Självstudie: Distribuera och konfigurera Azure Firewall och principer med hjälp av Azure Portal

  • Artikel

En viktig del av en övergripande säkerhetsplan för nätverket är att kontrollera utgående nätverksåtkomst. Du kanske till exempel vill begränsa åtkomsten till webbplatser. Eller så kanske du vill begränsa de utgående IP-adresser och portar som kan nås.

Ett sätt att styra utgående nätverksåtkomst från ett Azure-undernät är med Azure Firewall och brandväggsprincip. Med Azure Firewall och brandväggsprincip kan du konfigurera:

  • Programreglerna som definierar fullständigt kvalificerade domännamn (FQDN) kan nås från ett undernät.
  • Nätverksregler som definierar källadress, protokoll, målport och måladress.

Nätverkstrafiken måste följa konfigurerade brandväggsregler när du vidarebefordrar den till brandväggen som standardgateway för undernätet.

I den här självstudien skapar du ett förenklat virtuellt nätverk med två undernät för enkel distribution.

  • AzureFirewallSubnet – brandväggen ligger i det här undernätet.
  • Workload-SN – arbetsbelastningsservern ligger i det här undernätet. Det här undernätets nätverkstrafik går genom brandväggen.

Självstudie om nätverksinfrastruktur

För produktionsdistributioner rekommenderas en hubb- och ekermodell , där brandväggen finns i ett eget virtuellt nätverk. Arbetsbelastningsservrarna finns i peerkopplade virtuella nätverk i samma region med ett eller flera undernät.

I den här guiden får du lära dig att:

  • konfigurera en testnätverksmiljö
  • Distribuera en brandväggs- och brandväggsprincip
  • Skapa en standardväg
  • Konfigurera en programregel för att tillåta åtkomst till www.google.com
  • Konfigurera en nätverksregel för att tillåta åtkomst till externa DNS-servrar
  • Konfigurera en NAT-regel för att tillåta fjärrskrivbord till testservern
  • testa brandväggen.

Om du vill kan du slutföra den här proceduren med hjälp av Azure PowerShell.

Krav

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Konfigurera nätverket

Skapa först en resursgrupp som ska innehålla de resurser som behövs till att distribuera brandväggen. Skapa sedan ett virtuellt nätverk, undernät och en testserver.

Skapa en resursgrupp

Resursgruppen innehåller alla resurser för den här självstudien.

  1. Logga in på Azure-portalen.

  2. På menyn Azure Portal väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida och väljer sedan Lägg till. Ange eller välj följande värden:

    Inställning Värde
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Ange Test-FW-RG.
    Region Välj en region. Alla andra resurser som du skapar måste finnas i samma region.

  3. Välj Granska + skapa.

  4. Välj Skapa.

Skapa ett virtuellt nätverk

Det här virtuella nätverket har två undernät.

Anteckning

Storleken på Undernätet AzureFirewallSubnet är /26. Mer information om undernätsstorleken finns i vanliga frågor och svar om Azure Firewall.

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Välj Nätverk.

  3. Sök efter Virtuellt nätverk och välj det.

  4. Välj Skapa och ange eller välj sedan följande värden:

    Inställning Värde
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Välj Test-FW-RG.
    Name Ange Test-FW-VN.
    Region Välj samma plats som du använde tidigare.

  5. Välj Nästa: IP-adresser.

  6. För IPv4-adressutrymme accepterar du standardvärdet 10.0.0.0/16.

  7. Under Undernät väljer du standard.

  8. För Undernätsnamn ändrar du namnet till AzureFirewallSubnet. Brandväggen kommer att ligga i det här undernätet, och namnet på undernätet måste vara AzureFirewallSubnet.

  9. För Adressintervall skriver du 10.0.1.0/26.

  10. Välj Spara.

    Skapa sedan ett undernät för arbetsbelastningsservern.

  11. Välj Lägg till undernät.

  12. Som Undernätsnamn skriver du Workload-SN.

  13. För Adressintervall för undernätet skriver du 10.0.2.0/24.

  14. Välj Lägg till.

  15. Välj Granska + skapa.

  16. Välj Skapa.

Skapa en virtuell dator

Skapa nu den virtuella arbetsbelastningsdatorn och placera den i undernätet Workload-SN .

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Välj Windows Server 2019 Datacenter.

  3. Ange eller välj dessa värden för den virtuella datorn:

    Inställning Värde
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Välj Test-FW-RG.
    Namn på virtuell dator Ange Srv-Work.
    Region Välj samma plats som du använde tidigare.
    Användarnamn Ange ett användarnamn.
    Lösenord Ange ett lösenord.

  4. Under Regler för inkommande portar, Offentliga inkommande portar, väljer du Ingen.

  5. Acceptera de andra standardvärdena och välj Nästa: Diskar.

  6. Acceptera standardinställningarna för disken och välj Nästa: Nätverk.

  7. Kontrollera att Test-FW-VN har valts för det virtuella nätverket och att undernätet är Workload-SN.

  8. För Offentlig IP väljer du Ingen.

  9. Acceptera de andra standardvärdena och välj Nästa: Hantering.

  10. Välj Inaktivera för att inaktivera startdiagnostik. Acceptera de andra standardvärdena och välj Granska + skapa.

  11. Granska inställningarna på sammanfattningssidan och välj sedan Skapa.

  12. När distributionen är klar väljer du resursen Srv-Work och noterar den privata IP-adressen för senare användning.

Distribuera brandväggen och principen

Distribuera brandväggen till det virtuella nätverket.

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Skriv brandväggen i sökrutan och tryck på Retur.

  3. Välj Brandvägg och sedan Skapa.

  4. På sidan Skapa en brandvägg använder du följande tabell till att konfigurera brandväggen:

    Inställningen Värde
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Välj Test-FW-RG.
    Name Ange Test-FW01.
    Region Välj samma plats som du använde tidigare.
    Brandväggshantering Välj Använd en brandväggsprincip för att hantera den här brandväggen.
    Brandväggsprincip Välj Lägg till ny och ange fw-test-pol.
    Välj samma region som du använde tidigare.
    Välj ett virtuellt nätverk Välj Använd befintlig och välj sedan Test-FW-VN.
    Offentlig IP-adress Välj Lägg till ny och ange fw-pip som Namn.

  5. Acceptera de andra standardvärdena och välj sedan Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Distributionen kan ta några minuter.

  7. När distributionen är klar går du till resursgruppen Test-FW-RG och väljer brandväggen Test-FW01 .

  8. Observera brandväggens privata och offentliga IP-adresser. Du använder dessa adresser senare.

Skapa en standardväg

För undernätet Workload-SN ställer du in att den utgående standardvägen ska gå via brandväggen.

  1. På menyn Azure Portal väljer du Alla tjänster eller söker efter och väljer Alla tjänster på valfri sida.

  2. Under Nätverk väljer du Routningstabeller.

  3. Välj Skapa och ange eller välj sedan följande värden:

    Inställningen Värde
    Prenumeration Välj din Azure-prenumeration.
    Resursgrupp Välj Test-FW-RG.
    Region Välj samma plats som du använde tidigare.
    Name Ange Brandväggsväg.

  4. Välj Granska + skapa.

  5. Välj Skapa.

När distributionen är klar väljer du Gå till resurs.

  1. På sidan Brandväggsväg väljer du Undernät och sedan Associera.
  2. Välj Virtuellt nätverk>Test-FW-VN.
  3. För Undernät väljer du Workload-SN. Kontrollera att du bara väljer undernätet Workload-SN för den här vägen, annars fungerar inte brandväggen korrekt.
  4. Välj OK.
  5. Välj Vägar och sedan Lägg till.
  6. Ange fw-dg som Routningsnamn.
  7. För Adressprefix anger du 0.0.0.0/0.
  8. I fältet Nästa hopptyp väljer du Virtuell installation. Azure Firewall är egentligen en hanterad tjänst, men en virtuell installation fungerar i det här fallet.
  9. För Nästa hoppadress anger du den privata IP-adressen för brandväggen som du antecknade tidigare.
  10. Välj OK.

Konfigurera en programregel

Det här är programregeln som tillåter utgående åtkomst till www.google.com.

  1. Öppna resursgruppen Test-FW-RG och välj brandväggsprincipen fw-test-pol .
  2. Välj Programregler.
  3. Välj Lägg till en regelsamling.
  4. Som Namn anger du App-Coll01.
  5. Ange 200 som Prioritet.
  6. För Regelsamlingsåtgärd väljer du Tillåt.
  7. Under Regler, för Namn, anger du Tillåt-Google.
  8. Som Källtyp väljer du IP-adress.
  9. För Källa anger du 10.0.2.0/24.
  10. För Protokoll:port anger du http, https.
  11. Som Måltyp väljer du FQDN.
  12. För Mål anger du www.google.com
  13. Välj Lägg till.

Azure Firewall innehåller en inbyggd regelsamling för fullständiga domännamn för mål (FQDN) i infrastrukturen som tillåts som standard. Dessa FQDN är specifika för plattformen och kan inte användas för andra ändamål. Mer information finns i Infrastruktur-FQDN.

Konfigurera en nätverksregel

Det här är nätverksregel som tillåter utgående åtkomst till två IP-adresser på port 53 (DNS).

  1. Välj Nätverksregler.
  2. Välj Lägg till en regelsamling.
  3. Som Namn anger du Net-Coll01.
  4. Ange 200 som Prioritet.
  5. För Regelsamlingsåtgärd väljer du Tillåt.
  6. För Regelsamlingsgrupp väljer du DefaultNetworkRuleCollectionGroup.
  7. Under Regler, för Namn, anger du Allow-DNS.
  8. Som Källtyp väljer du IP-adress.
  9. För Källa anger du 10.0.2.0/24.
  10. I fältet Protokoll väljer du UDP.
  11. För Målportar anger du 53.
  12. För Måltyp väljer du IP-adress.
  13. För Mål anger du 209.244.0.3,209.244.0.4.
    Det här är offentliga DNS-servrar som drivs av CenturyLink.
  14. Välj Lägg till.

Konfigurera en DNAT-regel

Med den här regeln kan du ansluta ett fjärrskrivbord till den virtuella Srv-Work-datorn via brandväggen.

  1. Välj DNAT-reglerna.
  2. Välj Lägg till en regelsamling.
  3. För Namn anger du rdp.
  4. Ange 200 som Prioritet.
  5. För Regelsamlingsgrupp väljer du DefaultDnatRuleCollectionGroup.
  6. Under Regler, för Namn, anger du rdp-nat.
  7. Som Källtyp väljer du IP-adress.
  8. För Källa anger du *.
  9. I fältet Protokoll väljer du TCP.
  10. För Målportar anger du 3389.
  11. För Måltyp väljer du IP-adress.
  12. För Mål anger du brandväggens offentliga IP-adress.
  13. För Översatt adress anger du den privata IP-adressen Srv-work .
  14. För Översatt port anger du 3389.
  15. Välj Lägg till.

Ändra den primära och sekundära DNS-adressen för nätverksgränssnittet Srv-Work

I testsyfte i den här självstudien konfigurerar du serverns primära och sekundära DNS-adresser. Detta är inte ett allmänt Azure Firewall krav.

  1. På menyn Azure Portal väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida. Välj resursgruppen Test-FW-RG .
  2. Välj nätverksgränssnittet för den virtuella datorn Srv-Work .
  3. Under Inställningar väljer du DNS-servrar.
  4. Under DNS-servrar väljer du Anpassad.
  5. Ange 209.244.0.3 i textrutan Lägg till DNS-server och 209.244.0.4 i nästa textruta.
  6. Välj Spara.
  7. Starta om den virtuella datorn Srv-Work.

testa brandväggen.

Testa brandväggen för att bekräfta att den fungerar som förväntat.

  1. Anslut ett fjärrskrivbord till brandväggens offentliga IP-adress och logga in på den virtuella Srv-Work-datorn .

  2. Öppna Internet Explorer och navigera till https://www.google.com.

  3. Välj OK>Stäng i Internet Explorer-säkerhetsaviseringar.

    Du bör se Googles startsida.

  4. Gå till https://www.microsoft.com.

    Du bör blockeras av brandväggen.

Nu har du alltså kontrollerat att brandväggsreglerna fungerar:

  • Du kan bläddra till en tillåten FQDN, men inte till andra.
  • Du kan omvandla DNS-namn med hjälp av den konfigurerade externa DNS-servern.

Rensa resurser

Du kan behålla dina brandväggsresurser för nästa självstudie eller, om de inte längre behövs, så tar du bort resursgruppen Test-FW-RG för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Distribuera och konfigurera Azure Firewall Premium