Delen via

Zelfstudie: Een firewall implementeren met Azure DDoS Protection

  • Artikel

Dit artikel helpt u bij het maken van een Azure Firewall met een met DDoS beveiligd virtueel netwerk. Azure DDoS Protection maakt verbeterde DDoS-risicobeperkingsmogelijkheden mogelijk, zoals adaptieve afstemming, waarschuwingsmeldingen voor aanvallen en bewaking om uw firewall te beschermen tegen grootschalige DDoS-aanvallen.

Belangrijk

Voor Azure DDoS Protection worden kosten in rekening gebracht wanneer u de netwerkbeveiligings-SKU gebruikt. Overschrijdingskosten zijn alleen van toepassing als meer dan 100 openbare IP-adressen in de tenant worden beveiligd. Zorg ervoor dat u de resources in deze zelfstudie verwijdert als u de resources in de toekomst niet gebruikt. Zie Prijzen voor Azure DDoS Protection voor meer informatie over prijzen. Zie Wat is Azure DDoS Protection? voor meer informatie over Azure DDoS-beveiliging.

Voor deze zelfstudie maakt u een vereenvoudigd VNet met twee subnetten voor eenvoudige implementatie. Azure DDoS Network Protection is ingeschakeld voor het virtuele netwerk.

  • AzureFirewallSubnet – De firewall bevindt zich in dit subnet.
  • Workload-SN – De workloadserver bevindt zich in dit subnet. Het netwerkverkeer van dit subnet gaat via de firewall.

Diagram van de firewallnetwerkinfrastructuur met DDoS Protection.

Voor productie-implementaties wordt een hub en spoke-model aanbevolen, waarbij de firewall zich in een eigen VNet bevindt. De werkbelastingservers bevinden zich in gepeerde VNets in dezelfde regio met een of meer subnetten.

In deze zelfstudie leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een firewall en firewallbeleid implementeren
  • Een standaardroute maken
  • Een toepassingsregel configureren om toegang tot www.google.com toe te staan
  • Een netwerkregel configureren om toegang tot externe DNS-servers toe te staan
  • Een NAT-regel configureren om een extern bureaublad op de testserver toe te staan
  • De firewall testen

U kunt deze procedure desgewenst voltooien met behulp van Azure PowerShell.

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Het netwerk instellen

Maak eerst een resourcegroep met de resources die nodig zijn om de firewall te implementeren. Maak vervolgens een VNet, subnetten en een testserver.

Een brongroep maken

De resourcegroep bevat alle resources voor de zelfstudie.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer resourcegroepen in het menu van Azure Portal of zoek naar resourcegroepen en selecteer resourcegroepen op een willekeurige pagina en selecteer vervolgens Toevoegen. Voer de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Voer Test-FW-RG in.
    Regio Selecteer een regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.

  3. Selecteer Controleren + maken.

  4. Selecteer Maken.

Een DDoS-beveiligingsplan maken

  1. Voer in het zoekvak boven aan de portal DDoS-beveiliging in. Selecteer DDoS-beveiligingsplannen in de zoekresultaten en selecteer vervolgens + Maken.

  2. Voer op het tabblad Basis van de pagina Een DDoS-beveiligingsplan maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Exemplaardetails
    Naam Voer myDDoSProtectionPlan in.
    Regio Selecteer de regio.

  3. Selecteer Beoordelen en maken en selecteer Vervolgens Maken om het DDoS-beveiligingsplan te implementeren.

Een VNet maken

Dit VNet heeft twee subnetten.

Notitie

De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Selecteer Netwerken.

  3. Zoek naar virtueel netwerk en selecteer het.

  4. Selecteer Maken en voer de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Naam Voer Test-FW-VN in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.

  5. Selecteer Volgende: IP-adressen.

  6. Accepteer voor IPv4-adresruimte de standaardwaarde 10.1.0.0/16.

  7. Onder Subnet selecteert u standaard.

  8. Wijzig voor subnetnaam de naam in AzureFirewallSubnet. De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.

  9. Voor adresbereik typt u 10.1.1.0/26.

  10. Selecteer Opslaan.

    Maak hierna een subnet voor de werkbelastingserver.

  11. Selecteer Subnet toevoegen.

  12. Bij Subnetnaam typt u Workload-SN.

  13. Voor subnetadresbereik typt u 10.1.2.0/24.

  14. Selecteer Toevoegen.

  15. Selecteer Volgende: Beveiliging.

  16. Selecteer In DDoS Network Protection de optie Inschakelen.

  17. Selecteer myDDoSProtectionPlan in DDoS-beveiligingsplan.

  18. Selecteer Controleren + maken.

  19. Selecteer Maken.

Maak een virtuele machine

Maak nu de virtuele machine voor de werkbelasting en plaats deze in het subnet Workload-SN.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Selecteer Windows Server 2019 Datacenter.

  3. Voer deze waarden in of selecteer deze voor de virtuele machine:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Virtual machine name Voer Srv-Work in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Username Voer een gebruikersnaam in.
    Wachtwoord Voer een wachtwoord in.

  4. Selecteer onder Regels voor binnenkomende poort, Openbare binnenkomende poorten de optie Geen.

  5. Accepteer de overige standaardwaarden en selecteer Volgende: Schijven.

  6. Accepteer de standaardwaarden van de schijf en selecteer Volgende: Netwerken.

  7. Zorg ervoor dat Test-FW-VN is geselecteerd voor het virtuele netwerk en dat het subnet Workload-SN is.

  8. Selecteer Geen voor Openbaar IP.

  9. Accepteer de overige standaardwaarden en selecteer Volgende: Beheer.

  10. Selecteer Uitschakelen om diagnostische gegevens over opstarten uit te schakelen. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  11. Controleer de instellingen op de overzichtspagina en selecteer Maken.

  12. Nadat de implementatie is voltooid, selecteert u de Srv-Work-resource en noteert u het privé-IP-adres voor later gebruik.

De firewall en het beleid implementeren

Implementeer de firewall in het VNet.

  1. Selecteer in het menu van Azure Portal of op de startpagina de optie Een resource maken.

  2. Typ firewall in het zoekvak en druk op Enter.

  3. Selecteer Firewall en vervolgens Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Naam Voer Test-FW01 in.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Firewallbeheer Selecteer Een firewallbeleid gebruiken om deze firewall te beheren.
    Firewallbeleid Selecteer Nieuwe toevoegen en voer fw-test-pol in.
    Selecteer dezelfde regio die u eerder hebt gebruikt.
    Een virtueel netwerk kiezen Selecteer Bestaande gebruiken en selecteer vervolgens Test-FW-VN.
    Openbaar IP-adres Selecteer Nieuwe toevoegen en voer fw-pip in voor de naam.

  5. Accepteer de andere standaardwaarden en selecteer Beoordelen en maken.

  6. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het duurt enkele minuten voordat deze is geïmplementeerd.

  7. Zodra de implementatie is voltooid, gaat u naar de resourcegroep Test-FW-RG en selecteert u de firewall Test-FW01.

  8. Noteer het privé- en openbare IP-adres van de firewall. U hebt deze later nodig.

Een standaardroute maken

Voor het subnet Workload-SN configureert u de standaardroute voor uitgaand verkeer om via de firewall te gaan.

  1. Selecteer in het menu van Azure-portal de optie Alle services of zoek naar en selecteer Alle services vanaf elke willekeurige pagina.

  2. Selecteer onder Netwerken de optie Routetabellen.

  3. Selecteer Maken en voer de volgende waarden in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Regio Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Naam Voer firewallroute in.

  4. Selecteer Controleren + maken.

  5. Selecteer Maken.

Nadat de implementatie is voltooid, selecteert u Ga naar de resource.

  1. Selecteer op de pagina Firewallroute subnetten en selecteer vervolgens Koppelen.
  2. Selecteer Virtueel netwerk>Test-FW-VN.
  3. Bij Subnet selecteert u Workload-SN. Zorg ervoor dat u alleen het subnet Workload-SN selecteert voor deze route, anders werkt de firewall niet correct.
  4. Selecteer OK.
  5. Selecteer Routes en vervolgens Toevoegen.
  6. Voer voor routenaam fw-dg in.
  7. Voer voor het adresvoorvoegsel 0.0.0.0/0 in.
  8. Bij Volgend hoptype selecteert u Virtueel apparaat. Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.
  9. Voer bij Volgend hopadres het privé-IP-adres in voor de firewall die u eerder hebt genoteerd.
  10. Selecteer OK.

Een toepassingsregel configureren

Dit is de toepassingsregel waarmee uitgaande toegang tot www.google.com wordt toegestaan.

  1. Open de resourcegroep Test-FW-RG en selecteer het firewallbeleid fw-test-pol .
  2. Selecteer Toepassingsregels.
  3. Selecteer Een regelverzameling toevoegen.
  4. Voer bij Naam App-Coll01 in.
  5. Voer voor Prioriteit 200 in.
  6. Selecteer Toestaan voor de actie Regelverzameling.
  7. Voer onder Regels voor Naam toestaan-Google in.
  8. Selecteer IP-adres bij Brontype.
  9. Voer voor Bron 10.0.2.0/24 in.
  10. Voer http, https in voor Protocol:port.
  11. Selecteer FQDN voor doeltype.
  12. Voer voor Bestemming de tekst in www.google.com
  13. Selecteer Toevoegen.

Azure Firewall bevat een ingebouwde regelverzameling voor infrastructuur-FQDN’s die standaard zijn toegestaan. Deze FQDN’s zijn specifiek voor het platform en kunnen niet voor andere doeleinden worden gebruikt. Zie FQDN's voor infrastructuur voor meer informatie.

Een netwerkregel configureren

Dit is de netwerkregel waarmee uitgaande toegang tot twee IP-adressen op poort 53 (DNS) wordt toegestaan.

  1. Selecteer Netwerkregels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Voer voor Naam Net-Coll01 in.
  4. Voer voor Prioriteit 200 in.
  5. Selecteer Toestaan voor de actie Regelverzameling.
  6. Selecteer DefaultNetworkRuleCollectionGroup voor de groep Regelverzameling.
  7. Voer onder Regels voor Naam allow-DNS in.
  8. Selecteer IP-adres voor brontype.
  9. Voer voor Bron 10.0.2.0/24 in.
  10. Bij Protocol selecteert u UDP.
  11. Voer voor doelpoorten 53 in.
  12. Bij Doeltype selecteert u IP-adres.
  13. Voer voor Bestemming 209.244.0.3.209.244.0.4 in.
    Dit zijn openbare DNS-servers die worden beheerd door CenturyLink.
  14. Selecteer Toevoegen.

Een DNAT-regel configureren

Met deze regel kunt u een extern bureaublad verbinden met de virtuele Srv-Work-machine via de firewall.

  1. Selecteer de DNAT-regels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Voer voor Naam rdp in.
  4. Voer voor Prioriteit 200 in.
  5. Selecteer DefaultDnatRuleCollectionGroup voor regelverzameling.
  6. Voer onder Regels voor Naam rdp-nat in.
  7. Selecteer IP-adres bij Brontype.
  8. Voer voor Bron de tekst in *.
  9. Bij Protocol selecteert u TCP.
  10. Voer voor doelpoorten 3389 in.
  11. Bij Doeltype selecteert u IP-adres.
  12. Voer voor Bestemming het openbare IP-adres van de firewall in.
  13. Voer voor vertaald adres het privé-IP-adres van Srv-work in.
  14. Voer voor vertaalde poort 3389 in.
  15. Selecteer Toevoegen.

Het primaire en secundaire DNS-adres voor de netwerkinterface Srv-Work wijzigen

Voor testdoeleinden in deze zelfstudie configureert u het primaire en secundaire DNS-adres van de server. Dit is geen algemene Azure Firewall-vereiste.

  1. Selecteer in het menu van Azure-portal de optie Resourcegroepen of zoek ernaar en selecteer Resourcegroepen vanaf een willekeurige pagina. Selecteer de resourcegroep Test-FW-RG.
  2. Selecteer de netwerkinterface voor de virtuele machine Srv-Work.
  3. Selecteer onder Instellingen de optie DNS-servers.
  4. Selecteer onder DNS-servers de optie Aangepast.
  5. Voer 209.244.0.3 in het tekstvak DNS-server toevoegen en 209.244.0.4 in het volgende tekstvak in.
  6. Selecteer Opslaan.
  7. Start de virtuele machine Srv-Work opnieuw.

De firewall testen

Test nu de firewall om te controleren of deze werkt zoals verwacht.

  1. Verbind een extern bureaublad met het openbare IP-adres van de firewall en meld u aan bij de virtuele machine Srv-Work.

  2. Open Internet Explorer en blader naar https://www.google.com.

  3. Selecteer OK>Sluiten in de beveiligingswaarschuwingen van Internet Explorer.

    U zou nu de startpagina van Google moeten zien.

  4. Blader naar https://www.microsoft.com.

    U zou nu door de firewall moeten worden geblokkeerd.

Nu u hebt geverifieerd dat de firewallregels werken:

  • Kunt u bladeren naar de enige toegestane FQDN, maar niet naar andere.
  • Kunt u DNS-namen omzetten met behulp van de geconfigureerde externe DNS-server.

Resources opschonen

U kunt de firewall-resources voor de volgende zelfstudie bewaren. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep Test-FW-RG om alle firewall-gerelateerde resources te verwijderen.

Volgende stappen

Azure Firewall Premium implementeren en configureren