Distribuera och konfigurera Azure Firewall via Azure Portal
En viktig del av en övergripande säkerhetsplan för nätverket är att kontrollera utgående nätverksåtkomst. Du kanske till exempel vill begränsa åtkomsten till webbplatser. Eller så kanske du vill begränsa de utgående IP-adresser och portar som kan nås.
Med Azure Firewall kan du kontrollera åtkomsten till utgående nätverk från ett Azure-undernät. Med Azure Firewall kan du konfigurera:
- Programreglerna som definierar fullständigt kvalificerade domännamn (FQDN) kan nås från ett undernät.
- Nätverksregler som definierar källadress, protokoll, målport och måladress.
Nätverkstrafiken måste följa konfigurerade brandväggsregler när du vidarebefordrar den till brandväggen som standardgateway för undernätet.
I den här artikeln skapar du ett förenklat virtuellt nätverk med två undernät för enkel distribution.
För produktionsdistributioner rekommenderas en hubb- och ekermodell , där brandväggen finns i ett eget virtuellt nätverk. Arbetsbelastningsservrarna finns i peerkopplade virtuella nätverk i samma region med ett eller flera undernät.
- AzureFirewallSubnet – brandväggen ligger i det här undernätet.
- Workload-SN – arbetsbelastningsservern ligger i det här undernätet. Det här undernätets nätverkstrafik går genom brandväggen.
I den här artikeln kan du se hur du:
- konfigurera en testnätverksmiljö
- distribuera en brandvägg
- Skapa en standardväg
- Konfigurera en programregel för att tillåta åtkomst till www.google.com
- Konfigurera en nätverksregel för att tillåta åtkomst till externa DNS-servrar
- Konfigurera en NAT-regel för att tillåta ett fjärrskrivbord till testservern
- testa brandväggen.
Kommentar
Den här artikeln använder klassiska brandväggsregler för att hantera brandväggen. Den bästa metoden är att använda brandväggsprincip. Information om hur du slutför den här proceduren med hjälp av brandväggsprincipen finns i Självstudie: Distribuera och konfigurera Azure Firewall och princip med hjälp av Azure-portalen
Om du vill kan du slutföra den här proceduren med Hjälp av Azure PowerShell.
Förutsättningar
Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Konfigurera nätverket
Skapa först en resursgrupp som ska innehålla de resurser som behövs till att distribuera brandväggen. Skapa sedan ett virtuellt nätverk, undernät och en testserver.
Skapa en resursgrupp
Resursgruppen innehåller alla resurser som används i den här proceduren.
- Logga in på Azure-portalen.
- På Menyn i Azure-portalen väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida. Välj sedan Skapa.
- I fältet Prenumeration väljer du din prenumeration.
- I fältet Resursgruppsnamn skriver du Test-FW-RG.
- För Region väljer du en region. Alla andra resurser som du skapar måste finnas i samma region.
- Välj Granska + skapa.
- Välj Skapa.
Skapa ett virtuellt nätverk
Det här virtuella nätverket har två undernät.
Kommentar
Storleken på AzureFirewallSubnet-undernätet är /26. Mer information om undernätets storlek finns i Vanliga frågor och svar om Azure Firewall.
- På Menyn i Azure-portalen eller på sidan Start söker du efter virtuella nätverk.
- Välj Virtuella nätverk i resultatfönstret.
- Välj Skapa.
- I fältet Prenumeration väljer du din prenumeration.
- För Resursgrupp väljer du Test-FW-RG.
- Som Virtuellt nätverksnamn skriver du Test-FW-VN.
- För Region väljer du samma region som du använde tidigare.
- Välj Nästa.
- På fliken Säkerhet väljer du Aktivera Azure Firewall.
- För Azure Firewall-namn skriver du Test-FW01.
- För Offentlig IP-adress för Azure Firewall väljer du Skapa en offentlig IP-adress.
- Som Namn skriver du fw-pip och väljer OK.
- Välj Nästa.
- För Adressutrymme accepterar du standardvärdet 10.0.0.0/16.
- Under Undernät väljer du standard och ändrar namnet till Workload-SN.
- För Startadress ändrar du den till 10.0.2.0/24.
- Välj Spara.
- Välj Granska + skapa.
- Välj Skapa.
Kommentar
Azure Firewall använder offentliga IP-adresser efter behov baserat på tillgängliga portar. När du slumpmässigt har valt en offentlig IP-adress för att ansluta utgående från använder den bara nästa tillgängliga offentliga IP-adress när inga fler anslutningar kan göras från den aktuella offentliga IP-adressen. I scenarier med hög trafikvolym och dataflöde rekommenderar vi att du använder en NAT Gateway för att tillhandahålla utgående anslutning. SNAT-portar allokeras dynamiskt över alla offentliga IP-adresser som är associerade med NAT Gateway. Mer information finns i integrera NAT Gateway med Azure Firewall.
Skapa en virtuell dator
Skapa nu den virtuella arbetsbelastningsdatorn och placera den i undernätet Workload-SN .
I menyn i Azure-portalen eller på sidan Start väljer du Skapa en resurs.
Välj Windows Server 2019 Datacenter.
Ange följande värden för den virtuella datorn:
Inställning Värde Resursgrupp Test-FW-RG Virtual machine name Srv-Work Region Samma som tidigare Bild Windows Server 2019 Datacenter Administratörsanvändarnamn Ange ett användarnamn Lösenord Ange ett lösenord Under Regler för inkommande portar, Offentliga inkommande portar, väljer du Ingen.
Acceptera de andra standardvärdena och välj Nästa: Diskar.
Acceptera standardinställningarna för disken och välj Nästa: Nätverk.
Kontrollera att Test-FW-VN har valts för det virtuella nätverket och att undernätet är Workload-SN.
För Offentlig IP väljer du Ingen.
Acceptera de andra standardvärdena och välj Nästa: Hantering.
Acceptera standardvärdena och välj Nästa: Övervakning.
För Startdiagnostik väljer du Inaktivera för att inaktivera startdiagnostik. Acceptera de andra standardvärdena och välj Granska + skapa.
Granska inställningarna på sammanfattningssidan och välj sedan Skapa.
När distributionen är klar väljer du Gå till resurs och noterar den privata IP-adress för Srv-Work som du behöver använda senare.
Kommentar
Azure tillhandahåller en standard-IP för utgående åtkomst för virtuella datorer som antingen inte har tilldelats någon offentlig IP-adress eller som finns i serverdelspoolen för en intern grundläggande Azure-lastbalanserare. Ip-mekanismen för utgående åtkomst har en utgående IP-adress som inte kan konfigureras.
Standard-IP för utgående åtkomst inaktiveras när någon av följande händelser inträffar:
- En offentlig IP-adress tilldelas till den virtuella datorn.
- Den virtuella datorn placeras i serverdelspoolen för en standardlastbalanserare, med eller utan regler för utgående trafik.
- En Azure NAT Gateway-resurs tilldelas till den virtuella datorns undernät.
Virtuella datorer som du skapar med hjälp av vm-skalningsuppsättningar i flexibelt orkestreringsläge har inte standardåtkomst till utgående trafik.
Mer information om utgående anslutningar i Azure finns i Standardutgående åtkomst i Azure och Använda SNAT (Source Network Address Translation) för utgående anslutningar.
Granska brandväggen
- Gå till resursgruppen och välj brandväggen.
- Observera brandväggens privata och offentliga IP-adresser. Du använder dessa adresser senare.
Skapa en standardväg
När du skapar en väg för utgående och inkommande anslutning via brandväggen räcker det med en standardväg till 0.0.0.0/0 med den virtuella installationens privata IP-adress som nästa hopp. Detta dirigerar alla utgående och inkommande anslutningar via brandväggen. Om brandväggen till exempel uppfyller ett TCP-handskakning och svarar på en inkommande begäran dirigeras svaret till IP-adressen som skickade trafiken. Det här är avsiktligt.
Därför behöver du inte skapa en annan användardefinierad väg för att inkludera IP-intervallet AzureFirewallSubnet. Detta kan resultera i borttagna anslutningar. Den ursprungliga standardvägen räcker.
För undernätet Workload-SN ställer du in att den utgående standardvägen ska gå via brandväggen.
- I Azure-portalen söker du efter Routningstabeller.
- Välj Routningstabeller i resultatfönstret.
- Välj Skapa.
- I fältet Prenumeration väljer du din prenumeration.
- För Resursgrupp väljer du Test-FW-RG.
- För Region väljer du samma plats som du använde tidigare.
- I fältet Namn skriver du Firewall-route.
- Välj Granska + skapa.
- Välj Skapa.
När distributionen är klar väljer du Gå till resurs.
På sidan Brandväggsväg väljer du Undernät och sedan Associera.
För Virtuellt nätverk väljer du Test-FW-VN.
För Undernät väljer du Workload-SN. Kontrollera att du bara väljer undernätet Workload-SN för den här vägen, annars fungerar inte brandväggen korrekt.
Välj OK.
Välj Vägar och välj sedan Lägg till.
För Routningsnamn skriver du fw-dg.
Som Måltyp väljer du IP-adresser.
För MÅL-IP-adresser/CIDR-intervall skriver du 0.0.0.0/0.
I fältet Nästa hopptyp väljer du Virtuell installation.
Azure Firewall är egentligen en hanterad tjänst, men en virtuell installation fungerar i det här fallet.
I fältet Nästa hoppadress skriver du brandväggens privata IP-adress som du skrev ned tidigare.
Markera Lägga till.
Konfigurera en programregel
Det här är programregeln som tillåter utgående åtkomst till www.google.com
.
- Öppna Test-FW-RG och välj brandväggen Test-FW01.
- På sidan Test-FW01 går du till Inställningar och väljer Regler (klassisk).
- Välj fliken Programregelsamling .
- Välj Lägg till programregelsamling.
- I fältet Namn skriver du App-Coll01.
- I fältet Prioritet skriver du 200.
- I fältet Åtgärd väljer du Tillåt.
- Under Regler, Mål-FQDN:er, för Namn, skriver du Allow-Google.
- Som Källtyp väljer du IP-adress.
- För Källa skriver du 10.0.2.0/24.
- I fältet Protokoll: port skriver du http, https.
- För Mål-FQDNS skriver du
www.google.com
- Markera Lägga till.
Azure Firewall innehåller en inbyggd regelsamling för fullständiga domännamn för mål (FQDN) i infrastrukturen som tillåts som standard. Dessa FQDN är specifika för plattformen och kan inte användas för andra ändamål. Mer information finns i Infrastruktur-FQDN.
Konfigurera en nätverksregel
Det här är nätverksregel som tillåter utgående åtkomst till två IP-adresser på port 53 (DNS).
Välj fliken Nätverksregelsamling .
Välj Lägg till nätverksregelsamling.
I fältet Namn skriver du Net-Coll01.
I fältet Prioritet skriver du 200.
I fältet Åtgärd väljer du Tillåt.
Under Regler, IP-adresser, för Namn, skriver du Allow-DNS.
I fältet Protokoll väljer du UDP.
Som Källtyp väljer du IP-adress.
För Källa skriver du 10.0.2.0/24.
För Måltyp väljer du IP-adress.
För Måladress skriver du 209.244.0.3,209.244.0.4
Det här är offentliga DNS-servrar som drivs av Level3.
I fältet Målportar skriver du 53.
Markera Lägga till.
Konfigurera en DNAT-regel
Med den här regeln kan du ansluta ett fjärrskrivbord till den virtuella Srv-Work-datorn via brandväggen.
- Välj fliken NAT-regelsamling.
- Välj Lägg till NAT-regelsamling.
- Som Namn skriver du rdp.
- I fältet Prioritet skriver du 200.
- Under Regler skriver du rdp-nat för Namn.
- I fältet Protokoll väljer du TCP.
- Som Källtyp väljer du IP-adress.
- För Källa skriver du *.
- För Måladress skriver du brandväggens offentliga IP-adress.
- För Målportar skriver du 3389.
- För Översatt adress skriver du den privata IP-adressen för Srv-work.
- I fältet Översatt port skriver du 3389.
- Markera Lägga till.
Ändra den primära och sekundära DNS-adressen för nätverksgränssnittet Srv-Work
I testsyfte konfigurerar du serverns primära och sekundära DNS-adresser. Detta är inte ett allmänt Azure Firewall-krav.
- På Menyn i Azure-portalen väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida. Välj resursgruppen Test-FW-RG.
- Välj nätverksgränssnittet för den virtuella Srv-Work-datorn .
- Under Inställningar väljer du DNS-servrar.
- Under DNS-servrar väljer du Anpassad.
- Skriv 209.244.0.3 och tryck på Retur i textrutan Lägg till DNS-server och 209.244.0.4 i nästa textruta.
- Välj Spara.
- Starta om den virtuella datorn Srv-Work.
testa brandväggen.
Testa nu brandväggen för att bekräfta att den fungerar som förväntat.
Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress och logga in på den virtuella Srv-Work-datorn.
Öppna Internet Explorer och navigera till
https://www.google.com
.Välj OK>Stäng i Internet Explorer-säkerhetsaviseringar.
Du bör se Googles startsida.
Bläddra till
https://www.microsoft.com
.Brandväggen bör blockera dig.
Nu har du alltså kontrollerat att brandväggsreglerna fungerar:
- Du kan ansluta till den virtuella datorn med RDP.
- Du kan bläddra till en tillåten FQDN, men inte till andra.
- Du kan omvandla DNS-namn med hjälp av den konfigurerade externa DNS-servern.
Rensa resurser
Du kan behålla brandväggsresurserna för att fortsätta testningen, eller om det inte längre behövs tar du bort resursgruppen Test-FW-RG för att ta bort alla brandväggsrelaterade resurser.