Udostępnij za pośrednictwem


Samouczek: wdrażanie i konfigurowanie usługi Azure Firewall oraz zasad przy użyciu witryny Azure Portal

Kontrolowanie dostępu do sieciowego ruchu wychodzącego jest ważną częścią ogólnego planu zabezpieczeń sieci. Na przykład możesz ograniczyć dostęp do witryn internetowych. Możesz też ograniczyć wychodzące adresy IP i porty, do których można uzyskać dostęp.

Jednym ze sposobów kontrolowania wychodzącego dostępu do sieci z podsieci platformy Azure jest użycie usługi Azure Firewall i zasad zapory. Za pomocą usługi Azure Firewall i zasad zapory można skonfigurować:

  • Reguły aplikacji, które definiują w pełni kwalifikowane nazwy domen (FQDN), do których można uzyskać dostęp z podsieci.
  • Reguły sieci, które definiują adres źródłowy, protokół, port docelowy i adres docelowy.

Ruch sieciowy podlega skonfigurowanym regułom zapory podczas kierowania ruchu sieciowego do zapory jako bramy domyślnej podsieci.

W tym samouczku utworzysz uproszczoną pojedynczą sieć wirtualną z dwiema podsieciami w celu łatwego wdrożenia.

  • AzureFirewallSubnet — w tej podsieci znajduje się zapora.
  • Workload-SN — w tej podsieci znajduje się serwer obciążeń. Ruch sieciowy tej podsieci przechodzi przez zaporę.

Diagram infrastruktury sieciowej zapory.

W przypadku wdrożeń produkcyjnych zalecany jest model piasty i szprych, w którym zapora znajduje się we własnej sieci wirtualnej. Serwery obciążeń znajdują się w równorzędnych sieciach wirtualnych w tym samym regionie z co najmniej jedną podsiecią.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Konfigurowanie testowego środowiska sieciowego
  • Wdrażanie zasad zapory i zapory
  • Tworzenie trasy domyślnej
  • Konfigurowanie reguły aplikacji w celu zezwolenia na dostęp do www.google.com
  • Konfigurowanie reguły sieci w celu umożliwienia dostępu do zewnętrznych serwerów DNS
  • Konfigurowanie reguły translatora adresów sieciowych w celu umożliwienia pulpitu zdalnego na serwerze testowym
  • Testowanie zapory

Jeśli wolisz, możesz wykonać tę procedurę przy użyciu programu Azure PowerShell.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Konfigurowanie sieci

Najpierw utwórz grupę zasobów zawierającą zasoby wymagane do wdrożenia zapory. Następnie utwórz sieć wirtualną, podsieci i serwer testowy.

Tworzenie grupy zasobów

Grupa zasobów zawiera wszystkie zasoby wymagane w tym samouczku.

  1. Zaloguj się w witrynie Azure Portal.

  2. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie, a następnie wybierz pozycję Utwórz. Wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wprowadź wartość Test-FW-RG.
    Region (Region) Wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
  3. Wybierz pozycję Przejrzyj i utwórz.

  4. Wybierz pozycję Utwórz.

Tworzenie sieci wirtualnej

Ta sieć wirtualna będzie mieć dwie podsieci.

Uwaga

Rozmiar podsieci AzureFirewallSubnet to /26. Aby uzyskać więcej informacji na temat rozmiaru podsieci, zobacz Często zadawane pytania dotyczące usługi Azure Firewall.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wybierz pozycję Sieć.

  3. Wyszukaj pozycję Sieć wirtualna i wybierz pozycję Utwórz.

  4. Wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz pozycję Test-FW-RG.
    Nazwisko Wprowadź ciąg Test-FW-VN.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
  5. Wybierz Dalej.

  6. Na karcie Zabezpieczenia wybierz pozycję Dalej.

  7. W przypadku przestrzeni adresowej IPv4 zaakceptuj domyślną wartość 10.0.0.0/16.

  8. W obszarze Podsieci wybierz pozycję domyślne.

  9. Na stronie Edytowanie podsieci w obszarze Podsieć wybierz pozycję Azure Firewall.

    Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.

  10. W polu Adres początkowy wpisz 10.0.1.0.

  11. Wybierz pozycję Zapisz.

Następnie utwórz podsieć dla serwera obciążenia.

  1. Wybierz pozycję Dodaj podsieć.
  2. W polu Nazwa podsieci wpisz Workload-SN.
  3. W polu Adres początkowy wpisz 10.0.2.0/24.
  4. Wybierz Dodaj.
  5. Wybierz pozycję Przejrzyj i utwórz.
  6. Wybierz pozycję Utwórz.

Tworzenie maszyny wirtualnej

Teraz utwórz maszynę wirtualną obciążenia i umieść ją w podsieci Workload-SN .

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wybierz pozycję Windows Server 2019 Datacenter.

  3. Wprowadź lub wybierz następujące wartości dla maszyny wirtualnej:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz pozycję Test-FW-RG.
    Virtual machine name Wprowadź wartość Srv-Work.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
    Username Wprowadź nazwę użytkownika.
    Hasło Wprowadź hasło.
  4. W obszarze Reguły portów wejściowych publiczne porty wejściowe wybierz pozycję Brak.

  5. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Dyski.

  6. Zaakceptuj wartości domyślne dysku i wybierz pozycję Dalej: Sieć.

  7. Upewnij się, że wybrano opcję Test-FW-VN dla sieci wirtualnej, a podsieć to Workload-SN.

  8. W obszarze Publiczny adres IP wybierz pozycję Brak.

  9. Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Zarządzanie.

  10. Wybierz pozycję Dalej:Monitorowanie.

  11. Wybierz pozycję Wyłącz, aby wyłączyć diagnostykę rozruchu. Zaakceptuj inne wartości domyślne i wybierz pozycję Przejrzyj i utwórz.

  12. Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.

  13. Po zakończeniu wdrażania wybierz zasób Srv-Work i zanotuj prywatny adres IP do późniejszego użycia.

Wdrażanie zapory i zasad

Wdróż zaporę w sieci wirtualnej.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wpisz zaporę w polu wyszukiwania i naciśnij Enter.

  3. Wybierz pozycję Zapora, a następnie wybierz pozycję Utwórz.

  4. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz pozycję Test-FW-RG.
    Nazwisko Wprowadź ciąg Test-FW01.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
    Zarządzanie zaporą Wybierz pozycję Użyj zasad zapory, aby zarządzać tą zaporą.
    Zasady zapory Wybierz pozycję Dodaj nową, a następnie wprowadź fw-test-pol.
    Wybierz ten sam region, który był wcześniej używany.
    Wybieranie sieci wirtualnej Wybierz pozycję Użyj istniejącej, a następnie wybierz pozycję Test-FW-VN.
    Publiczny adres IP Wybierz pozycję Dodaj nową, a następnie wprowadź ciąg fw- w polu Nazwa.
  5. Wyczyść pole wyboru Włącz kartę sieciową zarządzania zaporą.

  6. Zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Dalej: Tagi.

  7. Wybierz pozycję Dalej: Przejrzyj i utwórz.

  8. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.

    Wdrożenie potrwa klika minut.

  9. Po zakończeniu wdrażania przejdź do grupy zasobów Test-FW-RG i wybierz zaporę Test-FW01 .

  10. Zanotuj prywatne i publiczne adresy IP zapory. Te adresy będą używane później.

Tworzenie trasy domyślnej

Na potrzeby podsieci Workload-SN skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.

  1. W menu witryny Azure Portal wybierz pozycję Wszystkie usługi lub wyszukaj i wybierz pozycję Wszystkie usługi na dowolnej stronie.

  2. W obszarze Sieć wybierz pozycję Tabele tras.

  3. Wybierz pozycję Utwórz, a następnie wprowadź lub wybierz następujące wartości:

    Ustawienie Wartość
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Resource group Wybierz pozycję Test-FW-RG.
    Region (Region) Wybierz tę samą lokalizację, która była wcześniej używana.
    Nazwisko Wprowadź wartość Zapora-route.
  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz.

Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.

  1. Na stronie Zapora-route w obszarze Ustawienia wybierz pozycję Podsieci, a następnie wybierz pozycję Skojarz.

  2. W obszarze Sieć wirtualna wybierz pozycję Test-FW-VN.

  3. W polu Podsieć wybierz pozycję Workload-SN.

  4. Wybierz przycisk OK.

  5. Wybierz pozycję Trasy , a następnie wybierz pozycję Dodaj.

  6. W polu Nazwa trasy wprowadź wartość fw-dg.

  7. W polu Typ docelowy wybierz pozycję Adresy IP.

  8. W polu Prefiks Docelowy adresy IP/zakresy CIDR wprowadź wartość 0.0.0.0/0.

  9. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.

    Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.

  10. W polu Adres następnego przeskoku wprowadź prywatny adres IP zanotowany wcześniej zapory.

  11. Wybierz Dodaj.

Konfigurowanie reguły aplikacji

Jest to reguła aplikacji, która zezwala na dostęp wychodzący do usługi www.google.com.

  1. Otwórz grupę zasobów Test-FW-RG i wybierz zasady zapory fw-test-pol.
  2. W obszarze Ustawienia wybierz pozycję Reguły aplikacji.
  3. Wybierz pozycję Dodaj kolekcję reguł.
  4. W polu Nazwa wprowadź ciąg App-Coll01.
  5. W polu Priorytet wprowadź wartość 200.
  6. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
  7. W obszarze Reguły w polu Nazwa wprowadź wartość Allow-Google.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wprowadź wartość 10.0.2.0/24.
  10. W polu Protocol:port wprowadź wartość http, https.
  11. W polu Typ docelowy wybierz pozycję FQDN.
  12. W polu Miejsce docelowe wprowadź wartość www.google.com
  13. Wybierz Dodaj.

Usługa Azure Firewall zawiera wbudowaną kolekcję reguł dla nazw FQDN infrastruktury, które domyślnie są dozwolone. Te nazwy FQDN są specyficzne dla platformy i nie można ich używać do innych celów. Aby uzyskać więcej informacji, zobacz Infrastrukturalne nazwy FQDN.

Konfigurowanie reguły sieci

Jest to reguła sieci, która umożliwia ruchowi wychodzącemu dostęp do dwóch adresów IP na porcie 53 (DNS).

  1. Wybierz pozycję Reguły sieci.
  2. Wybierz pozycję Dodaj kolekcję reguł.
  3. W polu Nazwa wprowadź wartość Net-Coll01.
  4. W polu Priorytet wprowadź wartość 200.
  5. W obszarze Akcja kolekcji reguł wybierz pozycję Zezwalaj.
  6. W obszarze Grupa kolekcji reguł wybierz pozycję DefaultNetworkRuleCollectionGroup.
  7. W obszarze Reguły w polu Nazwa wprowadź wartość Allow-DNS.
  8. W polu Typ źródła wybierz pozycję Adres IP.
  9. W polu Źródło wprowadź wartość 10.0.2.0/24.
  10. W polu Protokół wybierz UDP.
  11. W polu Porty docelowe wprowadź wartość 53.
  12. W polu Typ docelowy wybierz pozycję Adres IP.
  13. W polu Miejsce docelowe wprowadź wartość 209.244.0.3,209.244.0.4.
    Są to publiczne serwery DNS obsługiwane przez CenturyLink.
  14. Wybierz Dodaj.

Konfigurowanie reguły DNAT

Ta reguła umożliwia połączenie pulpitu zdalnego z maszyną wirtualną Srv-Work za pośrednictwem zapory.

  1. Wybierz reguły DNAT.
  2. Wybierz pozycję Dodaj kolekcję reguł.
  3. W polu Nazwa wprowadź wartość RDP.
  4. W polu Priorytet wprowadź wartość 200.
  5. W obszarze Grupa kolekcji reguł wybierz pozycję DefaultDnatRuleCollectionGroup.
  6. W obszarze Reguły w polu Nazwa wprowadź wartość rdp-nat.
  7. W polu Typ źródła wybierz pozycję Adres IP.
  8. W polu Źródło wprowadź wartość *.
  9. W polu Protokół wybierz TCP.
  10. W polu Porty docelowe wprowadź wartość 3389.
  11. W polu Miejsce docelowe wprowadź publiczny adres IP zapory.
  12. W polu Typ przetłumaczony wybierz pozycję Adres IP.
  13. W polu Przetłumaczony adres wprowadź prywatny adres IP Srv-work.
  14. W polu Przetłumaczony port wprowadź wartość 3389.
  15. Wybierz Dodaj.

Zmienianie podstawowego i pomocniczego adresu DNS dla interfejsu sieciowego Srv-Work

Na potrzeby testowania w tym samouczku skonfiguruj podstawowe i pomocnicze adresy DNS serwera. Nie jest to ogólne wymaganie usługi Azure Firewall.

  1. W menu witryny Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Wybierz grupę zasobów Test-FW-RG .
  2. Wybierz interfejs sieciowy dla maszyny wirtualnej Srv-Work .
  3. W obszarze Ustawienia wybierz pozycję Serwery DNS.
  4. W obszarze Serwery DNS wybierz pozycję Niestandardowe.
  5. Wprowadź ciąg 209.244.0.3 w polu tekstowym Dodawanie serwera DNS i 209.244.0.4 w następnym polu tekstowym.
  6. Wybierz pozycję Zapisz.
  7. Uruchom ponownie maszynę wirtualną Srv-Work.

Testowanie zapory

Teraz przetestuj zaporę, aby potwierdzić, że działa zgodnie z oczekiwaniami.

  1. Połącz pulpit zdalny z publicznym adresem IP zapory i zaloguj się do maszyny wirtualnej Srv-Work .

  2. Otwórz przeglądarkę Microsoft Edge i przejdź do https://www.google.comwitryny .

  3. Wybierz przycisk OK>Zamknij w alertach zabezpieczeń programu Internet Explorer.

    Powinna zostać wyświetlona strona główna Google.

  4. Przejdź do https://www.microsoft.com.

    Dostęp powinien zostać zablokowany przez zaporę.

Teraz sprawdziliśmy, czy reguły zapory działają:

  • Możesz przejść do jednej z dozwolonych nazw FQDN, ale nie do innych.
  • Możesz rozpoznać nazwy DNS przy użyciu skonfigurowanego zewnętrznego serwera DNS.

Czyszczenie zasobów

Możesz zachować zasoby zapory na potrzeby kolejnego samouczka, a jeśli nie będą już potrzebne, możesz usunąć grupę zasobów Test-FW-RG, aby usunąć wszystkie zasoby związane z zaporą.

Następne kroki