Planera azure firewall-distribution
Innan du kan distribuera Azure Firewall måste du planera nätverkstopologin, identifiera de brandväggsregler du behöver och förstå distributionsstegen.
Rekommenderad nätverkstopologi
Kom ihåg att Azure Firewall bäst distribueras med hjälp av en nätverkstopologi för nav och eker med följande egenskaper:
- Ett virtuellt nätverk som fungerar som den centrala anslutningspunkten. Det här nätverket är det virtuella hubbnätverket.
- Ett eller flera virtuella nätverk som är peer-kopplade till hubben. Dessa peer-datorer är de virtuella ekernätverken och används för att etablera arbetsbelastningsservrar.
Du kan distribuera brandväggsinstansen i ett undernät i det virtuella hubbnätverket och sedan konfigurera all inkommande och utgående trafik så att den går igenom brandväggen. Du använder den här konfigurationen när du distribuerar Azure Firewall för att skydda värdpoolen för Azure Virtual Desktop.
Azure Firewall-regler
Kom ihåg att brandväggen som standard nekar åtkomst till allt. Ditt jobb är att konfigurera brandväggen med de villkor under vilka trafik tillåts via brandväggen. Varje villkor kallas för en regel. Varje regel tillämpar en eller flera kontroller av data. Endast trafik som passerar varje kontroll i alla brandväggsregler tillåts passera.
I följande tabell beskrivs de tre typer av regler som du kan skapa för en Azure-brandvägg. Om du vill tillåta lämplig nätverkstrafik för Azure Virtual Desktop använder du program- och nätverksregler.
| Regeltyp | beskrivning |
|---|---|
| NAT (Network Address Translation) | Översätt och filtrera inkommande Internettrafik baserat på brandväggens offentliga IP-adress och ett angivet portnummer. Om du till exempel vill aktivera en fjärrskrivbordsanslutning till en virtuell dator kan du använda en NAT-regel för att översätta brandväggens offentliga IP-adress och port 3389 till den virtuella datorns privata IP-adress. |
| Program | Filtrera trafik baserat på ett fullständigt kvalificerat domännamn (FQDN) eller FQDN-tagg. En FQDN-tagg representerar en grupp FQDN:er som är associerade med välkända Microsoft-tjänster, till exempel Azure Virtual Desktop. Du använder till exempel en programregel för att tillåta utgående trafik för virtuella Azure Virtual Desktop-datorer med hjälp av FQDN-taggen WindowsVirtualDesktop. |
| Nätverk | Filtrera trafik baserat på en eller flera av följande tre nätverksparametrar: IP-adress, port och protokoll. Använd till exempel en nätverksregel för att tillåta trafik från en privat IP-adress för lokal Active Directory Domain Server till Azure för TCP och UDP-port 53. Om du använder Microsoft Entra Domain Server behöver du inte skapa en nätverksregel. DNS-frågor vidarebefordras till Azure DNS på 168.63.129.16. |
Azure Firewall tillämpar regler i prioritetsordning. Regler baserade på hotinformation ges alltid högsta prioritet och bearbetas först. Därefter tillämpas regler efter typ: NAT-regler, sedan nätverksregler och sedan programregler. Inom varje typ bearbetas regler enligt de prioritetsvärden som du tilldelar när du skapar regeln, från det lägsta värdet till det högsta värdet.
Distribueringsalternativ
Kom ihåg att Azure Firewall erbjuder många funktioner som är utformade för att göra det enklare att skapa och hantera regler. I följande tabell sammanfattas dessa funktioner. Om du vill tillåta nätverkstrafik för Azure Virtual Desktop använder du FQDN-taggar, men du kan också använda dessa andra alternativ i din miljö.
| Funktion | beskrivning |
|---|---|
| FQDN | Ett domännamn för en värd eller en eller flera IP-adresser. Om du lägger till ett FQDN i en programregel kan du komma åt domänen. När du använder ett FQDN i en programregel kan du använda jokertecken, till exempel *.google.com. |
| FQDN-tagg | En grupp välkända FQDN för Microsoft. Genom att lägga till en FQDN-tagg i en programregel kan du få utgående åtkomst till taggens FQDN. Det finns till exempel FQDN-taggar för Windows Update, Azure Virtual Desktop, Windows-diagnostik och Azure Backup. Microsoft hanterar FQDN-taggar och du kan inte ändra eller skapa dem. |
| Tjänsttagg | En grupp IP-adressprefix som är relaterade till en specifik Azure-tjänst. Genom att lägga till en tjänsttagg i en nätverksregel kan du komma åt tjänsten som representeras av taggen. Det finns tjänsttaggar för dussintals Azure-tjänster, inklusive Azure Backup, Azure Cosmos DB och Azure Logic Apps. Microsoft hanterar tjänsttaggar och du kan inte ändra eller skapa dem. |
| IP-grupper | En grupp MED IP-adresser, till exempel 10.2.0.0/16 eller 10.1.0.0-10.1.0.31. Du kan använda en IP-grupp som källadress i en NAT- eller programregel, eller som käll- eller måladress i en nätverksregel. |
| Anpassad DNS | En anpassad DNS-server som löser domännamn till IP-adresser. Om du använder en anpassad DNS-server i stället för Azure DNS måste du även konfigurera Azure Firewall som en DNS-proxy. |
| DNS-proxy | Du kan konfigurera Azure Firewall så att den fungerar som en DNS-proxy, vilket innebär att alla DNS-klientbegäranden går igenom brandväggen innan de går till DNS-servern. |
Distributionssteg för Azure Firewall
I föregående övning skapade du en värdpool och ett virtuellt nätverk med ett undernät. Du distribuerade en virtuell sessionsvärddator till det undernätet och registrerade den med värdpoolen. I nästa övningar slutför du följande steg för att distribuera Azure Firewall för att skydda värdpoolen.
Konfigurera nätverket:
- Skapa ett virtuellt hubbnätverk som innehåller ett undernät för brandväggsdistributionen.
- Peer-koppla hubb- och ekernätverken. I nästa övning ska du peer-koppla det virtuella hubbnätverket till det virtuella nätverk som används av värdpoolen för Azure Virtual Desktop.
Distribuera Azure Firewall:
- Distribuera Azure Firewall till ett undernät i det virtuella hubbnätverket.
- För utgående trafik skapar du en standardväg som skickar trafik från alla undernät till brandväggens privata IP-adress.
Skapa Azure Firewall-regler:
- Konfigurera brandväggen med regler för att filtrera inkommande och utgående trafik.