Distribuera och konfigurera Azure Firewall Basic och principer med hjälp av Azure Portal

  • Artikel

Azure Firewall Basic ger det grundläggande skydd som SMB-kunder behöver till ett överkomligt pris. Den här lösningen rekommenderas för SMB-kundmiljöer med mindre än 250 Mbit/s-dataflödeskrav. Vi rekommenderar att du distribuerar standard-SKU :n för miljöer med dataflödeskrav på mer än 250 Mbit/s och Premium-SKU:n för avancerat skydd mot hot.

Filtrering av nätverks- och programtrafik är en viktig del av en övergripande nätverkssäkerhetsplan. Du kanske till exempel vill begränsa åtkomsten till webbplatser. Eller så kanske du vill begränsa de utgående IP-adresser och portar som kan nås.

Ett sätt att styra både inkommande och utgående nätverksåtkomst från ett Azure-undernät är med Azure Firewall och brandväggsprincip. Med Azure Firewall och brandväggsprincip kan du konfigurera:

  • Programreglerna som definierar fullständigt kvalificerade domännamn (FQDN) kan nås från ett undernät.
  • Nätverksregler som definierar källadress, protokoll, målport och måladress.
  • DNAT-regler för att översätta och filtrera inkommande Internettrafik till dina undernät.

Nätverkstrafiken måste följa konfigurerade brandväggsregler när du vidarebefordrar den till brandväggen som standardgateway för undernätet.

För den här instruktioner skapar du ett förenklat virtuellt nätverk med tre undernät för enkel distribution. Firewall Basic har ett obligatoriskt krav på att konfigureras med ett hanteringsnätverkskort.

  • AzureFirewallSubnet – brandväggen ligger i det här undernätet.
  • AzureFirewallManagementSubnet – för tjänsthanteringstrafik.
  • Workload-SN – arbetsbelastningsservern ligger i det här undernätet. Det här undernätets nätverkstrafik går genom brandväggen.

Anteckning

Eftersom Azure Firewall Basic har begränsad trafik jämfört med Azure Firewall Standard- eller Premium-SKU:n kräver det att AzureFirewallManagementSubnet separerar kundtrafik från Microsofts hanteringstrafik för att säkerställa att den inte störs. Den här hanteringstrafiken behövs för uppdateringar och hälsomåttkommunikation som sker automatiskt till och från Microsoft. Inga andra anslutningar tillåts på den här IP-adressen.

För produktionsdistributioner rekommenderas en hubb- och ekermodell , där brandväggen finns i ett eget virtuellt nätverk. Arbetsbelastningsservrarna finns i peerkopplade virtuella nätverk i samma region med ett eller flera undernät.

I den här instruktioner får du lära dig att:

  • konfigurera en testnätverksmiljö
  • Distribuera en grundläggande brandväggs- och grundläggande brandväggsprincip
  • Skapa en standardväg
  • Konfigurera en programregel för att tillåta åtkomst till www.google.com
  • Konfigurera en nätverksregel för att tillåta åtkomst till externa DNS-servrar
  • Konfigurera en NAT-regel för att tillåta fjärrskrivbord till testservern
  • testa brandväggen.

Om du vill kan du slutföra den här proceduren med hjälp av Azure PowerShell.

Krav

Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Skapa en resursgrupp

Resursgruppen innehåller alla resurser för instruktioner.

  1. Logga in på Azure-portalen.
  2. På menyn Azure Portal väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida. Välj sedan Skapa.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. Som Resursgruppsnamn anger du Test-FW-RG.
  5. För Region väljer du en region. Alla andra resurser som du skapar måste finnas i samma region.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Distribuera brandväggen och principen

Distribuera brandväggen och skapa en associerad nätverksinfrastruktur.

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Skriv brandväggen i sökrutan och tryck på Retur.

  3. Välj Brandvägg och sedan Skapa.

  4. På sidan Skapa en brandvägg använder du följande tabell till att konfigurera brandväggen:

    Inställning Värde
    Prenumeration <din prenumeration>
    Resursgrupp Test-FW-RG
    Name Test-FW01
    Region Välj samma plats som tidigare
    Brandväggsnivå Basic
    Brandväggshantering Använda en brandväggsprincip för att hantera den här brandväggen
    Brandväggsprincip Lägg till ny:
    fw-test-pol
    Den valda regionen
    Principnivån bör som standard vara Basic
    Välj ett virtuellt nätverk Skapa ny
    Namn: Test-FW-VN
    Adressutrymme: 10.0.0.0/16
    Adressutrymme för undernätet: 10.0.0.0/26
    Offentlig IP-adress Lägg till ny:
    Namn: fw-pip
    Hantering – adressutrymme för undernätet 10.0.1.0/26
    Hantering av offentlig IP-adress Lägg till ny
    fw-mgmt-pip

  5. Acceptera de andra standardvärdena och välj sedan Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Distributionen kan ta några minuter.

  7. När distributionen är klar går du till resursgruppen Test-FW-RG och väljer brandväggen Test-FW01 .

  8. Observera brandväggens privata och offentliga IP-adresser (fw-pip). Du kommer att använda dessa adresser senare.

Skapa ett undernät för arbetsbelastningsservern

Skapa sedan ett undernät för arbetsbelastningsservern.

  1. Gå till resursgruppen Test-FW-RG och välj det virtuella nätverket Test-FW-VN .
  2. Välj Undernät.
  3. Välj Undernät.
  4. Som Undernätsnamn skriver du Workload-SN.
  5. För Adressintervall för undernätet skriver du 10.0.2.0/24.
  6. Välj Spara.

Skapa en virtuell dator

Skapa nu den virtuella arbetsbelastningsdatorn och placera den i undernätet Workload-SN .

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Välj Windows Server 2019 Datacenter.

  3. Ange följande värden för den virtuella datorn:

    Inställningen Värde
    Resursgrupp Test-FW-RG
    Namn på virtuell dator Srv-Work
    Region Samma som tidigare
    Bild Windows Server 2019 Datacenter
    Administratörsanvändarnamn Ange ett användarnamn
    Lösenord Ange ett lösenord

  4. Under Regler för inkommande portar, Offentliga inkommande portar, väljer du Ingen.

  5. Acceptera de andra standardvärdena och välj Nästa: Diskar.

  6. Acceptera standardinställningarna för disken och välj Nästa: Nätverk.

  7. Kontrollera att Test-FW-VN har valts för det virtuella nätverket och att undernätet är Workload-SN.

  8. För Offentlig IP väljer du Ingen.

  9. Acceptera de andra standardvärdena och välj Nästa: Hantering.

  10. Välj Nästa: Övervakning.

  11. Välj Inaktivera för att inaktivera startdiagnostik. Acceptera de andra standardvärdena och välj Granska + skapa.

  12. Granska inställningarna på sammanfattningssidan och välj sedan Skapa.

  13. När distributionen är klar väljer du resursen Srv-Work och noterar den privata IP-adressen för senare användning.

Skapa en standardväg

För undernätet Workload-SN ställer du in att den utgående standardvägen ska gå via brandväggen.

  1. På menyn Azure Portal väljer du Alla tjänster eller söker efter och väljer Alla tjänster på valfri sida.
  2. Under Nätverk väljer du Routningstabeller.
  3. Välj Skapa.
  4. I fältet Prenumeration väljer du din prenumeration.
  5. För Resursgrupp väljer du Test-FW-RG.
  6. För Region väljer du samma plats som du använde tidigare.
  7. I fältet Namn skriver du Firewall-route.
  8. Välj Granska + skapa.
  9. Välj Skapa.

När distributionen är klar väljer du Gå till resurs.

  1. På sidan Brandväggsväg väljer du Undernät och sedan Associera.

  2. Välj Virtuellt nätverk>Test-FW-VN.

  3. För Undernät väljer du Workload-SN. Kontrollera att du bara väljer undernätet Workload-SN för den här vägen, annars fungerar inte brandväggen korrekt.

  4. Välj OK.

  5. Välj Vägar och sedan Lägg till.

  6. För Routningsnamn skriver du fw-dg.

  7. För Adressprefixmål väljer du IP-adresser.

  8. För MÅL-IP-adresser/CIDR-intervall skriver du 0.0.0.0/0.

  9. I fältet Nästa hopptyp väljer du Virtuell installation.

    Azure Firewall är egentligen en hanterad tjänst, men en virtuell installation fungerar i det här fallet.

  10. I fältet Nästa hoppadress skriver du brandväggens privata IP-adress som du skrev ned tidigare.

  11. Välj Lägg till.

Konfigurera en programregel

Det här är programregeln som tillåter utgående åtkomst till www.google.com.

  1. Öppna Test-FW-RG och välj brandväggsprincipen fw-test-pol .
  2. Välj Programregler.
  3. Välj Lägg till en regelsamling.
  4. I fältet Namn skriver du App-Coll01.
  5. I fältet Prioritet skriver du 200.
  6. För Regelsamlingsåtgärd väljer du Tillåt.
  7. Under Regler, för Namn, skriver du Allow-Google.
  8. Som Källtyp väljer du IP-adress.
  9. För Källa skriver du 10.0.2.0/24.
  10. I fältet Protokoll: port skriver du http, https.
  11. Som Måltyp väljer du FQDN.
  12. För Mål skriver du www.google.com
  13. Välj Lägg till.

Azure Firewall innehåller en inbyggd regelsamling för fullständiga domännamn för mål (FQDN) i infrastrukturen som tillåts som standard. Dessa FQDN är specifika för plattformen och kan inte användas för andra ändamål. Mer information finns i Infrastruktur-FQDN.

Konfigurera en nätverksregel

Det här är nätverksregel som tillåter utgående åtkomst till två IP-adresser på port 53 (DNS).

  1. Välj Nätverksregler.
  2. Välj Lägg till en regelsamling.
  3. I fältet Namn skriver du Net-Coll01.
  4. I fältet Prioritet skriver du 200.
  5. För Regelsamlingsåtgärd väljer du Tillåt.
  6. För Regelsamlingsgrupp väljer du DefaultNetworkRuleCollectionGroup.
  7. Under Regler, för Namn, skriver du Allow-DNS.
  8. Som Källtyp väljer du IP-adress.
  9. För Källa skriver du 10.0.2.0/24.
  10. I fältet Protokoll väljer du UDP.
  11. I fältet Målportar skriver du 53.
  12. För Måltyp väljer du IP-adress.
  13. För Mål skriver du 209.244.0.3,209.244.0.4.
    Det här är offentliga DNS-servrar som drivs av Level3.
  14. Välj Lägg till.

Konfigurera en DNAT-regel

Med den här regeln kan du ansluta ett fjärrskrivbord till den Srv-Work virtuella datorn via brandväggen.

  1. Välj DNAT-reglerna.
  2. Välj Lägg till en regelsamling.
  3. För Namn skriver du rdp.
  4. I fältet Prioritet skriver du 200.
  5. För Regelsamlingsgrupp väljer du DefaultDnatRuleCollectionGroup.
  6. Under Regler, för Namn, skriver du rdp-nat.
  7. Som Källtyp väljer du IP-adress.
  8. För Källa skriver du *.
  9. I fältet Protokoll väljer du TCP.
  10. För Målportar skriver du 3389.
  11. För Måltyp väljer du IP-adress.
  12. För Mål skriver du brandväggens offentliga IP-adress (fw-pip).
  13. För Översatt adress skriver du den privata IP-adressen Srv-work .
  14. I fältet Översatt port skriver du 3389.
  15. Välj Lägg till.

Ändra den primära och sekundära DNS-adressen för nätverksgränssnittet Srv-Work

I testsyfte i den här instruktioner konfigurerar du serverns primära och sekundära DNS-adresser. Detta är inte ett allmänt Azure Firewall krav.

  1. På menyn Azure Portal väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida. Välj resursgruppen Test-FW-RG .
  2. Välj nätverksgränssnittet för den virtuella datorn Srv-Work .
  3. Under Inställningar väljer du DNS-servrar.
  4. Under DNS-servrar väljer du Anpassad.
  5. Skriv 209.244.0.3 i textrutan Lägg till DNS-server och 209.244.0.4 i nästa textruta.
  6. Välj Spara.
  7. Starta om den virtuella datorn Srv-Work.

testa brandväggen.

Testa brandväggen för att bekräfta att den fungerar som förväntat.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress (fw-pip) och logga in på den virtuella datorn Srv-Work .

  2. Öppna Internet Explorer och navigera till https://www.google.com.

  3. Välj OK>Stäng i Internet Explorer-säkerhetsaviseringar.

    Du bör se Googles startsida.

  4. Gå till http://www.microsoft.com.

    Du bör blockeras av brandväggen.

Nu har du alltså kontrollerat att brandväggsreglerna fungerar:

  • Du kan ansluta ett fjärrskrivbord till den Srv-Work virtuella datorn.
  • Du kan bläddra till en tillåten FQDN, men inte till andra.
  • Du kan omvandla DNS-namn med hjälp av den konfigurerade externa DNS-servern.

Rensa resurser

Du kan behålla brandväggsresurserna för ytterligare testning, eller om de inte längre behövs, ta bort resursgruppen Test-FW-RG för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Distribuera och konfigurera Azure Firewall Premium