Поделиться через

Руководство по развертыванию и настройке Брандмауэра Azure и политики с помощью портала Azure

  • Статья

Управление доступом исходящих сетевых подключений является важной частью общего плана безопасности сети. Например, вы можете ограничить доступ к веб-сайтам или исходящим IP-адресам и портам, которые могут быть доступными.

Управлять доступом исходящих сетевых подключений из подсети Azure можно с помощью Брандмауэра Azure и политики брандмауэра. С помощью Брандмауэра Azure и политики брандмауэра можно настроить указанные ниже элементы.

  • Правила приложений, определяющие полные доменные имена (FQDN), к которым можно получить доступ из подсети.
  • Правила сети, определяющие адрес источника, протокол, порт назначения и адрес назначения.

При маршрутизации трафика на брандмауэр, используемый в качестве шлюза по умолчанию, для подсети к трафику применяются настроенные правила брандмауэра.

В этом руководстве вы создадите упрощенную виртуальную сеть с двумя подсетями для легкого развертывания.

  • AzureFirewallSubnet — в этой подсети находится брандмауэр.
  • Workload-SN — в этой подсети находится сервер рабочей нагрузки. Трафик этой подсети проходит через брандмауэр.

Схема сетевой инфраструктуры брандмауэра.

Для развертываний в рабочей среде рекомендуется использовать звездообразную модель, в которой брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки размещены в одноранговых виртуальных сетях в одном регионе с одной или несколькими подсетями.

В этом руководстве описано следующее:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра и политики брандмауэра;
  • Создание маршрута по умолчанию
  • настройка правила приложения для предоставления доступа к www.google.com
  • настройка сетевых правил для предоставления доступа к внешним DNS-серверам;
  • настройка правила NAT для подключения к тестовому серверу по протоколу удаленного рабочего стола;
  • тестирование брандмауэра.

При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Настройка сети

Сначала создайте группу ресурсов, необходимых для развертывания брандмауэра. Затем создайте виртуальную сеть, подсети и тестовый сервер.

Создание или изменение группы ресурсов

Группа ресурсов содержит все ресурсы, необходимые для работы с этим руководством.

  1. Войдите на портал Azure.

  2. В меню портал Azure выберите группы ресурсов или найдите и выберите группы ресурсов на любой странице, а затем нажмите кнопку "Создать". Введите или выберите следующие значения:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Введите Test-FW-RG.
    Область/регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.

  3. Выберите Review + create (Просмотреть и создать).

  4. Нажмите кнопку создания.

Создание виртуальной сети

В этой виртуальной сети будет содержаться две подсети.

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Выберите Сети.

  3. Найдите виртуальную сеть и нажмите кнопку "Создать".

  4. Введите или выберите следующие значения:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя. Введите test-FW-VN.
    Область/регион Выберите использованное ранее расположение.

  5. Выберите Далее.

  6. На вкладке "Безопасность " нажмите кнопку "Далее".

  7. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.

  8. В подсетях выберите значение по умолчанию.

  9. На странице "Изменить подсеть" для назначения подсети выберите Брандмауэр Azure.

    Брандмауэр будет размещен в этой подсети. Для подсети необходимо указать имя AzureFirewallSubnet.

  10. Для начального адреса введите 10.0.1.0.

  11. Выберите Сохранить.

Теперь создайте подсеть для сервера рабочей нагрузки.

  1. Нажмите Добавить подсеть.
  2. В поле Имя подсети введите Workload-SN.
  3. Для начального адреса введите 10.0.2.0/24.
  4. Выберите Добавить.
  5. Выберите Review + create (Просмотреть и создать).
  6. Нажмите кнопку создания.

Создание виртуальной машины

Теперь создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть Workload-SN.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Выберите Центр обработки данных Windows Server 2019.

  3. Введите или выберите следующие значения для виртуальной машины:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Virtual machine name Введите Srv-Work.
    Область/регион Выберите использованное ранее расположение.
    Username Введите имя пользователя.
    Пароль Введите пароль.

  4. В разделе Правила для входящих портов, Общедоступные входящие порты выберите Нет.

  5. Примите другие значения по умолчанию и нажмите кнопку Далее: Диски.

  6. Примите значения по умолчанию для диска и нажмите кнопку "Далее: сеть".

  7. Убедитесь, что выбрана виртуальная сеть Test-FW-VN и подсеть Workload-SN.

  8. В поле Общедоступный IP-адрес выберите значение Нет.

  9. Примите другие значения по умолчанию и нажмите кнопку "Далее: управление".

  10. Нажмите кнопку "Далее:Мониторинг".

  11. Выберите Отключить, чтобы отключить диагностику загрузки. Примите другие значения по умолчанию и выберите Просмотр и создание.

  12. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

  13. Когда развертывание будет завершено, выберите ресурс Srv-Work и запишите частный IP-адрес для последующего использования.

Развертывание брандмауэра и политики

Разверните брандмауэр в виртуальной сети.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Введите брандмауэр в поле поиска и нажмите клавишу ВВОД.

  3. Выберите Брандмауэр, а затем щелкните Создать.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя. Введите Test-FW01.
    Область/регион Выберите использованное ранее расположение.
    Управление брандмауэром Выберите " Использовать политику брандмауэра" для управления этим брандмауэром.
    Политика брандмауэра Выберите " Добавить новую" и введите fw-test-pol.
    Выберите тот же регион, который вы использовали ранее.
    Выберите виртуальную сеть Выберите "Использовать существующий", а затем выберите Test-FW-VN.
    Общедоступный IP-адрес Выберите " Добавить новое" и введите fw-pip для имени.

  5. Примите другие значения по умолчанию, а затем нажмите кнопку "Далее: теги".

  6. Выберите Далее: проверка и создание.

  7. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание может занять несколько минут.

  8. По завершении развертывания перейдите в группу ресурсов Test-FW-RG и выберите брандмауэр Test-FW01.

  9. Запишите частный и общедоступный IP-адреса брандмауэра. Эти адреса вам пригодятся позже.

Создание маршрута по умолчанию

Для подсети Workload-SN настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

  1. В меню портала Azure выберите Все службы или выполните поиск и выберите Все службы на любой странице.

  2. В разделе Сети выберите Таблицы маршрутов.

  3. Нажмите кнопку "Создать", а затем введите или выберите следующие значения:

    Параметр Значение
    Отток подписок Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Область/регион Выберите использованное ранее расположение.
    Имя. Введите маршрут брандмауэра.

  4. Выберите Review + create (Просмотреть и создать).

  5. Нажмите кнопку создания.

После завершения развертывания выберите Перейти к ресурсу.

  1. На странице Брандмауэр — маршрут в разделе Параметры щелкните Подсети, а затем выберите Связать.

  2. Для виртуальной сети выберите Test-FW-VN.

  3. В качестве подсети выберите Workload-SN.

  4. Нажмите ОК.

  5. Выберите Маршруты, а затем нажмите кнопку Добавить.

  6. В поле "Имя маршрута" введите fw-dg.

  7. Для типа назначения выберите IP-адреса.

  8. Для ip-адресов назначения или префикса диапазонов CIDR введите 0.0.0.0/0/0.

  9. В поле Тип следующего прыжка выберите Виртуальный модуль.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  10. Для адреса следующего прыжка введите частный IP-адрес брандмауэра, который вы указали ранее.

  11. Выберите Добавить.

Настройка правила приложения

Это правило приложения, разрешающее исходящий доступ к www.google.com.

  1. Откройте группу ресурсов Test-FW-RG и выберите политику брандмауэра fw-test-pol.
  2. В разделе "Параметры" выберите правила приложения.
  3. Щелкните Добавить коллекцию правил.
  4. В поле "Имя" введите App-Coll01.
  5. В качестве приоритета введите 200.
  6. В разделе Действие коллекции правил выберите Разрешить.
  7. В разделе "Правила" введите Allow-Google.
  8. В поле Тип источника выберите IP-адрес.
  9. В качестве источника введите 10.0.2.0/24.
  10. В параметре Protocol:port введите http, https.
  11. В поле Тип назначения выберите пункт FQDN.
  12. Для назначения введите www.google.com
  13. Выберите Добавить.

Брандмауэр Azure содержит встроенную коллекцию правил для целевых полных доменных имен инфраструктуры, которые разрешены по умолчанию. Эти доменные имена предназначены для платформы и не могут использоваться для других целей. См. дополнительные сведения об FQDN инфраструктуры.

Настройка правила сети

Это сетевое правило, предоставляющее двум IP-адресам исходящий доступ на порт 53 (DNS).

  1. Выберите Сетевые правила.
  2. Щелкните Добавить коллекцию правил.
  3. В поле "Имя" введите Net-Coll01.
  4. В качестве приоритета введите 200.
  5. В разделе Действие коллекции правил выберите Разрешить.
  6. В разделе Группы коллекции правил выберите DefaultNetworkRuleCollectionGroup.
  7. В разделе "Правила" введите allow-DNS.
  8. В поле Тип источника выберите IP-адрес.
  9. В качестве источника введите 10.0.2.0/24.
  10. В поле Протокол выберите UDP.
  11. Для конечных портов введите 53.
  12. В поле Тип назначения выберите пункт IP-адрес.
  13. Для назначения введите 209.244.0.3,209.244.0.4.
    Это общедоступные DNS-серверы, которыми управляет CenturyLink.
  14. Выберите Добавить.

Настройка правила DNAT

Это правило позволяет подключить удаленный рабочий стол к виртуальной машине Srv-Work через брандмауэр.

  1. Выберите Правила DNAT.
  2. Щелкните Добавить коллекцию правил.
  3. В поле "Имя" введите RDP.
  4. В качестве приоритета введите 200.
  5. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  6. В разделе "Правила" введите rdp-nat.
  7. В поле Тип источника выберите IP-адрес.
  8. Введите для параметра Источник значение *.
  9. В поле Протокол выберите TCP.
  10. В поле Целевые порты введите значение3389.
  11. В поле "Назначение" введите общедоступный IP-адрес брандмауэра.
  12. Для переведенного типа выберите IP-адрес.
  13. В поле "Переведенный адрес" введите частный IP-адрес Srv-work .
  14. Для параметра Преобразованный порт введите значение 3389.
  15. Выберите Добавить.

Изменение первичного и вторичного адресов DNS для сетевого интерфейса Srv-Work

В целях тестирования в рамках этого руководства настройте первичный и вторичный адреса DNS сервера. Это не является общим требованием службы "Брандмауэр Azure".

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.
  2. Выберите сетевой интерфейс для виртуальной машины Srv-Work.
  3. В разделе Параметры выберите DNS-серверы.
  4. Для параметра DNS-серверы выберите значение Пользовательский.
  5. Введите 209.244.0.3 в текстовое поле Добавить DNS-сервер и 209.244.0.4 — в следующее текстовое поле.
  6. Выберите Сохранить.
  7. Перезапустите виртуальную машину Srv-Work.

тестирование брандмауэра.

Теперь проверьте брандмауэр, чтобы убедиться, что он работает должным образом.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра и войдите на виртуальную машину Srv-Work

  2. Откройте Microsoft Edge и перейдите к ней https://www.google.com.

  3. Если отобразятся системы оповещения безопасности Internet Explorer, выберите ОК>Закрыть.

    Откроется домашняя страница Google.

  4. Перейдите в https://www.microsoft.com.

    Брандмауэр должен вас заблокировать.

Итак, теперь вы убедились в том, что правила брандмауэра работают:

  • Вы можете перейти только к одному разрешенному имени FQDN.
  • Вы можете разрешать имена DNS с помощью настроенного внешнего DNS-сервера.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если он больше не нужен, удалить группу ресурсов Test-FW-RG, чтобы удалить ресурсы, связанные с брандмауэром.

Следующие шаги

Развертывание и настройка Брандмауэр Azure Premium