Azure Firewall-implementatie plannen
Voordat u Azure Firewall kunt implementeren, moet u uw netwerktopologie plannen, de firewallregels identificeren die u nodig hebt en de implementatiestappen begrijpen.
Aanbevolen netwerktopologie
Denk eraan dat Azure Firewall het beste wordt geïmplementeerd met behulp van een hub-and-spoke-netwerktopologie met de volgende kenmerken:
- Een virtueel netwerk dat fungeert als het centrale verbindingspunt. Dit netwerk is het virtuele hubnetwerk.
- Een of meer virtuele netwerken die zijn gekoppeld aan de hub. Deze peers zijn de virtuele spoke-netwerken en worden gebruikt voor het inrichten van workloadservers.
U kunt het firewallexemplaren implementeren in een subnet van het virtuele hubnetwerk en vervolgens al het inkomende en uitgaande verkeer configureren om via de firewall te gaan. U gebruikt deze configuratie wanneer u Azure Firewall implementeert om de hostgroep voor Azure Virtual Desktop te beveiligen.
Azure Firewall-regels
Zoals u weet, weigert de firewall standaard de toegang tot alles. Uw taak is om de firewall te configureren met de voorwaarden waaronder verkeer wordt toegestaan via de firewall. Elke voorwaarde wordt een regel genoemd. Met elke regel worden een of meer controles op de gegevens toegepast. Alleen verkeer dat elke controle doorgeeft aan alle regels van de firewall, mag worden doorgegeven.
In de volgende tabel worden de drie typen regels beschreven die u kunt maken voor een Azure-firewall. Als u het juiste netwerkverkeer voor Azure Virtual Desktop wilt toestaan, gebruikt u toepassings- en netwerkregels.
| Regeltype | Beschrijving |
|---|---|
| Netwerkadresomzetting (NAT) | Vertaal en filter inkomend internetverkeer op basis van het openbare IP-adres van uw firewall en een opgegeven poortnummer. Als u bijvoorbeeld een verbinding met een extern bureaublad met een virtuele machine (VM) wilt inschakelen, kunt u een NAT-regel gebruiken om het openbare IP-adres en poort 3389 van uw firewall te vertalen naar het privé-IP-adres van de virtuele machine. |
| Toepassing | Filter verkeer op basis van een FQDN-tag (Fully Qualified Domain Name) of FQDN-tag. Een FQDN-tag vertegenwoordigt een groep FQDN's die zijn gekoppeld aan bekende Microsoft-services, zoals Azure Virtual Desktop. U gebruikt bijvoorbeeld een toepassingsregel om uitgaand verkeer voor de virtuele Machines van Azure Virtual Desktop toe te staan met behulp van de FQDN-tag WindowsVirtualDesktop. |
| Netwerk | Filter verkeer op basis van een of meer van de volgende drie netwerkparameters: IP-adres, poort en protocol. Gebruik bijvoorbeeld een netwerkregel om verkeer van een on-premises Active Directory-domein Server privé-IP-adres naar Azure toe te staan voor TCP- en UDP-poort 53. Als u Microsoft Entra Domain Server gebruikt, hoeft u geen netwerkregel te maken. DNS-query's worden doorgestuurd naar Azure DNS op 168.63.129.16. |
Azure Firewall past regels in volgorde van prioriteit toe. Regels op basis van bedreigingsinformatie krijgen altijd de hoogste prioriteit en worden eerst verwerkt. Daarna worden regels toegepast op type: NAT-regels, vervolgens netwerkregels en toepassingsregels. Binnen elk type worden regels verwerkt op basis van de prioriteitswaarden die u toewijst wanneer u de regel maakt, van laagste waarde tot hoogste waarde.
Implementatieopties
Zoals u weet, biedt Azure Firewall veel functies die zijn ontworpen om het maken en beheren van regels eenvoudiger te maken. De volgende tabel bevat een overzicht van deze functies. Als u netwerkverkeer voor Azure Virtual Desktop wilt toestaan, gebruikt u FQDN-tags, maar u kunt deze andere opties ook gebruiken in uw omgeving.
| Functie | Beschrijving |
|---|---|
| FQDN | Een domeinnaam van een host of een of meer IP-adressen. Als u een FQDN toevoegt aan een toepassingsregel, hebt u toegang tot dat domein. Wanneer u een FQDN in een toepassingsregel gebruikt, kunt u jokertekens gebruiken, zoals *.google.com. |
| FQDN-tag | Een groep bekende Microsoft FQDN's. Door een FQDN-tag toe te voegen aan een toepassingsregel, is uitgaande toegang tot de FQDN's van de tag toegestaan. Er zijn bijvoorbeeld FQDN-tags voor Windows Update, Azure Virtual Desktop, Windows Diagnostics en Azure Backup. Microsoft beheert FQDN-tags en u kunt deze niet wijzigen of maken. |
| Servicetag | Een groep IP-adresvoorvoegsels die betrekking hebben op een specifieke Azure-service. Als u een servicetag toevoegt aan een netwerkregel, hebt u toegang tot de service die wordt vertegenwoordigd door de tag. Er zijn servicetags voor tientallen Azure-services, waaronder Azure Backup, Azure Cosmos DB en Azure Logic Apps. Microsoft beheert servicetags en u kunt deze niet wijzigen of maken. |
| IP-groepen | Een groep IP-adressen, zoals 10.2.0.0/16 of 10.1.0.0-10.1.0.31. U kunt een IP-groep gebruiken als het bronadres in een NAT- of toepassingsregel, of als het bron- of doeladres in een netwerkregel. |
| Aangepaste DNS | Een aangepaste DNS-server waarmee domeinnamen worden omgezet in IP-adressen. Als u een aangepaste DNS-server gebruikt in plaats van Azure DNS, moet u Ook Azure Firewall configureren als een DNS-proxy. |
| DNS-proxy | U kunt Azure Firewall configureren om te fungeren als een DNS-proxy, wat betekent dat alle DNS-aanvragen van de client via de firewall worden verzonden voordat u naar de DNS-server gaat. |
Implementatiestappen voor Azure Firewall
In de vorige oefening hebt u een hostgroep en een virtueel netwerk gemaakt met een subnet. U hebt een sessiehost-VM in dat subnet geïmplementeerd en geregistreerd bij de hostgroep. In de volgende oefeningen voert u de volgende stappen uit om Azure Firewall te implementeren om de hostgroep te beveiligen.
Het netwerk instellen:
- Maak een virtueel hubnetwerk met een subnet voor de firewallimplementatie.
- Peering van de hub- en spoke-netwerken. In de volgende oefening koppelt u het virtuele hubnetwerk aan het virtuele netwerk dat wordt gebruikt door de hostgroep van Azure Virtual Desktop.
Azure Firewall implementeren:
- Azure Firewall implementeren in een subnet in het virtuele hubnetwerk.
- Voor uitgaand verkeer maakt u een standaardroute waarmee verkeer van alle subnetten naar het privé-IP-adres van de firewall wordt verzonden.
Azure Firewall-regels maken:
- Configureer de firewall met regels om inkomend en uitgaand verkeer te filteren.