透過 Azure 入口網站部署並設定 Azure 防火牆 Basic 與政策

Azure 防火牆基本版以實惠的價格提供 SMB 客戶所需的基本保護。 建議將此解決方案用於輸送量需求低於 250 Mbps 的 SMB 客戶環境。 在吞吐量需求超過 250 Mbps 的環境中部署 標準 SKU ,並部署高級 SKU 以進行進階威脅防護。

過濾網路和應用程式流量是整體網路安全計劃的重要組成部分。 例如,你可能想限制網站的存取權限。 或者,限制可存取的輸出 IP 位址和連接埠。

您可以從 Azure 子網控制輸入和輸出網路存取的其中一種方式,就是使用 Azure 防火牆和防火牆原則。 透過使用 Azure Firewall 和防火牆政策,您可以設定:

  • 應用程式規則,用以定義可從子網路存取的完整網域名稱 (FQDN)。
  • 網路規則,用以定義來源位址、通訊協定、目的地連接埠和目的地位址。
  • DNAT 規則,用於將傳入網際網路流量轉譯及篩選至您的子網路。

當您將網路流量路由傳送到防火牆作為子網路預設閘道時,網路流量必須遵守設定的防火牆規則。

在本文中,你將建立一個簡化的單一虛擬網路,包含三個子網路,方便部署。 防火牆基本版有設定管理 NIC 的強制性需求。

  • AzureFirewallSubnet - 防火牆位於此子網路。
  • AzureFirewallManagementSubnet - 適用於服務管理流量。
  • Workload-SN - 工作負載伺服器位於此子網路。 此子網路的網路流量會通過防火牆。

備註

由於 Azure Firewall Basic 的流量處理能力有限,無法與 Azure Firewall Standard 或 Premium SKU 相比,因此需要使用 AzureFirewallManagementSubnet 將客戶流量與 Microsoft 管理流量分開,以確保不中斷。 只有自動發生往返 Microsoft 的更新和健康情況計量通訊才需要此管理流量。 此 IP 上不允許其他連線。

在生產部署時,使用 樞紐輻射模式,防火牆位於自己的虛擬網路中。 工作負載伺服器位於相同區域中的對等互連虛擬網路,其中包含一個或多個子網路。

在本文中,您將學會如何:

  • 設定測試網路環境
  • 部署基本防火牆和基本防火牆原則
  • 建立預設路由
  • 設定應用程式規則以允許存取 www.google.com
  • 設定允許存取外部 DNS 伺服器的網路規則
  • 設定 NAT 規則以允許遠端桌面平台連線至測試伺服器
  • 測試防火牆

如果你願意,可以用 Azure PowerShell 完成這個程序。

先決條件

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

建立資源群組

資源群組包含操作說明的所有資源。

  1. 登入 Azure 入口網站

  2. 搜尋並選擇 資源群組,然後選擇 建立

  3. 輸入或選取下列值:

    Setting 價值觀
    Subscription 選取您的訂閱。
    資源群組名稱 輸入 Test-FW-RG
    區域 選取區域。 您建立的所有其他資源都必須位於相同的區域中。

  4. 選取 審核 + 建立,然後選取 建立

部署防火牆和原則

部署防火牆並建立相關的網路基礎設施。

  1. 在 Azure 入口網站選單或 Home 窗格中,選擇 「建立資源」。

  2. firewall輸入搜尋框並按 Enter 鍵

  3. 選取 [防火牆],然後選取 [建立]

  4. 建立防火牆時,輸入或選擇以下數值:

    Setting 價值觀
    Subscription 選取您的訂閱。
    資源群組 選取 Test-FW-RG
    名稱 輸入 Test-FW01
    區域 選取您先前使用的相同位置。
    防火牆層 基本
    防火牆管理 使用防火牆原則來管理此防火牆
    防火牆原則 選取新增。 輸入 fw-test-pol,選擇你的地區,並確認政策層級預設為 基本
    選擇虛擬網路 請選擇 新建。 輸入 Test-FW-VN 作為名稱,輸入 10.0.0.0/16 作為位址空間,以及 10.0.0.0/26 作為子網位址空間。
    公用 IP 位址 選擇 新增 ,並輸入 fw-pip 作為名稱。
    管理 - 子網路位址空間 10.0.1.0/26
    管理公用 IP 位址 選擇 新增 ,並輸入 fw-mgmt-pip 作為名稱。

  5. 接受其他預設值,然後選擇 檢視 + 建立

  6. 檢閱摘要,然後選取 [ 建立 ] 以建立防火牆。

    部署只需幾分鐘。

  7. 部署完成後,前往 Test-FW-RG 資源群組,選擇 Test-FW01 防火牆。

  8. 請注意防火牆專用和公用 IP (fw-pip) 位址。 您稍後將會用到這些位址。

建立工作量伺服器的子網路

接下來,建立工作負載伺服器的子網路。

  1. 前往 Test-FW-RG 資源群組,選擇 Test-FW-VN 虛擬網路。
  2. 選擇 子網,然後選擇 + 子網
  3. 子網名稱請輸入Workload-SN。 請輸入10.0.2.0/24子網位址範圍
  4. 選取 [儲存]。

建立虛擬機

建立工作負載虛擬機並將其置於 Workload-SN 子網。

  1. 在 Azure 入口網站選單或 首頁,選擇 建立資源

  2. 選取 [Windows Server 2019 資料中心]。

  3. 輸入以下虛擬機數值:

    Setting 價值觀
    資源群組 測試-FW-RG
    虛擬機器名稱 Srv-Work
    區域 和之前一樣
    影像 Windows Server 2019 資料中心
    管理員使用者名稱 輸入使用者名稱
    密碼 輸入密碼

  4. [傳入連接埠規則] [公用傳入連接埠] 選取 [無]

  5. 磁碟標籤中接受預設值,並選擇「下一頁:網路」。

  6. 虛擬網路,選取 Test-FW-VN。 針對子網路、選取 [工作負載-SN]。 針對 公用 IP,選取 [無]。

  7. 透過 管理系統接受預設值,然後在 監控 標籤中選擇 「停用 」以進行開機診斷。 選取 審核 + 建立,然後選取 建立

  8. 部署結束後,選擇 Srv-Work 資源並記錄私有 IP 位址以便日後使用。

建立預設路由

對於 Workload-SN 子網路,請設定輸出預設路由以通過防火牆。

  1. 搜尋並選擇 路由表,然後選擇 建立

  2. 輸入或選取下列值:

    Setting 價值觀
    Subscription 選取您的訂閱。
    資源群組 選取 Test-FW-RG
    區域 選取您先前使用的相同位置。
    名稱 輸入 Firewall-route

  3. 選取 審核 + 建立,然後選取 建立。 部署完成後,選取 [前往資源]

  4. 防火牆路由 頁面,選擇 子網路,然後選擇 關聯

  5. 選取 [ 虛擬網路>測試-FW-VN]。 針對子網路、選取 [工作負載-SN]。

    這很重要

    請只選擇 Workload-SN 子網路作為此路由,否則防火牆將無法正常運作。

  6. 請選擇 [確定]

  7. 選取 [路由],然後選取 [確定]。 輸入或選取下列值:

    Setting 價值觀
    路線名稱 fw-dg
    位址前綴目的地 IP 位址
    目的地 IP 位址/CIDR 範圍 0.0.0.0/0
    下一個躍點類型 虛擬設備 (Azure Firewall 是管理服務,但虛擬設備在這裡是可用的。)
    下一個跳點位址 你之前提到的防火牆私有 IP 位址。

  8. 選取 ,然後新增

設定應用程式規則

此應用規則允許對 www.google.com 的外發存取。

  1. 打開 Test-FW-RG,並選擇 fw-test-pol 防火牆政策。

  2. 選擇 應用程式規則,然後選擇 新增規則集合

  3. 輸入或選取下列值:

    Setting 價值觀
    名稱 App-Coll01
    Priority 200
    規則集合動作 允許

  4. 規則中,輸入或選擇以下數值:

    Setting 價值觀
    名稱 Allow-Google
    來源類型 IP 位址
    來源 10.0.2.0/24
    協定:埠 http, https
    目的地類型 FQDN
    目的地 www.google.com

  5. 選取 ,然後新增

Azure 防火牆包含內建的規則集合,適用於依預設允許的基礎結構 FQDN。 這些 FQDN 是平台專屬的,不能用於其他用途。 如需詳細資訊,請參閱基礎結構 FQDN

設定網路規則

此網路規則允許透過 53 埠(DNS)出站存取兩個 IP 位址。

  1. 選擇 網路規則,然後選擇 新增規則集合

  2. 輸入或選取下列值:

    Setting 價值觀
    名稱 Net-Coll01
    Priority 200
    規則集合動作 允許
    規則集合群組 DefaultNetworkRuleCollectionGroup

  3. 規則中,輸入或選擇以下數值:

    Setting 價值觀
    名稱 Allow-DNS
    來源類型 IP 位址
    來源 10.0.2.0/24
    通訊協定 UDP
    目的地連接埠 53
    目的地類型 IP 位址
    目的地 209.244.0.3,209.244.0.4 (由 Level3 營運的公共 DNS 伺服器)

  4. 選取 ,然後新增

設定 DNAT 規則

此規則透過防火牆將遠端桌面連接到 Srv-Work 虛擬機。

  1. 選擇 DNAT 規則,然後選擇 新增規則集合

  2. 輸入或選取下列值:

    Setting 價值觀
    名稱 rdp
    Priority 200
    規則集合群組 DefaultDnatRuleCollectionGroup

  3. 規則中,輸入或選擇以下數值:

    Setting 價值觀
    名稱 rdp-nat
    來源類型 IP 位址
    來源 *
    通訊協定 TCP
    目的地連接埠 3389
    目的地類型 IP 位址
    目的地 防火牆的公共 IP 位址(fw-pip)
    已轉譯位址 Srv-Work 私人 IP 位址
    已轉譯連接埠 3389

  4. 選取 ,然後新增

變更 Srv-Work 網路介面的主要和次要 DNS 位址

本文測試時,請設定伺服器的主 DNS 與次要 DNS 位址。 這個設定並非一般 Azure 防火牆的要求。

  1. 在 Azure 入口網站,從選單或搜尋到資源群組,然後選擇 Test-FW-RG。
  2. 選取 Srv-Work 虛擬機器的網路介面。
  3. 選取 [設定] 底下的 [DNS 伺服器]
  4. 選取 [DNS 伺服器] 底下的 [自訂]
  5. 209.244.0.3輸入「新增 DNS 伺服器」文字框,然後209.244.0.4輸入下一個文字框。
  6. 選取 [儲存]。
  7. 重新啟動 Srv-Work 虛擬機器。

測試防火牆

現在請測試防火牆,以確認其運作符合預期。

  1. 將遠端桌面連接到防火牆的公共 IP 位址(fw-pip),並登入 Srv-Work 虛擬機。

  2. 開啟 Microsoft Edge 並瀏覽至 https://www.google.com。 你可以看到 Google 首頁。

  3. 瀏覽至 http://www.microsoft.com

    防火牆會阻擋你。

現在你已經確認防火牆規則是有效的:

  • 您可以將遠端桌面平台連線至 Srv-Work 虛擬機器。
  • 您可以瀏覽至允許 FQDN 的防火牆規則,但不可瀏覽至任何其他的防火牆規則。
  • 你可以使用已設定的外部 DNS 伺服器來解析 DNS 名稱。

清理資源

您可以保留防火牆資源以進行進一步測試。 如果你不再需要它們,刪除 Test-FW-RG 資源群組,以刪除所有防火牆相關資源。

後續步驟

部署及設定 Azure 防火牆進階版

  • Last updated on