Delen via


Zelfstudie: Azure Firewall en beleid implementeren en configureren met behulp van Azure Portal

Het beheren van toegang tot uitgaande netwerken is een belangrijk onderdeel van een algemeen netwerkbeveiligingsabonnement. U kunt bijvoorbeeld de toegang tot websites beperken. U kunt ook de toegang tot uitgaande IP-adressen en poorten beperken.

Eén manier waarop u uitgaande netwerktoegang vanuit een Azure-subnet kunt beheren, is met Azure Firewall en Firewall Policy. Met Azure Firewall en Firewall-beleid kunt u het volgende configureren:

  • Toepassingsregels die volledig gekwalificeerde domeinnamen (FQDN's) definiëren waartoe toegang kan worden verkregen via een subnet.
  • Netwerkregels die een bronadres, protocol, doelpoort en doeladres definiëren.

Netwerkverkeer is onderhevig aan de geconfigureerde firewallregels wanneer u het routeert naar de firewall als standaardgateway van het subnet.

Voor deze zelfstudie maakt u een vereenvoudigd VNet met twee subnetten voor eenvoudige implementatie.

  • AzureFirewallSubnet – De firewall bevindt zich in dit subnet.
  • Workload-SN – De workloadserver bevindt zich in dit subnet. Het netwerkverkeer van dit subnet gaat via de firewall.

Diagram van de firewallnetwerkinfrastructuur.

Voor productie-implementaties wordt een hub en spoke-model aanbevolen, waarbij de firewall zich in een eigen VNet bevindt. De werkbelastingservers bevinden zich in gepeerde VNets in dezelfde regio met een of meer subnetten.

In deze zelfstudie leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een firewall en firewallbeleid implementeren
  • Een standaardroute maken
  • Een toepassingsregel configureren om toegang tot www.google.com toe te staan
  • Een netwerkregel configureren om toegang tot externe DNS-servers toe te staan
  • Een NAT-regel configureren om een extern bureaublad op de testserver toe te staan
  • De firewall testen

U kunt deze procedure desgewenst voltooien met behulp van Azure PowerShell.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Het netwerk instellen

Maak eerst een resourcegroep met de resources die nodig zijn om de firewall te implementeren. Maak vervolgens een VNet, subnetten en een testserver.

Een brongroep maken

De resourcegroep bevat alle resources voor de zelfstudie.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer resourcegroepen in het menu van Azure Portal of zoek naar resourcegroepen en selecteer resourcegroepen op een willekeurige pagina en selecteer vervolgens Maken. Voer de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Voer Test-FW-RG in.
    Regio Selecteer een regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.
  3. Selecteer Controleren + maken.

  4. Selecteer Maken.

Een VNet maken

Dit VNet heeft twee subnetten.

Notitie

De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Selecteer Netwerken.

  3. Zoek naar virtueel netwerk en selecteer Maken.

  4. Voer de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Naam Voer Test-FW-VN in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
  5. Selecteer Volgende.

  6. Selecteer Volgende op het tabblad Beveiliging.

  7. Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.

  8. Selecteer onder Subnetten de standaardwaarde.

  9. Selecteer Azure Firewall op de pagina Subnet bewerken voor subnetdoeleinden.

    De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.

  10. Voor het beginadres typt u 10.0.1.0.

  11. Selecteer Opslaan.

Maak hierna een subnet voor de werkbelastingserver.

  1. Selecteer Subnet toevoegen.
  2. Bij Subnetnaam typt u Workload-SN.
  3. Voor het beginadres typt u 10.0.2.0/24.
  4. Selecteer Toevoegen.
  5. Selecteer Controleren + maken.
  6. Selecteer Maken.

Maak een virtuele machine

Maak nu de virtuele machine voor de werkbelasting en plaats deze in het subnet Workload-SN.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Selecteer Windows Server 2019 Datacenter.

  3. Voer deze waarden in of selecteer deze voor de virtuele machine:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Virtual machine name Voer Srv-Work in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Username Voer een gebruikersnaam in.
    Wachtwoord Voer een wachtwoord in.
  4. Selecteer onder Regels voor binnenkomende poort, Openbare binnenkomende poorten de optie Geen.

  5. Accepteer de overige standaardwaarden en selecteer Volgende: Schijven.

  6. Accepteer de standaardwaarden van de schijf en selecteer Volgende: Netwerken.

  7. Zorg ervoor dat Test-FW-VN is geselecteerd voor het virtuele netwerk en dat het subnet Workload-SN is.

  8. Selecteer Geen voor Openbaar IP.

  9. Accepteer de overige standaardwaarden en selecteer Volgende: Beheer.

  10. Selecteer Volgende:Bewaking.

  11. Selecteer Uitschakelen om diagnostische gegevens over opstarten uit te schakelen. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  12. Controleer de instellingen op de overzichtspagina en selecteer Maken.

  13. Nadat de implementatie is voltooid, selecteert u de Srv-Work-resource en noteert u het privé-IP-adres voor later gebruik.

De firewall en het beleid implementeren

Implementeer de firewall in het VNet.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Typ firewall in het zoekvak en druk op Enter.

  3. Selecteer Firewall en vervolgens Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Naam Voer Test-FW01 in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Firewallbeheer Selecteer Een firewallbeleid gebruiken om deze firewall te beheren.
    Firewallbeleid Selecteer Nieuwe toevoegen en voer fw-test-pol in.
    Selecteer dezelfde regio die u eerder hebt gebruikt.
    Een virtueel netwerk kiezen Selecteer Bestaande gebruiken en selecteer vervolgens Test-FW-VN.
    Openbaar IP-adres Selecteer Nieuwe toevoegen en voer fw-pip in voor de naam.
  5. Schakel het selectievakje Firewallbeheer-NIC inschakelen uit.

  6. Accepteer de andere standaardwaarden en selecteer vervolgens Volgende: Tags.

  7. Selecteer Volgende: Beoordelen en maken.

  8. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het duurt enkele minuten voordat deze is geïmplementeerd.

  9. Zodra de implementatie is voltooid, gaat u naar de resourcegroep Test-FW-RG en selecteert u de firewall Test-FW01.

  10. Noteer het privé- en openbare IP-adres van de firewall. U hebt deze later nodig.

Een standaardroute maken

Voor het subnet Workload-SN configureert u de standaardroute voor uitgaand verkeer om via de firewall te gaan.

  1. Selecteer in het menu van Azure-portal de optie Alle services of zoek naar en selecteer Alle services vanaf elke willekeurige pagina.

  2. Selecteer onder Netwerken de optie Routetabellen.

  3. Selecteer Maken en voer de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Naam Voer firewallroute in.
  4. Selecteer Controleren + maken.

  5. Selecteer Maken.

Nadat de implementatie is voltooid, selecteert u Ga naar de resource.

  1. Selecteer subnetten op de pagina Firewallroute onder Instellingen en selecteer vervolgens Koppelen.

  2. Voor virtueel netwerk selecteert u Test-FW-VN.

  3. Bij Subnet selecteert u Workload-SN.

  4. Selecteer OK.

  5. Selecteer Routes en vervolgens Toevoegen.

  6. Voer voor routenaam fw-dg in.

  7. Selecteer IP-adressen voor doeltype.

  8. Voer voor het voorvoegsel doel-IP-adressen/CIDR-bereiken 0.0.0.0/0 in.

  9. Bij Volgend hoptype selecteert u Virtueel apparaat.

    Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.

  10. Voer bij Volgend hopadres het privé-IP-adres in voor de firewall die u eerder hebt genoteerd.

  11. Selecteer Toevoegen.

Een toepassingsregel configureren

Dit is de toepassingsregel waarmee uitgaande toegang tot www.google.com wordt toegestaan.

  1. Open de resourcegroep Test-FW-RG en selecteer het firewallbeleid fw-test-pol .
  2. Selecteer toepassingsregels onder Instellingen.
  3. Selecteer Een regelverzameling toevoegen.
  4. Voer bij Naam App-Coll01 in.
  5. Voer voor Prioriteit 200 in.
  6. Selecteer Toestaan voor de actie Regelverzameling.
  7. Voer onder Regels voor Naam toestaan-Google in.
  8. Selecteer IP-adres bij Brontype.
  9. Voer voor Bron 10.0.2.0/24 in.
  10. Voer http, https in voor Protocol:port.
  11. Selecteer FQDN voor doeltype.
  12. Voer voor Bestemming de tekst in www.google.com
  13. Selecteer Toevoegen.

Azure Firewall bevat een ingebouwde regelverzameling voor infrastructuur-FQDN’s die standaard zijn toegestaan. Deze FQDN’s zijn specifiek voor het platform en kunnen niet voor andere doeleinden worden gebruikt. Zie FQDN's voor infrastructuur voor meer informatie.

Een netwerkregel configureren

Dit is de netwerkregel waarmee uitgaande toegang tot twee IP-adressen op poort 53 (DNS) wordt toegestaan.

  1. Selecteer Netwerkregels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Voer voor Naam Net-Coll01 in.
  4. Voer voor Prioriteit 200 in.
  5. Selecteer Toestaan voor de actie Regelverzameling.
  6. Selecteer DefaultNetworkRuleCollectionGroup voor de groep Regelverzameling.
  7. Voer onder Regels voor Naam allow-DNS in.
  8. Selecteer IP-adres voor brontype.
  9. Voer voor Bron 10.0.2.0/24 in.
  10. Bij Protocol selecteert u UDP.
  11. Voer voor doelpoorten 53 in.
  12. Bij Doeltype selecteert u IP-adres.
  13. Voer voor Bestemming 209.244.0.3.209.244.0.4 in.
    Dit zijn openbare DNS-servers die worden beheerd door CenturyLink.
  14. Selecteer Toevoegen.

Een DNAT-regel configureren

Met deze regel kunt u een extern bureaublad verbinden met de virtuele Srv-Work-machine via de firewall.

  1. Selecteer de DNAT-regels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Voer RDP in bij Naam.
  4. Voer voor Prioriteit 200 in.
  5. Selecteer DefaultDnatRuleCollectionGroup voor regelverzameling.
  6. Voer onder Regels voor Naam rdp-nat in.
  7. Selecteer IP-adres bij Brontype.
  8. Voer voor Bron de tekst in *.
  9. Bij Protocol selecteert u TCP.
  10. Voer voor doelpoorten 3389 in.
  11. Voer voor Bestemming het openbare IP-adres van de firewall in.
  12. Selecteer IP-adres voor vertaald type.
  13. Voer voor vertaald adres het privé-IP-adres van Srv-work in.
  14. Voer voor vertaalde poort 3389 in.
  15. Selecteer Toevoegen.

Het primaire en secundaire DNS-adres voor de netwerkinterface Srv-Work wijzigen

Voor testdoeleinden in deze zelfstudie configureert u het primaire en secundaire DNS-adres van de server. Dit is geen algemene Azure Firewall-vereiste.

  1. Selecteer in het menu van Azure-portal de optie Resourcegroepen of zoek ernaar en selecteer Resourcegroepen vanaf een willekeurige pagina. Selecteer de resourcegroep Test-FW-RG.
  2. Selecteer de netwerkinterface voor de virtuele machine Srv-Work.
  3. Selecteer onder Instellingen de optie DNS-servers.
  4. Selecteer onder DNS-servers de optie Aangepast.
  5. Voer 209.244.0.3 in het tekstvak DNS-server toevoegen en 209.244.0.4 in het volgende tekstvak in.
  6. Selecteer Opslaan.
  7. Start de virtuele machine Srv-Work opnieuw.

De firewall testen

Test nu de firewall om te controleren of deze werkt zoals verwacht.

  1. Verbind een extern bureaublad met het openbare IP-adres van de firewall en meld u aan bij de virtuele machine Srv-Work.

  2. Open Microsoft Edge en blader naar https://www.google.com.

  3. Selecteer OK>Sluiten in de beveiligingswaarschuwingen van Internet Explorer.

    U zou nu de startpagina van Google moeten zien.

  4. Blader naar https://www.microsoft.com.

    U zou nu door de firewall moeten worden geblokkeerd.

Nu u hebt geverifieerd dat de firewallregels werken:

  • Kunt u bladeren naar de enige toegestane FQDN, maar niet naar andere.
  • Kunt u DNS-namen omzetten met behulp van de geconfigureerde externe DNS-server.

Resources opschonen

U kunt de firewall-resources voor de volgende zelfstudie bewaren. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep Test-FW-RG om alle firewall-gerelateerde resources te verwijderen.

Volgende stappen