Distribuera och konfigurera Azure Firewall via Azure Portal

En viktig del av en övergripande säkerhetsplan för nätverket är att kontrollera utgående nätverksåtkomst. Du kanske till exempel vill begränsa åtkomsten till webbplatser. Eller så kanske du vill begränsa de utgående IP-adresser och portar som kan nås.

Med Azure Firewall kan du kontrollera åtkomsten till utgående nätverk från ett Azure-undernät. Med Azure Firewall kan du konfigurera:

  • Programreglerna som definierar fullständigt kvalificerade domännamn (FQDN) kan nås från ett undernät.
  • Nätverksregler som definierar källadress, protokoll, målport och måladress.

Nätverkstrafiken måste följa konfigurerade brandväggsregler när du vidarebefordrar den till brandväggen som standardgateway för undernätet.

I den här artikeln skapar du ett förenklat virtuellt nätverk med två undernät för enkel distribution.

För produktionsdistributioner rekommenderas en hubb- och ekermodell , där brandväggen finns i ett eget virtuellt nätverk. Arbetsbelastningsservrarna finns i peerkopplade virtuella nätverk i samma region med ett eller flera undernät.

  • AzureFirewallSubnet – brandväggen ligger i det här undernätet.
  • Workload-SN – arbetsbelastningsservern ligger i det här undernätet. Det här undernätets nätverkstrafik går genom brandväggen.

Nätverksinfrastruktur

I den här artikeln kan du se hur du:

  • konfigurera en testnätverksmiljö
  • distribuera en brandvägg
  • Skapa en standardväg
  • Konfigurera en programregel för att tillåta åtkomst till www.google.com
  • Konfigurera en nätverksregel för att tillåta åtkomst till externa DNS-servrar
  • Konfigurera en NAT-regel för att tillåta fjärrskrivbord till testservern
  • testa brandväggen.

Anteckning

Den här artikeln använder klassiska brandväggsregler för att hantera brandväggen. Den bästa metoden är att använda brandväggsprincipen. Information om hur du slutför den här proceduren med hjälp av brandväggsprincipen finns i Självstudie: Distribuera och konfigurera Azure Firewall och principer med hjälp av Azure Portal

Om du vill kan du slutföra den här proceduren med hjälp av Azure PowerShell.

Krav

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Konfigurera nätverket

Skapa först en resursgrupp som ska innehålla de resurser som behövs till att distribuera brandväggen. Skapa sedan ett virtuellt nätverk, undernät och en testserver.

Skapa en resursgrupp

Resursgruppen innehåller alla resurser som används i den här proceduren.

  1. Logga in på Azure Portal på https://portal.azure.com.
  2. På menyn Azure Portal väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida. Välj sedan Skapa.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. I fältet Resursgruppsnamn skriver du Test-FW-RG.
  5. I fältet Resursgruppsplats väljer du en plats. Alla andra resurser som du skapar måste finnas på samma plats.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Skapa ett virtuellt nätverk

Det här virtuella nätverket har två undernät.

Anteckning

Storleken på Undernätet AzureFirewallSubnet är /26. Mer information om undernätsstorleken finns i vanliga frågor och svar om Azure Firewall.

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Välj Nätverk Virtuellt>nätverk.

  3. I fältet Prenumeration väljer du din prenumeration.

  4. För Resursgrupp väljer du Test-FW-RG.

  5. I fältet Namn skriver du Test-FW-VN.

  6. För Region väljer du samma plats som du använde tidigare.

  7. Välj Nästa: IP-adresser.

  8. För IPv4-adressutrymme accepterar du standardvärdet 10.0.0.0/16.

  9. Under Undernätsnamn väljer du standard.

  10. För Undernätsnamn ändrar du det till AzureFirewallSubnet. Brandväggen kommer att ligga i det här undernätet, och namnet på undernätet måste vara AzureFirewallSubnet.

  11. För Adressintervall ändrar du det till 10.0.1.0/26.

  12. Välj Spara.

    Skapa sedan ett undernät för arbetsbelastningsservern.

  13. Välj Lägg till undernät.

  14. Som Undernätsnamn skriver du Workload-SN.

  15. För Adressintervall för undernätet skriver du 10.0.2.0/24.

  16. Välj Lägg till.

  17. Välj Granska + skapa.

  18. Välj Skapa.

Skapa en virtuell dator

Skapa nu den virtuella arbetsbelastningsdatorn och placera den i undernätet Workload-SN .

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Välj Windows Server 2019 Datacenter.

  3. Ange följande värden för den virtuella datorn:

    Inställning Värde
    Resursgrupp Test-FW-RG
    Namn på virtuell dator Srv-Work
    Region Samma som tidigare
    Bild Windows Server 2019 Datacenter
    Administratörens användarnamn Ange ett användarnamn
    Lösenord Ange ett lösenord
  4. Under Regler för inkommande portar, Offentliga inkommande portar, väljer du Ingen.

  5. Acceptera de andra standardvärdena och välj Nästa: Diskar.

  6. Acceptera standardinställningarna för disken och välj Nästa: Nätverk.

  7. Kontrollera att Test-FW-VN har valts för det virtuella nätverket och att undernätet är Workload-SN.

  8. För Offentlig IP väljer du Ingen.

  9. Acceptera de andra standardvärdena och välj Nästa: Hantering.

  10. För Startdiagnostik väljer du Inaktivera för att inaktivera startdiagnostik. Acceptera de andra standardvärdena och välj Granska + skapa.

  11. Granska inställningarna på sammanfattningssidan och välj sedan Skapa.

  12. När distributionen är klar väljer du Srv-Work och noterar den privata IP-adress som du behöver använda senare.

Anteckning

Azure tillhandahåller en utgående standardåtkomst-IP för virtuella datorer som antingen inte har tilldelats någon offentlig IP-adress eller som finns i serverdelspoolen för en intern grundläggande Azure-lastbalanserare. Standardmekanismen för utgående åtkomst-IP tillhandahåller en utgående IP-adress som inte kan konfigureras.

Mer information finns i Utgående standardåtkomst i Azure.

Standard-IP för utgående åtkomst inaktiveras när antingen en offentlig IP-adress tilldelas till den virtuella datorn eller om den virtuella datorn placeras i serverdelspoolen för en standardlastbalanserare, med eller utan regler för utgående trafik. Om en GATEWAY-resurs för Azure Virtual Network nat-gateway (network address translation) tilldelas till den virtuella datorns undernät inaktiveras den utgående åtkomst-IP-adressen som är standard.

Virtuella datorer som skapas av VM-skalningsuppsättningar i flexibelt orkestreringsläge har inte standardåtkomst till utgående trafik.

Mer information om utgående anslutningar i Azure finns i Använda källnätverksadressöversättning (SNAT) för utgående anslutningar.

Distribuera brandväggen

Distribuera brandväggen till det virtuella nätverket.

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Skriv brandväggen i sökrutan och tryck på Retur.

  3. Välj Brandvägg och sedan Skapa.

  4. På sidan Skapa en brandvägg använder du följande tabell till att konfigurera brandväggen:

    Inställning Värde
    Prenumeration <din prenumeration>
    Resursgrupp Test-FW-RG
    Name Test-FW01
    Region Välj samma plats som tidigare
    Brandväggsnivå Standard
    Brandväggshantering Använda brandväggsregler (klassisk) för att hantera den här brandväggen
    Välj ett virtuellt nätverk Använd befintlig: Test-FW-VN
    Offentlig IP-adress Lägg till ny
    Namn: fw-pip
  5. Acceptera de andra standardvärdena och välj sedan Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Distributionen kan ta några minuter.

  7. När distributionen är klar går du till resursgruppen Test-FW-RG och väljer brandväggen Test-FW01 .

  8. Observera brandväggens privata och offentliga IP-adresser. Du kommer att använda dessa adresser senare.

Skapa en standardväg

När du skapar en väg för utgående och inkommande anslutning genom brandväggen räcker det med en standardväg till 0.0.0.0/0 med den virtuella installationens privata IP-adress som nästa hopp. Detta tar hand om alla utgående och inkommande anslutningar för att gå igenom brandväggen. Om brandväggen till exempel uppfyller en TCP-handskakning och svarar på en inkommande begäran dirigeras svaret till IP-adressen som skickade trafiken. Det här är avsiktligt.

Därför behöver du inte skapa ytterligare en UDR för att inkludera IP-intervallet AzureFirewallSubnet. Detta kan resultera i avbrutna anslutningar. Den ursprungliga standardvägen räcker.

För undernätet Workload-SN ställer du in att den utgående standardvägen ska gå via brandväggen.

  1. I menyn i Azure-portalen väljer du Skapa en resurs.
  2. Under Nätverk väljer du Routningstabell.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. För Resursgrupp väljer du Test-FW-RG.
  5. För Region väljer du samma plats som du använde tidigare.
  6. I fältet Namn skriver du Firewall-route.
  7. Välj Granska + skapa.
  8. Välj Skapa.

När distributionen är klar väljer du Gå till resurs.

  1. På sidan Brandväggsväg väljer du Undernät och sedan Associera.

  2. Välj Virtuellt nätverk>Test-FW-VN.

  3. För Undernät väljer du Workload-SN. Se till att du bara väljer undernätet Workload-SN för den här vägen, annars fungerar inte brandväggen korrekt.

  4. Välj OK.

  5. Välj Vägar och sedan Lägg till.

  6. Som Vägnamn skriver du fw-dg.

  7. För Adressprefixmål väljer du IP-adresser.

  8. För Mål-IP-adresser/CIDR-intervall skriver du 0.0.0.0/0.

  9. I fältet Nästa hopptyp väljer du Virtuell installation.

    Azure Firewall är egentligen en hanterad tjänst, men en virtuell installation fungerar i det här fallet.

  10. I fältet Nästa hoppadress skriver du brandväggens privata IP-adress som du skrev ned tidigare.

  11. Välj Lägg till.

Konfigurera en programregel

Det här är programregeln som tillåter utgående åtkomst till www.google.com.

  1. Öppna Test-FW-RG och välj brandväggen Test-FW01 .
  2. På sidan Test-FW01 går du till Inställningar och väljer Regler (klassisk).
  3. Välj fliken Programregelsamling .
  4. Välj Lägg till programregelsamling.
  5. I fältet Namn skriver du App-Coll01.
  6. I fältet Prioritet skriver du 200.
  7. I fältet Åtgärd väljer du Tillåt.
  8. Under Regler, Mål-FQDN, för Namn skriver du Allow-Google.
  9. Som Källtyp väljer du IP-adress.
  10. För Källa skriver du 10.0.2.0/24.
  11. I fältet Protokoll: port skriver du http, https.
  12. För Mål-FQDNS skriver du www.google.com
  13. Välj Lägg till.

Azure Firewall innehåller en inbyggd regelsamling för fullständiga domännamn för mål (FQDN) i infrastrukturen som tillåts som standard. Dessa FQDN är specifika för plattformen och kan inte användas för andra ändamål. Mer information finns i Infrastruktur-FQDN.

Konfigurera en nätverksregel

Det här är nätverksregel som tillåter utgående åtkomst till två IP-adresser på port 53 (DNS).

  1. Välj fliken Nätverksregelsamling .

  2. Välj Lägg till nätverksregelsamling.

  3. I fältet Namn skriver du Net-Coll01.

  4. I fältet Prioritet skriver du 200.

  5. I fältet Åtgärd väljer du Tillåt.

  6. Under Regler, IP-adresser, för Namn skriver du Allow-DNS.

  7. I fältet Protokoll väljer du UDP.

  8. Som Källtyp väljer du IP-adress.

  9. För Källa skriver du 10.0.2.0/24.

  10. För Måltyp väljer du IP-adress.

  11. Som Måladress skriver du 209.244.0.3,209.244.0.4

    Det här är offentliga DNS-servrar som drivs av Level3.

  12. I fältet Målportar skriver du 53.

  13. Välj Lägg till.

Konfigurera en DNAT-regel

Med den här regeln kan du ansluta ett fjärrskrivbord till den Srv-Work virtuella datorn via brandväggen.

  1. Välj fliken NAT-regelsamling .
  2. Välj Lägg till NAT-regelsamling.
  3. I fältet Namn skriver du rdp.
  4. I fältet Prioritet skriver du 200.
  5. Under Regler skriver du rdp-nat som Namn.
  6. I fältet Protokoll väljer du TCP.
  7. Som Källtyp väljer du IP-adress.
  8. För Källa skriver du *.
  9. Som Måladress skriver du brandväggens offentliga IP-adress.
  10. För Målportar skriver du 3389.
  11. För Översatt adress skriver du den privata IP-adressen för Srv-work.
  12. I fältet Översatt port skriver du 3389.
  13. Välj Lägg till.

Ändra den primära och sekundära DNS-adressen för nätverksgränssnittet Srv-Work

I testsyfte konfigurerar du serverns primära och sekundära DNS-adresser. Detta är inte ett allmänt Azure Firewall krav.

  1. På menyn Azure Portal väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida. Välj resursgruppen Test-FW-RG .
  2. Välj nätverksgränssnittet för den virtuella datorn Srv-Work .
  3. Under Inställningar väljer du DNS-servrar.
  4. Under DNS-servrar väljer du Anpassad.
  5. Skriv 209.244.0.3 i textrutan Lägg till DNS-server och 209.244.0.4 i nästa textruta.
  6. Välj Spara.
  7. Starta om den virtuella datorn Srv-Work.

testa brandväggen.

Testa nu brandväggen för att bekräfta att den fungerar som förväntat.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress och logga in på den Srv-Work virtuella datorn.

  2. Öppna Internet Explorer och navigera till https://www.google.com.

  3. Välj OK>Stäng i Internet Explorer-säkerhetsaviseringar.

    Du bör se Googles startsida.

  4. Gå till https://www.microsoft.com.

    Du bör blockeras av brandväggen.

Nu har du alltså kontrollerat att brandväggsreglerna fungerar:

  • Du kan ansluta till den virtuella datorn med RDP.
  • Du kan bläddra till en tillåten FQDN, men inte till andra.
  • Du kan omvandla DNS-namn med hjälp av den konfigurerade externa DNS-servern.

Rensa resurser

Du kan behålla dina brandväggsresurser för att fortsätta testa, eller om de inte längre behövs, ta bort resursgruppen Test-FW-RG för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Självstudie: Övervaka Azure Firewall-loggar