. В качестве подсети выберите Workload-SN. Убедитесь, что для этого маршрута выбрана только подсеть Workload-SN. В противном случае брандмауэр не будет работать правильно.

  4. Нажмите ОК.

  5. Выберите Маршруты, а затем нажмите кнопку Добавить.

  6. В поле Имя маршрута введите fw-dg.

  7. Для типа назначения выберите IP-адреса.

  8. Для параметра Диапазоны IP-адресов назначения или CIDR введите 0.0.0.0/0.

  9. В поле Тип следующего прыжка выберите Виртуальный модуль.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  10. В поле Адрес следующего прыжка введите частный IP-адрес для брандмауэра, который вы записали ранее.

  11. Выберите Добавить.

Настройка правила приложения

Это правило приложения, разрешающее исходящий доступ к www.google.com.

  1. Откройте группу ресурсов Test-FW-RG и выберите брандмауэр Test-FW01.
  2. На странице Test-FW01 в разделе Параметры выберите Правила (классическая модель).
  3. Откройте вкладку Коллекция правил приложения.
  4. Выберите Добавление коллекции правил приложений.
  5. В поле Имя введите App-Coll01.
  6. В поле Приоритет введите 200.
  7. В поле Действие выберите Разрешить.
  8. В разделе Правила, Целевые полные доменные имена в поле Имя введите Allow-Google.
  9. В поле Тип источника выберите IP-адрес.
  10. В поле Источник введите 10.0.2.0/24.
  11. В поле Протокол:порт введите http, https.
  12. В поле Целевые полные доменные имена введите www.google.com.
  13. Выберите Добавить.

Брандмауэр Azure содержит встроенную коллекцию правил для целевых полных доменных имен инфраструктуры, которые разрешены по умолчанию. Эти доменные имена предназначены для платформы и не могут использоваться для других целей. См. дополнительные сведения об FQDN инфраструктуры.

Настройка правила сети

Это сетевое правило, предоставляющее двум IP-адресам исходящий доступ на порт 53 (DNS).

  1. Откройте вкладку Коллекция правил сети.

  2. Выберите Добавить коллекцию правил сети.

  3. В качестве имени введите Net-Coll01.

  4. В поле Приоритет введите 200.

  5. В поле Действие выберите Разрешить.

  6. В разделе Правила, IP-адреса в поле Имя введите Allow-DNS.

  7. В поле Протокол выберите UDP.

  8. В поле Тип источника выберите IP-адрес.

  9. В поле Источник введите 10.0.2.0/24.

  10. В поле Тип назначения выберите пункт IP-адрес.

  11. В поле Адрес назначения введите 209.244.0.3,209.244.0.4.

    Это общедоступные DNS-серверы, которыми управляет Уровень 3.

  12. В поле Порты назначения введите 53.

  13. Выберите Добавить.

Настройка правила DNAT

Это правило позволяет через брандмауэр подключать удаленный рабочий стол к виртуальной машине Srv-Work.

  1. Откройте вкладку Коллекция правил преобразования сетевых адресов (NAT).
  2. Щелкните Добавление коллекции правил преобразования сетевых адресов (NAT).
  3. В поле Имя введите rdp.
  4. В поле Приоритет введите 200.
  5. В разделе Правила в поле Имя введите rdp-nat.
  6. В поле Протокол выберите TCP.
  7. В поле Тип источника выберите IP-адрес.
  8. В поле Источник введите *.
  9. В поле Адрес назначения введите общедоступный IP-адрес брандмауэра.
  10. В поле Порты назначения введите 3389.
  11. Для переведенного адреса введите частный IP-адрес Srv-work.
  12. В поле Преобразованный порт введите 3389.
  13. Выберите Добавить.

Изменение первичного и вторичного адресов DNS для сетевого интерфейса Srv-Work

В целях тестирования настройте первичный и вторичный адреса DNS сервера. Это не является общим требованием службы "Брандмауэр Azure".

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.
  2. Выберите сетевой интерфейс для виртуальной машины Srv-Work.
  3. В разделе Параметры выберите DNS-серверы.
  4. Для параметра DNS-серверы выберите значение Пользовательский.
  5. Введите 209.244.0.3 и нажмите клавишу ВВОД в текстовом поле "Добавить DNS-сервер " и 209.244.0.4 в следующем текстовом поле.
  6. Выберите Сохранить.
  7. Перезапустите виртуальную машину Srv-Work.

тестирование брандмауэра.

Теперь проверьте брандмауэр, чтобы убедиться, что он работает должным образом.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра и войдите на виртуальную машину Srv-Work.

  2. Откройте браузер Internet Explorer и перейдите на сайт https://www.google.com.

  3. Если отобразятся системы оповещения безопасности Internet Explorer, выберите ОК>Закрыть.

    Откроется домашняя страница Google.

  4. Перейдите в https://www.microsoft.com.

    Брандмауэр должен заблокировать вас.

Теперь вы убедились, что правила брандмауэра работают:

  • Можно подключаться к виртуальной машине с помощью протокола удаленного рабочего стола (RDP).
  • Вы можете перейти только к одному разрешенному имени FQDN.
  • Вы можете разрешать имена DNS с помощью настроенного внешнего DNS-сервера.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для дальнейшего тестирования или, если он больше не нужен, удалить группу ресурсов Test-FW-RG, содержащую все связанные с брандмауэром ресурсы.

Следующие шаги