Руководство по развертыванию и настройке Брандмауэра Azure и политики с помощью портала Azure

  • Статья

Управление доступом исходящих сетевых подключений является важной частью общего плана безопасности сети. Например, вы можете ограничить доступ к веб-сайтам или исходящим IP-адресам и портам, которые могут быть доступными.

Управлять доступом исходящих сетевых подключений из подсети Azure можно с помощью Брандмауэра Azure и политики брандмауэра. С помощью Брандмауэра Azure и политики брандмауэра можно настроить указанные ниже элементы.

  • Правила приложений, определяющие полные доменные имена (FQDN), к которым можно получить доступ из подсети.
  • Правила сети, определяющие адрес источника, протокол, порт назначения и адрес назначения.

При маршрутизации трафика на брандмауэр, используемый в качестве шлюза по умолчанию, для подсети к трафику применяются настроенные правила брандмауэра.

В этом руководстве вы создадите упрощенную виртуальную сеть с двумя подсетями для легкого развертывания.

  • AzureFirewallSubnet — в этой подсети находится брандмауэр.
  • Workload-SN — в этой подсети находится сервер рабочей нагрузки. Трафик этой подсети проходит через брандмауэр.

Инфраструктура сети, используемая в руководстве

Для развертываний в рабочей среде рекомендуется использовать звездообразную модель, в которой брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки размещены в одноранговых виртуальных сетях в одном регионе с одной или несколькими подсетями.

В этом руководстве описано следующее:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра и политики брандмауэра;
  • создание маршрута по умолчанию;
  • настройка правила приложения для предоставления доступа к www.google.com;
  • настройка сетевых правил для предоставления доступа к внешним DNS-серверам;
  • настройка правила NAT для подключения к тестовому серверу по протоколу удаленного рабочего стола;
  • тестирование брандмауэра.

При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.

Предварительные требования

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.

Настройка сети

Сначала создайте группу ресурсов, необходимых для развертывания брандмауэра. Затем создайте виртуальную сеть, подсети и тестовый сервер.

Создание группы ресурсов

Группа ресурсов содержит все ресурсы, необходимые для работы с этим руководством.

  1. Войдите на портал Azure.

  2. В меню портал Azure выберите Группы ресурсов или найдите и выберите Группы ресурсов на любой странице, а затем нажмите кнопку Добавить. Введите или выберите следующие значения:

    Параметр Значение
    Подписка Выберите подписку Azure.
    Группа ресурсов Введите Test-FW-RG.
    Регион Выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.

  3. Выберите Review + create (Просмотреть и создать).

  4. Нажмите кнопку создания.

Создание виртуальной сети

В этой виртуальной сети будет содержаться две подсети.

Примечание

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. На домашней странице или в меню портала Azure выберите Создать ресурс.

  2. Выберите Сети.

  3. Найдите пункт Виртуальная сеть и выберите его.

  4. Выберите Создать, а затем введите или выберите следующие значения:

    Параметр Значение
    Подписка Выберите подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя Введите Test-FW-VN.
    Регион Выберите использованное ранее расположение.

  5. По завершении выберите Next: IP-адреса.

  6. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.

  7. В разделе Подсеть выберите по умолчанию.

  8. Измените Имя подсети на AzureFirewallSubnet. Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.

  9. В поле Диапазон адресов введите 10.0.1.0/26.

  10. Щелкните Сохранить.

    Теперь создайте подсеть для сервера рабочей нагрузки.

  11. Нажмите Добавить подсеть.

  12. В поле Имя подсети введите Workload-SN.

  13. В поле Диапазон адресов подсети введите 10.0.2.0/24.

  14. Выберите Добавить.

  15. Выберите Review + create (Просмотреть и создать).

  16. Нажмите кнопку Создать.

Создание виртуальной машины

Теперь создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть Workload-SN.

  1. На домашней странице или в меню портала Azure выберите Создать ресурс.

  2. Выберите Центр обработки данных Windows Server 2019.

  3. Введите или выберите следующие значения для виртуальной машины:

    Параметр Значение
    Подписка Выберите подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя виртуальной машины Введите Srv-Work.
    Регион Выберите использованное ранее расположение.
    Имя пользователя Введите имя пользователя.
    Пароль Введите пароль.

  4. В разделе Правила для входящих портов, Общедоступные входящие порты выберите Нет.

  5. Примите остальные значения по умолчанию и щелкните Далее: Диски.

  6. Примите значения дисков по умолчанию и щелкните Далее: сеть.

  7. Убедитесь, что выбрана виртуальная сеть Test-FW-VN и подсеть Workload-SN.

  8. В поле Общедоступный IP-адрес выберите значение Нет.

  9. Примите остальные значения по умолчанию и щелкните Далее: управление.

  10. Выберите Отключить, чтобы отключить диагностику загрузки. Примите другие значения по умолчанию и выберите Просмотр и создание.

  11. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

  12. Когда развертывание будет завершено, выберите ресурс Srv-Work и запишите частный IP-адрес для последующего использования.

Развертывание брандмауэра и политики

Разверните брандмауэр в виртуальной сети.

  1. На домашней странице или в меню портала Azure выберите Создать ресурс.

  2. Введите брандмауэр в поле поиска и нажмите клавишу ВВОД.

  3. Выберите Брандмауэр, а затем щелкните Создать.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Подписка Выберите подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя Введите Test-FW01.
    Регион Выберите использованное ранее расположение.
    Управление брандмауэром Выберите Использовать политику брандмауэра для управления этим брандмауэром.
    Политика брандмауэра Выберите Добавить новый и введите fw-test-pol.
    Выберите тот же регион, который использовался ранее.
    Выберите виртуальную сеть Выберите Использовать существующий, а затем — Test-FW-VN.
    Общедоступный IP-адрес Выберите Добавить новый и введите fw-pip в поле Имя.

  5. Примите остальные значения по умолчанию и выберите Проверка и создание.

  6. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание может занять несколько минут.

  7. По завершении развертывания перейдите в группу ресурсов Test-FW-RG и выберите брандмауэр Test-FW01.

  8. Запишите частный и общедоступный IP-адреса брандмауэра. Эти адреса вам пригодятся позже.

создание маршрута по умолчанию;

Для подсети Workload-SN настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

  1. В меню портала Azure выберите Все службы или выполните поиск и выберите Все службы на любой странице.

  2. В разделе Сети выберите Таблицы маршрутов.

  3. Выберите Создать, а затем введите или выберите следующие значения:

    Параметр Значение
    Подписка Выберите подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Регион Выберите использованное ранее расположение.
    Имя Введите Брандмауэр-маршрут.

  4. Выберите Review + create (Просмотреть и создать).

  5. Нажмите кнопку создания.

После завершения развертывания выберите Перейти к ресурсу.

  1. На странице Брандмауэр — маршрут выберите Подсети, а затем выберите Связать.
  2. Выберите Виртуальная сеть>Test-FW-VN.
  3. В качестве подсети выберите Workload-SN. Убедитесь, что для этого маршрута выбрана только подсеть Workload-SN. В противном случае брандмауэр не будет работать правильно.
  4. Щелкните ОК.
  5. Выберите Маршруты, а затем нажмите кнопку Добавить.
  6. В поле Имя маршрута введите fw-dg.
  7. В поле Префикс адреса введите 0.0.0.0/0.
  8. В поле Тип следующего прыжка выберите Виртуальный модуль. На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.
  9. В поле Адрес следующего прыжка введите частный IP-адрес брандмауэра, который вы записали ранее.
  10. Щелкните ОК.

Настройка правила приложения

Это правило приложения, разрешающее исходящий доступ к www.google.com.

  1. Откройте группу ресурсов Test-FW-RG и выберите политику брандмауэра fw-test-pol .
  2. Выберите Правила приложений.
  3. Щелкните Добавить коллекцию правил.
  4. В поле Имя введите App-Coll01.
  5. В поле Приоритет введите 200.
  6. В разделе Действие коллекции правил выберите Разрешить.
  7. В разделе Правила в поле Имя введите Allow-Google.
  8. В поле Тип источника выберите IP-адрес.
  9. В поле Источник введите 10.0.2.0/24.
  10. В поле Protocol:port введите http, https.
  11. В поле Тип назначения выберите пункт FQDN.
  12. В поле Назначение введите www.google.com
  13. Выберите Добавить.

Брандмауэр Azure содержит встроенную коллекцию правил для целевых полных доменных имен инфраструктуры, которые разрешены по умолчанию. Эти доменные имена предназначены для платформы и не могут использоваться для других целей. См. дополнительные сведения об FQDN инфраструктуры.

Настройка правила сети

Это сетевое правило, предоставляющее двум IP-адресам исходящий доступ на порт 53 (DNS).

  1. Выберите Сетевые правила.
  2. Щелкните Добавить коллекцию правил.
  3. В поле Имя введите Net-Coll01.
  4. В поле Приоритет введите 200.
  5. В разделе Действие коллекции правил выберите Разрешить.
  6. В разделе Группы коллекции правил выберите DefaultNetworkRuleCollectionGroup.
  7. В разделе Правила в поле Имя введите Allow-DNS.
  8. В поле Тип источника выберите IP-адрес.
  9. В поле Источник введите 10.0.2.0/24.
  10. В поле Протокол выберите UDP.
  11. В поле Порты назначения введите 53.
  12. В поле Тип назначения выберите пункт IP-адрес.
  13. В поле Назначение введите 209.244.0.3,209.244.0.4.
    Это общедоступные DNS-серверы, которыми управляет CenturyLink.
  14. Выберите Добавить.

Настройка правила DNAT

Это правило позволяет подключить удаленный рабочий стол к виртуальной машине Srv-Work через брандмауэр.

  1. Выберите Правила DNAT.
  2. Щелкните Добавить коллекцию правил.
  3. В поле Имя введите rdp.
  4. В поле Приоритет введите 200.
  5. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  6. В разделе Правила в поле Имя введите rdp-nat.
  7. В поле Тип источника выберите IP-адрес.
  8. В поле Источник введите *.
  9. В поле Протокол выберите TCP.
  10. В поле Целевые порты введите значение3389.
  11. В поле Destination Type (Тип назначения) выберите пункт IP-адрес.
  12. В поле Назначение введите общедоступный IP-адрес брандмауэра.
  13. В поле Переведенный адрес введите частный IP-адрес Srv-work .
  14. Для параметра Преобразованный порт введите значение 3389.
  15. Выберите Добавить.

Изменение первичного и вторичного адресов DNS для сетевого интерфейса Srv-Work

В целях тестирования в рамках этого руководства настройте первичный и вторичный адреса DNS сервера. Это не является общим требованием службы "Брандмауэр Azure".

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.
  2. Выберите сетевой интерфейс для виртуальной машины Srv-Work.
  3. В разделе Параметры выберите DNS-серверы.
  4. Для параметра DNS-серверы выберите значение Пользовательский.
  5. Введите 209.244.0.3 в текстовое поле Добавить DNS-сервер и 209.244.0.4 — в следующее текстовое поле.
  6. Щелкните Сохранить.
  7. Перезапустите виртуальную машину Srv-Work.

тестирование брандмауэра.

Теперь проверьте брандмауэр, чтобы убедиться, что он работает должным образом.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра и войдите на виртуальную машину Srv-Work

  2. Откройте браузер Internet Explorer и перейдите на сайт [https://www.google.com]\(https://www.google.com).

  3. Если отобразятся системы оповещения безопасности Internet Explorer, выберите ОК>Закрыть.

    Откроется домашняя страница Google.

  4. Перейдите по адресу https://www.microsoft.com.

    Брандмауэр должен вас заблокировать.

Итак, теперь вы убедились в том, что правила брандмауэра работают:

  • Вы можете перейти только к одному разрешенному имени FQDN.
  • Вы можете разрешать имена DNS с помощью настроенного внешнего DNS-сервера.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если он больше не нужен, удалить группу ресурсов Test-FW-RG, чтобы удалить ресурсы, связанные с брандмауэром.

Дальнейшие действия

Развертывание и настройка Брандмауэра Azure уровня "Премиум"