分享方式:

教學課程:使用 Azure 入口網站部署和設定 Azure 防火牆和原則

  • 文章

控制輸出網路存取是整體網路安全性計畫的重要部分。 例如,您可能想要限制網站的存取權。 或者,您可能想要限制可存取的輸出 IP 位址和連接埠。

要控制從 Azure 子網路的輸出網路存取,使用 Azure 防火牆和防火牆原則是可行的方式之一。 使用 Azure 防火牆和防火牆原則,您可以設定:

  • 會定義可從子網路存取的完整網域名稱 (FQDN) 的應用程式規則。
  • 網路規則,用以定義來源位址、通訊協定、目的地連接埠和目的地位址。

當您將網路流量路由傳送至防火牆作為子網路預設閘道時,網路流量會受限於已設定的防火牆規則。

在本教學課程中,您會建立包含二個子網路的簡易單一 VNet,以進行簡單的部署。

  • AzureFirewallSubnet - 防火牆位於此子網路。
  • Workload-SN - 工作負載伺服器位於此子網路。 此子網路的網路流量會通過防火牆。

防火牆網路基礎結構的圖表。

對於生產環境部署,建議您使用中樞和支點模型,其中防火牆會位於自己的 VNet 中。 工作負載伺服器位於相同區域中的對等互連 VNet,其中包含一個或多個子網路。

在本教學課程中,您會了解如何:

  • 設定測試網路環境
  • 部署防火牆和防火牆原則
  • 建立預設路由
  • 設定允許存取 www.google.com 的應用程式規則
  • 設定允許存取外部 DNS 伺服器的網路規則
  • 設定 NAT 規則以允許遠端桌面連線至測試伺服器
  • 測試防火牆

如果您想要的話,可以使用 Azure PowerShell 完成本程序。

必要條件

如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

設定網路

首先,請建立資源群組,以包含部署防火牆所需的資源。 接著建立 VNet、子網路,和測試伺服器。

建立資源群組

此資源群組中包含了教學課程中提到的所有資源。

  1. 登入 Azure 入口網站

  2. 在 [Azure 入口網站] 功能表上,選取 [資源群組] 或搜尋 ,然後從任何頁面選取 [資源群組],然後選取 [建立]。 輸入或選取下列值:

    設定
    訂用帳戶 選取 Azure 訂閱。
    資源群組 輸入 Test-FW-RG
    區域 選取區域。 您建立的所有其他資源都必須位於相同區域。

  3. 選取 [檢閱 + 建立]。

  4. 選取 建立

建立 VNet

此 VNet 會有兩個子網路。

注意

AzureFirewallSubnet 子網路的大小是 /26。 如需有關子網路大小的詳細資訊,請參閱 Azure 防火牆的常見問題集

  1. 從 Azure 入口網站功能表或 [首頁] 頁面,選取 [建立資源]。

  2. 選取 [網路功能]。

  3. 搜尋 虛擬網路 ,然後選取 [ 建立]。

  4. 輸入或選取下列值:

    設定
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [Test-FW-RG]
    名稱 輸入 Test-FW-VN
    區域 選取您先前使用的相同位置。

  5. 選取 [下一步]。

  6. 在 [安全性] 索引標籤上,選取 [下一步]

  7. 針對 [IPv4 位址空間],請接受預設的 10.0.0.0/16

  8. 在 [子網路] 下,選取 [預設]

  9. 在 [編輯子網] 頁面上,針對 [子網] 用途,選取 [Azure 防火牆]。

    防火牆會在此子網路中,且子網路名稱必須是 AzureFirewallSubnet。

  10. 針對 [開始位址],輸入 10.0.1.0

  11. 選取 [儲存]。

接下來,建立工作負載伺服器的子網路。

  1. 選取 [新增子網路]
  2. 在 [子網路名稱] 中,輸入 Workload-SN
  3. 針對 [ 開始位址],輸入 10.0.2.0/24
  4. 選取 [新增]。
  5. 選取 [檢閱 + 建立]。
  6. 選取 建立

建立虛擬機器

現在,建立工作負載虛擬機器並放在 Workload-SN 子網路中。

  1. 從 Azure 入口網站功能表或 [首頁] 頁面,選取 [建立資源]。

  2. 選取 [Windows Server 2019 Datacenter]

  3. 針對虛擬機器輸入或選取這些值:

    設定
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [Test-FW-RG]
    虛擬機器名稱 輸入 Srv-Work
    區域 選取您先前使用的相同位置。
    使用者名稱 輸入使用者名稱。
    密碼 輸入密碼。

  4. 在 [輸入連接埠規則] 下,針對 [公用輸入連接埠] 選取 [無]

  5. 接受其他預設值,然後選取 [下一步:磁碟]

  6. 接受磁碟預設值,然後選取 [下一步:網路]

  7. 確定您已選取 [Test-FW-VN] 作為虛擬網路,而且子網路是 [Workload-SN]

  8. 在 [公用 IP] 中,選取 [無]

  9. 接受其他預設值,然後選取 [下一步:管理]

  10. 選取 [下一步:監視]

  11. 選取 [停用],停用開機診斷。 接受其他預設值,然後選取 [檢閱 + 建立]

  12. 檢閱摘要頁面上的設定,然後選取 [建立]

  13. 部署完成之後,請選取 Srv-Work 資源,並記下私人 IP 位址以供稍後使用。

部署防火牆和原則

將防火牆部署到 VNet 中。

  1. 從 Azure 入口網站功能表或 [首頁] 頁面,選取 [建立資源]。

  2. 在搜尋方塊中輸入 firewall,然後按 Enter

  3. 選取 [防火牆],然後選取 [建立]

  4. 在 [建立防火牆] 頁面上,使用下表來設定防火牆:

    設定
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [Test-FW-RG]
    名稱 輸入 Test-FW01
    區域 選取您先前使用的相同位置。
    防火牆管理 選取 [使用防火牆原則管理此防火牆]
    防火牆原則 選取 [新增],然後輸入 fw-test-pol
    選取您先前使用的相同區域。
    選擇虛擬網路 選取 [使用現有的],然後選取 [Test-FW-VN]
    公用 IP 位址 選取 [新增],然後針對 [名稱] 輸入 fw-pip

  5. 接受其他預設值,然後選取 [下一步:標記]。

  6. 選取[下一步:檢閱 + 建立]

  7. 檢閱摘要,然後選取 [建立] 來建立防火牆。

    這需要幾分鐘才能部署。

  8. 部署完成之後,請前往 Test-FW-RG 資源群組,然後選取 Test-FW01 防火牆。

  9. 請注意防火牆的私人和公用 IP 位址。 您稍後將會用到這些位址資訊。

建立預設路由

Workload-SN 子網路中,設定通過防火牆的輸出預設路由。

  1. 在 Azure 入口網站功能表上,選取 [所有服務],或從任何頁面搜尋並選取 [所有服務]

  2. 在 [網路] 底下,選取 [路由表]

  3. 選取 [建立],然後輸入或選取下列值︰

    設定
    訂用帳戶 選取 Azure 訂閱。
    資源群組 選取 [Test-FW-RG]
    區域 選取您先前使用的相同位置。
    名稱 輸入 Firewall-route

  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

完成部署後,選取 [移至資源]

  1. 在 [防火牆路由] 頁面的 [設定] 下,選取 [子網路],再選取 [建立關聯]

  2. 針對 [虛擬網络],選取 [Test-FW-VN]。

  3. 在 [子網路] 中,選取 [Workload-SN]

  4. 選取 [確定]。

  5. 選取 [路由],然後選取 [確定]

  6. 針對 [路由名稱],輸入 fw-dg

  7. 針對 [ 目的地類型 ] 選取 [ IP 位址]。

  8. 針對目的地 IP 位址/CIDR 範圍前置詞,輸入 0.0.0.0/0

  9. 在 [下一個躍點類型] 中,選取 [虛擬設備]

    Azure 防火牆實際上是受管理的服務,但虛擬設備可在此情況下運作。

  10. 在 [下一個躍點位址] 中,輸入您先前記下的防火牆私人 IP 位址。

  11. 選取 [新增]。

設定應用程式規則

此應用程式規則允許對 www.google.com 進行輸出存取。

  1. 開啟 [Test-FW-RG] 資源群組,然後選取 [fw-test-pol] 防火牆原則。
  2. 在 [設定] 底下,選取 [應用程式規則]。
  3. 選取 [新增規則集合]
  4. 針對 [名稱],輸入 App-Coll01
  5. 針對 [優先順序],輸入 200
  6. [規則集合動作] 請選取 [允許]
  7. 在 [規則] 底下,針對 [名稱] 輸入 Allow-Google
  8. 針對 [來源類型],選取 [IP 位址]
  9. 針對 [來源],輸入 10.0.2.0/24
  10. 針對 [通訊協定:連接埠],輸入 http, https
  11. 針對 [目的地類型],選取 [FQDN]
  12. 針對 [目的地],輸入 www.google.com
  13. 選取 [新增]。

Azure 防火牆包含一組內建規則集合,適用於預設為允許的基礎結構 FQDN。 這些 FQDN 為平台所特有,無法用於其他用途。 如需詳細資訊,請參閱基礎結構 FQDN

設定網路規則

此網路規則允許透過連接埠 53,對兩個 IP 位址進行輸出存取 (DNS)。

  1. 選取 [網路規則]
  2. 選取 [新增規則集合]
  3. 針對 [名稱],輸入 Net-Coll01
  4. 針對 [優先順序],輸入 200
  5. [規則集合動作] 請選取 [允許]
  6. 針對 [規則集合群組],選取 [DefaultNetworkRuleCollectionGroup]
  7. 在 [規則] 底下,針對 [名稱] 輸入 Allow-DNS
  8. 針對 [來源類型],選取 [IP 位址]
  9. 針對 [來源],輸入 10.0.2.0/24
  10. 在 [通訊協定] 中,選取 [UDP]
  11. 針對 [目的地連接埠],輸入 53
  12. 針對 [目的地類型],選取 [IP 位址]
  13. 針對 [目的地],輸入 209.244.0.3,209.244.0.4
    這些是由 CenturyLink 運作的公用 DNS 伺服器。
  14. 選取 [新增]。

設定 DNAT 規則

此規則可讓您透過防火牆將遠端桌面連線至 Srv-Work 虛擬機器。

  1. 選取 [DNAT 規則]
  2. 選取 [新增規則集合]
  3. 針對 [ 名稱],輸入 RDP
  4. 針對 [優先順序],輸入 200
  5. 針對 [規則集合群組],選取 [DefaultDnatRuleCollectionGroup]
  6. 在 [規則] 底下,針對 [名稱] 輸入 rdp-nat
  7. 針對 [來源類型],選取 [IP 位址]
  8. 針對 [來源],輸入 *
  9. 在 [通訊協定] 中,選取 [TCP]
  10. 針對 [目的地連接埠],輸入 3389
  11. 針對 [目的地],輸入防火牆公用 IP 位址。
  12. 針對 [翻譯類型],選取 [IP 位址]
  13. 針對 [已轉譯位址],輸入 Srv-work 私人 IP 位址。
  14. 針對 [已轉譯連接埠],輸入 3389
  15. 選取 [新增]。

變更 Srv-Work 網路介面的主要和次要 DNS 位址

本教學課程中,您可以就測試目的設定伺服器的主要和次要 DNS 位址。 這不是一般的 Azure 防火牆需求。

  1. 在 Azure 入口網站功能表上,選取 [資源群組],或從任何頁面搜尋並選取 [資源群組]。 選取 Test-FW-RG 資源群組。
  2. 選取 Srv-Work 虛擬機器的網路介面。
  3. 選取 [設定] 底下的 [DNS 伺服器]
  4. 選取 [DNS 伺服器] 底下的 [自訂]
  5. 在 [新增 DNS 伺服器] 文字輸入框中,輸入 209.244.0.3,然後在下一個文字輸入框中輸入 209.244.0.4
  6. 選取 [儲存]。
  7. 重新啟動 Srv-Work 虛擬機器。

測試防火牆

現在請測試防火牆,以確認其運作符合預期。

  1. 將遠端桌面連線至防火牆公用 IP 位址,並登入 Srv-Work 虛擬機器。

  2. 開啟 Microsoft Edge 並瀏覽至 https://www.google.com

  3. 在 Internet Explorer 安全性警示上,選取 [確認]>[關閉]

    您應該會看到 Google 首頁。

  4. 瀏覽至 https://www.microsoft.com

    您應該會遭到防火牆封鎖。

因此,現在您已確認防火牆規則正在運作:

  • 您可以瀏覽至允許 FQDN 的防火牆規則,但不可瀏覽至任何其他的防火牆規則。
  • 您可以使用設定的外部 DNS 伺服器來解析 DNS 名稱。

清除資源

您可以保留防火牆資源供下一個教學課程使用。若不再需要,則可刪除 Test-FW-RG 資源群組,以將所有防火牆相關資源刪除。

下一步

部署和設定 Azure 防火牆進階版