Plánování nasazení služby Azure Firewall
Před nasazením služby Azure Firewall je potřeba naplánovat topologii sítě, identifikovat potřebná pravidla brány firewall a porozumět krokům nasazení.
Doporučená síťová topologie
Pamatujte, že Azure Firewall je nejlépe nasazován pomocí topologie hub a spoke s následujícími vlastnostmi:
- Virtuální síť, která funguje jako centrální bod připojení. Tato síť je virtuální síť uzlu.
- Jedna nebo více virtuálních sítí, které jsou propojeny s uzlem. Tyto partnerské virtuální sítě slouží ke zřizování serverů pro zpracování úloh.
Instanci brány firewall můžete nasadit v podsíti virtuální sítě centra a pak nakonfigurovat veškerý příchozí a odchozí provoz tak, aby procházel bránou firewall. Tuto konfiguraci použijete při nasazení služby Azure Firewall k ochraně fondu hostitelů pro Azure Virtual Desktop.
Pravidla služby Azure Firewall
Pamatujte, že brána firewall ve výchozím nastavení odepře přístup ke všemu. Vaším úkolem je nakonfigurovat firewall a nastavit podmínky, za kterých je povolený provoz. Každá podmínka se nazývá pravidlo. Každé pravidlo použije jednu nebo více kontrol dat. Pouze provoz, který projde každou kontrolou ve všech pravidlech brány firewall, je povolený projít.
Následující tabulka popisuje tři typy pravidel, která můžete vytvořit pro bránu firewall Azure. K povolení vhodného síťového provozu pro Azure Virtual Desktop použijete pravidla aplikace a sítě.
| Typ pravidla | Popis |
|---|---|
| Překlad síťových adres (NAT) | Přeloží a vyfiltruje příchozí internetový provoz na základě veřejné IP adresy brány firewall a zadaného čísla portu. Pokud chcete například povolit připojení ke vzdálené ploše k virtuálnímu počítači, můžete k překladu veřejné IP adresy brány firewall a portu 3389 na privátní IP adresu virtuálního počítače použít pravidlo NAT. |
| Aplikace | Filtrovat provoz na základě plně kvalifikovaného názvu domény (FQDN) nebo značky plně kvalifikovaného názvu domény. Značka plně kvalifikovaného názvu domény představuje skupinu plně kvalifikovaných názvů domén přidružených ke známým službám Microsoftu, jako je Azure Virtual Desktop. Pomocí pravidla aplikace například povolíte odchozí provoz virtuálních počítačů Azure Virtual Desktop pomocí značky FQDN WindowsVirtualDesktop. |
| Síť | Filtrování provozu na základě jednoho nebo několika následujících tří parametrů sítě: IP adresa, port a protokol. Pomocí pravidla sítě můžete například povolit provoz z místní privátní IP adresy serveru Active Directory Domain Server do Azure pro port TCP a UDP 53. Pokud používáte server Microsoft Entra Domain Server, nemusíte vytvářet síťové pravidlo. Dotazy DNS se předávají do Azure DNS na adrese 168.63.129.16. |
Azure Firewall používá pravidla v pořadí priority. Pravidla založená na analýze hrozeb mají vždy nejvyšší prioritu a zpracovávají se jako první. Potom se pravidla použijí podle typu: pravidla překladu adres (NAT), pak pravidla sítě a pravidla aplikace. V rámci každého typu se pravidla zpracovávají podle hodnot priority, které přiřadíte při vytváření pravidla, od nejnižší hodnoty po nejvyšší hodnotu.
Možnosti nasazení
Vzpomeňte si, že Azure Firewall nabízí mnoho funkcí navržených tak, aby bylo snazší vytvářet a spravovat pravidla. Následující tabulka shrnuje tyto funkce. Pokud chcete povolit síťový provoz pro Azure Virtual Desktop, použijete FQDN značky, ale ve svém prostředí můžete použít i další možnosti.
| Funkce | Popis |
|---|---|
| FQDN | Název domény hostitele nebo jedné nebo více IP adres. Přidání plně kvalifikovaného názvu domény do pravidla aplikace umožňuje přístup k této doméně. Při použití plně kvalifikovaného názvu domény v pravidlu aplikace můžete použít zástupné znaky, například *.google.com. |
| Značka plně kvalifikovaného názvu domény | Skupina dobře známých plně kvalifikovaných názvů domén Microsoftu Přidání značky FQDN do pravidla aplikace umožňuje odchozí přístup k FQDN této značky. Například existují tagy FQDN pro Windows Update, Azure Virtual Desktop, diagnostiku Windows a Azure Backup. Microsoft spravuje značky plně kvalifikovaného názvu domény a nemůžete je upravovat ani vytvářet. |
| Značka služby | Skupina předpon IP adres souvisejících s konkrétní službou Azure Přidání značky služby do síťového pravidla umožňuje přístup ke službě reprezentované značkou. Existují značky služeb pro desítky služeb Azure, včetně služeb Azure Backup, Azure Cosmos DB a Azure Logic Apps. Microsoft spravuje značky služeb a nemůžete je upravovat ani vytvářet. |
| Skupiny IP adres | Skupina IP adres, například 10.2.0.0/16 nebo 10.1.0.0-10.1.0.31. Skupinu IP adres můžete použít jako zdrojovou adresu v překladu adres (NAT) nebo v pravidle aplikace nebo jako zdrojovou nebo cílovou adresu v pravidle sítě. |
| Vlastní DNS | Vlastní server DNS, který překládá názvy domén na IP adresy. Pokud místo Azure DNS používáte vlastní server DNS, musíte také nakonfigurovat bránu Azure Firewall jako proxy server DNS. |
| DNS proxy | Službu Azure Firewall můžete nakonfigurovat tak, aby fungovala jako proxy server DNS, což znamená, že všechny požadavky DNS klientů procházejí bránou firewall před přechodem na server DNS. |
Postup nasazení pro Azure Firewall
V předchozím cvičení jste vytvořili hostitelský fond a virtuální síť s podsítí. Nasadili jste virtuální počítač hostitele relace do této podsítě a zaregistrovali ho ve fondu hostitelů. V dalších cvičeních provedete následující kroky pro nasazení služby Azure Firewall za účelem ochrany fondu hostitelů.
Nastavení sítě:
- Vytvořte virtuální síť centra, která zahrnuje podsíť pro nasazení brány firewall.
- Propojte sítě hubů a paprsků. V dalším cvičení propojíte virtuální síť uzlu s virtuální sítí používanou fondem hostitelů služby Azure Virtual Desktop.
Nasazení služby Azure Firewall:
- Nasaďte službu Azure Firewall do podsítě ve virtuální síti centra.
- Pro odchozí provoz vytvořte výchozí trasu, která odesílá provoz ze všech podsítí na privátní IP adresu brány firewall.
Vytvoření pravidel služby Azure Firewall:
- Nakonfigurujte bránu firewall s pravidly pro filtrování příchozího a odchozího provozu.