Pianificare la distribuzione di Firewall di Azure
Prima di potere distribuire Firewall di Azure, è necessario pianificare la topologia di rete, identificare le regole del firewall necessarie e comprendere i passaggi della distribuzione.
Topologia di rete consigliata
Occorre ricordare che Firewall di Azure è distribuito in modo ottimale usando una topologia di rete hub e spoke con le caratteristiche seguenti:
- Una rete virtuale che funge da punto di connettività centrale. Questa rete è la rete virtuale hub.
- Una o più reti virtuali con peering all'hub. Questi peer sono le reti virtuali spoke e vengono usati per eseguire il provisioning dei server del carico di lavoro.
È possibile distribuire l'istanza del firewall in una subnet della rete virtuale hub, quindi configurare tutto il traffico in ingresso e in uscita per passare attraverso il firewall. Questa configurazione verrà usata quando si distribuisce Firewall di Azure per proteggere il pool di host per Desktop virtuale Azure.
Regole di Firewall di Azure
Occorre ricordare che per impostazione predefinita il firewall nega l'accesso a tutti gli elementi. L'utente deve quindi configurare il firewall con le condizioni in cui il traffico è consentito. Ogni condizione viene definita una regola. Ogni regola è applicabile a uno o più controlli sui dati. Solo il traffico che supera ogni controllo in tutte le regole del firewall viene fatto passare.
La tabella seguente descrive i tre tipi di regole che è possibile creare per un Firewall di Azure. Per consentire il traffico di rete appropriato per Desktop virtuale Azure, verranno usate le regole dell'applicazione e di rete.
| Tipo di regola | Descrizione |
|---|---|
| Network Address Translation (NAT) | Tradurre e filtrare il traffico Internet in ingresso in base all'indirizzo IP pubblico del firewall e al numero di porta specificato. Ad esempio, per abilitare una Connessione desktop remoto a una macchina virtuale, è possibile usare una regola NAT per convertire l'indirizzo IP pubblico del firewall e la porta 3389 all'indirizzo IP privato della macchina virtuale. |
| Applicazione | Filtrare il traffico in base a un nome di dominio completo o a un tag del nome di dominio completo (FQDN). Un tag FQDN rappresenta un gruppo di nomi di dominio completi associati ai ben noti servizi Microsoft, ad esempio Desktop virtuale Azure. Sarà ad esempio possibile usare una regola dell'applicazione per consentire il traffico in uscita per le macchine virtuali di Desktop virtuale Azure usando il tag FQDN WindowsVirtualDesktop. |
| Rete | Filtrare il traffico in base a uno o più dei tre parametri di rete seguenti: indirizzo IP, porta e protocollo. Usare ad esempio una regola di rete per consentire il traffico da un indirizzo IP privato di Active Directory Domain Server (AD DS) locale verso Azure per le porteTCP e UDP 53. Se si usa Microsoft Entra Domain Server, non è necessario creare una regola di rete. Le query DNS vengono inoltrate a DNS di Azure a 168.63.129.16. |
Il Firewall di Azure applica le regole in ordine di priorità. Alle regole basate sull'Intelligence sulle minacce viene sempre assegnata la priorità più alta e queste regole vengono elaborate per prime. Successivamente, le regole vengono applicate in base al tipo: regole NAT, regole di rete e quindi regole dell'applicazione. All'interno di ogni tipo, le regole vengono elaborate in base ai valori di priorità assegnati al momento della creazione della regola, dal valore più basso a quello più alto.
Opzioni di distribuzione
Occorre ricordare che Firewall di Azure offre molte funzionalità progettate per semplificare la creazione e la gestione delle regole. Nella tabella seguente sono riassunte le varie funzionalità. Per consentire il traffico di rete per Desktop virtuale Azure, si useranno i tag FQDN, ma è anche possibile usare queste altre opzioni nell'ambiente.
| Funzionalità | Descrizione |
|---|---|
| FQDN | Nome di dominio di un host o uno o più indirizzi IP. L'aggiunta di un nome di dominio completo a una regola dell'applicazione consente l'accesso a tale dominio. Quando si usa un FQDN in una regola dell'applicazione, è possibile usare caratteri jolly, ad esempio *.google.com. |
| Tag FQDN | Gruppo di FQDN Microsoft ben noti. L'aggiunta di un tag FQDN a una regola dell'applicazione consente l'accesso in uscita ai nomi FQDN del tag. Sono disponibili, ad esempio, tag FQDN per Windows Update, Desktop virtuale Azure, diagnostica Windows e Backup di Azure. Microsoft gestisce i tag FQDN e non è possibile modificarli o crearli. |
| Tag di servizio | Un gruppo di prefissi di indirizzi IP correlati a un servizio di Azure specifico. L'aggiunta di un tag di servizio a una regola di rete consente l'accesso al servizio rappresentato dal tag. Sono disponibili tag di servizio per decine di servizi di Azure, tra cui Backup di Azure, Azure Cosmos DB e App per la logica. Microsoft gestisce i tag del servizio e non è possibile modificarli o crearli. |
| Gruppi IP | Un gruppo di indirizzi IP, ad esempio 10.2.0.0/16 o 10.1.0.0-10.1.0.31. È possibile usare un gruppo IP come indirizzo di origine in una regola NAT o applicazione oppure come indirizzo di origine o di destinazione in una regola di rete. |
| DNS personalizzato | Un server DNS personalizzato che risolve i nomi di dominio in indirizzi IP. Se si usa un server DNS personalizzato anziché DNS di Azure, è necessario configurare anche il Firewall di Azure come proxy DNS. |
| Proxy DNS | È possibile configurare il Firewall di Azure in modo che funga da proxy DNS, il che significa che tutte le richieste DNS del client passano attraverso il firewall prima di passare al server DNS. |
Passaggi di distribuzione per Firewall di Azure
Nell'esercizio precedente è stata completata la creazione di un pool di host e una rete virtuale con una subnet. È stata distribuita una macchina virtuale dell'host di sessione nella subnet e ne è stata eseguita la registrazione con il pool di host. Nell'esercizio successivo verranno completati i passaggi seguenti per distribuire Firewall di Azure per proteggere il pool di host.
Configurare la rete:
- Creare una rete virtuale hub che includa una subnet per la distribuzione del firewall.
- Eseguire il peering tra le reti virtuali hub e spoke. Nell'esercizio successivo verrà eseguito il peering della rete virtuale hub con la rete virtuale usata dal pool di host di Desktop virtuale Azure.
Distribuire Firewall di Azure:
- Distribuire Firewall di Azure in una subnet nella rete virtuale hub.
- Per il traffico in uscita, creare una route predefinita che invii il traffico da tutte le subnet all'indirizzo IP privato del firewall.
Creare regole di Firewall di Azure:
- Configurare il firewall con regole per filtrare il traffico in ingresso e in uscita.