Wdrażanie i konfigurowanie zasad Azure Firewall Basic i przy użyciu Azure Portal
Azure Firewall Basic zapewnia podstawową ochronę klientów SMB wymagających przystępnej ceny. To rozwiązanie jest zalecane w środowiskach klienta SMB z mniej niż 250 Mb/s wymagań dotyczących przepływności. Zaleca się wdrożenie jednostki SKU w warstwie Standardowa dla środowisk z ponad 250 Mb/s wymagań dotyczących przepływności i jednostki SKU Premium na potrzeby zaawansowanej ochrony przed zagrożeniami.
Filtrowanie ruchu sieciowego i aplikacji jest ważną częścią ogólnego planu zabezpieczeń sieci. Na przykład możesz ograniczyć dostęp do witryn sieci Web. Możesz też ograniczyć wychodzące adresy IP i porty, do których można uzyskać dostęp.
Jednym ze sposobów kontrolowania dostępu do sieci przychodzącej i wychodzącej z podsieci platformy Azure jest Azure Firewall i zasad zapory. Za pomocą Azure Firewall i zasad zapory można skonfigurować:
- Reguły aplikacji, które definiują w pełni kwalifikowane nazwy domen (FQDN), do których można uzyskać dostęp z podsieci.
- Reguły sieci, które definiują adres źródłowy, protokół, port docelowy i adres docelowy.
- Reguły DNAT do tłumaczenia i filtrowania przychodzącego ruchu internetowego do podsieci.
Ruch sieciowy podlega skonfigurowanym regułom zapory podczas kierowania ruchu sieciowego do zapory jako bramy domyślnej podsieci.
W tym przewodniku utworzysz uproszczoną pojedynczą sieć wirtualną z trzema podsieciami w celu łatwego wdrożenia. Zapora Podstawowa ma obowiązkowe wymaganie skonfigurowania za pomocą karty sieciowej zarządzania.
- AzureFirewallSubnet — w tej podsieci znajduje się zapora.
- AzureFirewallManagementSubnet — dla ruchu zarządzania usługami.
- Workload-SN — w tej podsieci znajduje się serwer obciążeń. Ruch sieciowy tej podsieci przechodzi przez zaporę.
Uwaga
Ponieważ Azure Firewall Basic ma ograniczony ruch w porównaniu z jednostką SKU Azure Firewall Standard lub Premium, wymaga to, aby usługa AzureFirewallManagementSubnet oddzieliła ruch klientów od ruchu zarządzania firmy Microsoft, aby zapewnić brak zakłóceń w nim. Ten ruch związany z zarządzaniem jest wymagany do komunikacji aktualizacji i metryk kondycji, która odbywa się automatycznie tylko do i z firmy Microsoft. W tym adresie IP nie są dozwolone żadne inne połączenia.
W przypadku wdrożeń produkcyjnych zalecany jest model piasty i szprychy , w którym zapora znajduje się w własnej sieci wirtualnej. Serwery obciążeń znajdują się w równorzędnych sieciach wirtualnych w tym samym regionie z co najmniej jedną podsiecią.
Z tego instrukcji dowiesz się, jak wykonywać następujące działania:
- Konfigurowanie testowego środowiska sieciowego
- Wdrażanie podstawowej zapory i podstawowych zasad zapory
- Tworzenie trasy domyślnej
- Konfigurowanie reguły aplikacji w celu zezwolenia na dostęp do www.google.com
- Konfigurowanie reguły sieci w celu umożliwienia dostępu do zewnętrznych serwerów DNS
- Konfigurowanie reguły translatora adresów sieciowych w celu umożliwienia pulpitu zdalnego na serwerze testowym
- Testowanie zapory
Jeśli wolisz, możesz wykonać tę procedurę przy użyciu Azure PowerShell.
Wymagania wstępne
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Tworzenie grupy zasobów
Grupa zasobów zawiera wszystkie zasoby instrukcji.
- Zaloguj się w witrynie Azure Portal.
- W menu Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Następnie wybierz pozycję Utwórz.
- W polu Subskrypcja wybierz subskrypcję.
- W polu Nazwa grupy zasobów wprowadź wartość Test-FW-RG.
- W obszarze Region wybierz region. Wszystkie inne utworzone zasoby muszą znajdować się w tym samym regionie.
- Wybierz pozycję Przejrzyj i utwórz.
- Wybierz pozycję Utwórz.
Wdrażanie zapory i zasad
Wdróż zaporę i utwórz skojarzą infrastrukturę sieciową.
W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.
Wpisz zaporę w polu wyszukiwania i naciśnij klawisz Enter.
Wybierz pozycję Zapora , a następnie wybierz pozycję Utwórz.
Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:
Ustawienie Wartość Subskrypcja <Twoja subskrypcja> Grupa zasobów Test-FW-RG Nazwa Test-FW01 Region (Region) Wybierz tę samą lokalizację, której użyto poprzednio Warstwa zapory Podstawowa Zarządzanie zaporą Zarządzanie tą zaporą za pomocą zasad zapory Zasady zapory Dodaj nowy:
fw-test-pol
Wybrany region
Warstwa zasad powinna być domyślnie ustawiona na PodstawowaWybieranie sieci wirtualnej Utwórz nowy
Nazwa: Test-FW-VN
Przestrzeń adresowa: 10.0.0.0/16
Przestrzeń adresowa podsieci: 10.0.0.0/26Publiczny adres IP Dodaj nowy:
Nazwa: fw-pipZarządzanie — przestrzeń adresowa podsieci 10.0.1.0/26 Publiczny adres IP zarządzania Dodaj nowy
fw-mgmt-pipZaakceptuj inne wartości domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.
Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.
Wdrożenie potrwa klika minut.
Po zakończeniu wdrażania przejdź do grupy zasobów Test-FW-RG i wybierz zaporę Test-FW01 .
Zanotuj prywatne i publiczne adresy IP zapory (fw-pip). Te adresy będą używane później.
Tworzenie podsieci dla serwera obciążenia
Następnie utwórz podsieć dla serwera obciążenia.
- Przejdź do grupy zasobów Test-FW-RG i wybierz sieć wirtualną Test-FW-VN .
- Wybierz pozycję Podsieci.
- Wybierz pozycję Podsieć.
- W polu Nazwa podsieci wpisz Workload-SN.
- W polu Zakres adresów podsieci wpisz 10.0.2.0/24.
- Wybierz pozycję Zapisz.
Tworzenie maszyny wirtualnej
Teraz utwórz maszynę wirtualną obciążenia i umieść ją w podsieci Workload-SN .
W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.
Wybierz pozycję Windows Server 2019 Datacenter.
Wprowadź poniższe wartości dla maszyny wirtualnej:
Ustawienie Wartość Grupa zasobów Test-FW-RG Nazwa maszyny wirtualnej Srv-Work Region (Region) Tak samo jak poprzednio Obraz Windows Server 2019 Datacenter Nazwa użytkownika administratora Wpisz nazwę użytkownika Hasło Wpisz hasło W obszarze Reguły portów wejściowychpubliczne porty wejściowe wybierz pozycję Brak.
Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Dyski.
Zaakceptuj wartości domyślne dysku i wybierz pozycję Dalej: Sieć.
Upewnij się, że wybrano opcję Test-FW-VN dla sieci wirtualnej, a podsieć to Workload-SN.
W obszarze Publiczny adres IP wybierz pozycję Brak.
Zaakceptuj inne wartości domyślne i wybierz pozycję Dalej: Zarządzanie.
Wybierz pozycję Dalej: Monitorowanie.
Wybierz pozycję Wyłącz, aby wyłączyć diagnostykę rozruchu. Zaakceptuj inne wartości domyślne i wybierz pozycję Przejrzyj i utwórz.
Przejrzyj ustawienia na stronie podsumowania, a następnie wybierz pozycję Utwórz.
Po zakończeniu wdrażania wybierz zasób Srv-Work i zanotuj prywatny adres IP do późniejszego użycia.
Tworzenie trasy domyślnej
Na potrzeby podsieci Workload-SN skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.
- W menu Azure Portal wybierz pozycję Wszystkie usługi lub wyszukaj i wybierz pozycję Wszystkie usługi na dowolnej stronie.
- W obszarze Sieć wybierz pozycję Tabele tras.
- Wybierz przycisk Utwórz.
- W polu Subskrypcja wybierz subskrypcję.
- W obszarze Grupa zasobów wybierz pozycję Test-FW-RG.
- W polu Region wybierz tę samą lokalizację, która była używana wcześniej.
- W polu Nazwa wpisz wartość Firewall-route.
- Wybierz pozycję Przejrzyj i utwórz.
- Wybierz pozycję Utwórz.
Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.
Na stronie Zapora-trasa wybierz pozycję Podsieci , a następnie wybierz pozycję Skojarz.
Wybierz pozycję Sieć >wirtualnaTest-FW-VN.
W obszarze Podsieć wybierz pozycję Workload-SN. Upewnij się, że wybrano tylko podsieć Workload-SN dla tej trasy. W przeciwnym razie zapora nie będzie działać poprawnie.
Wybierz przycisk OK.
Wybierz pozycję Trasy , a następnie wybierz pozycję Dodaj.
W polu Nazwa trasy wpisz fw-dg.
W polu Miejsce docelowe prefiksu adresu wybierz pozycję Adresy IP.
W polu Docelowe adresy IP/zakresy CIDR wpisz wartość 0.0.0.0/0.
W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.
Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.
W polu Adres następnego skoku wpisz wcześniej zanotowany prywatny adres IP zapory.
Wybierz pozycję Dodaj.
Konfigurowanie reguły aplikacji
Jest to reguła aplikacji, która zezwala na dostęp wychodzący do usługi www.google.com
.
- Otwórz pozycję Test-FW-RG i wybierz zasady zapory fw-test-pol .
- Wybierz pozycję Reguły aplikacji.
- Wybierz pozycję Dodaj kolekcję reguł.
- W polu Nazwa wpisz wartość App-Coll01.
- W polu Priorytet wpisz wartość 200.
- W obszarze Akcja zbierania reguł wybierz pozycję Zezwalaj.
- W obszarze Reguły w polu Nazwa wpisz wartość Allow-Google.
- W polu Typ źródła wybierz pozycję Adres IP.
- W polu Źródło wpisz wartość 10.0.2.0/24.
- W polu Protocol:port wpisz wartość http, https.
- W polu Typ miejsca docelowego wybierz pozycję FQDN.
- W polu Miejsce docelowe wpisz
www.google.com
- Wybierz pozycję Dodaj.
Usługa Azure Firewall zawiera wbudowaną kolekcję reguł dla nazw FQDN infrastruktury, które domyślnie są dozwolone. Te nazwy FQDN są specyficzne dla platformy i nie można ich używać do innych celów. Aby uzyskać więcej informacji, zobacz Infrastrukturalne nazwy FQDN.
Konfigurowanie reguły sieci
Jest to reguła sieci, która umożliwia ruchowi wychodzącemu dostęp do dwóch adresów IP na porcie 53 (DNS).
- Wybierz pozycję Reguły sieciowe.
- Wybierz pozycję Dodaj kolekcję reguł.
- W polu Nazwa wpisz wartość Net-Coll01.
- W polu Priorytet wpisz wartość 200.
- W obszarze Akcja zbierania reguł wybierz pozycję Zezwalaj.
- W obszarze Grupa kolekcji reguł wybierz pozycję DefaultNetworkRuleCollectionGroup.
- W obszarze Reguły w polu Nazwa wpisz Allow-DNS.
- W polu Typ źródła wybierz pozycję Adres IP.
- W polu Źródło wpisz wartość 10.0.2.0/24.
- W polu Protokół wybierz UDP.
- W polu Porty docelowe wpisz wartość 53.
- W polu Typ miejsca docelowego wybierz pozycję Adres IP.
- W polu Miejsce docelowe wpisz wartość 209.244.0.3,209.244.0.4.
Są to publiczne serwery DNS obsługiwane przez poziom 3. - Wybierz pozycję Dodaj.
Konfigurowanie reguły DNAT
Ta reguła umożliwia połączenie pulpitu zdalnego z maszyną wirtualną Srv-Work przez zaporę.
- Wybierz reguły DNAT.
- Wybierz pozycję Dodaj kolekcję reguł.
- W polu Nazwa wpisz rdp.
- W polu Priorytet wpisz wartość 200.
- W obszarze Grupa kolekcji reguł wybierz pozycję DefaultDnatRuleCollectionGroup.
- W obszarze Reguły w polu Nazwa wpisz rdp-nat.
- W polu Typ źródła wybierz pozycję Adres IP.
- W polu Źródło wpisz *.
- W polu Protokół wybierz TCP.
- W polu Porty docelowe wpisz wartość 3389.
- W polu Typ docelowy wybierz pozycję Adres IP.
- W polu Miejsce docelowe wpisz publiczny adres IP zapory (fw-pip).
- W polu Przetłumaczony adres wpisz prywatny adres IP Srv-work .
- W polu Przekształcony port wpisz 3389.
- Wybierz pozycję Dodaj.
Zmienianie podstawowego i pomocniczego adresu DNS dla interfejsu sieciowego Srv-Work
Na potrzeby testowania w tym instrukcji skonfiguruj podstawowe i pomocnicze adresy DNS serwera. Nie jest to ogólne wymaganie Azure Firewall.
- W menu Azure Portal wybierz pozycję Grupy zasobów lub wyszukaj i wybierz pozycję Grupy zasobów na dowolnej stronie. Wybierz grupę zasobów Test-FW-RG .
- Wybierz interfejs sieciowy dla maszyny wirtualnej Srv-Work .
- W obszarze Ustawienia wybierz pozycję Serwery DNS.
- W obszarze Serwery DNS wybierz pozycję Niestandardowe.
- Wpisz wartość 209.244.0.3 w polu tekstowym Dodaj serwer DNS, a następnie wpisz wartość 209.244.0.4 w następnym polu tekstowym.
- Wybierz pozycję Zapisz.
- Uruchom ponownie maszynę wirtualną Srv-Work.
Testowanie zapory
Teraz przetestuj zaporę, aby potwierdzić, że działa zgodnie z oczekiwaniami.
Połącz pulpit zdalny z publicznym adresem IP zapory (fw-pip) i zaloguj się do maszyny wirtualnej Srv-Work .
Otwórz program Internet Explorer i przejdź do
https://www.google.com
.Wybierz przycisk OK>Zamknij w alertach zabezpieczeń programu Internet Explorer.
Powinna zostać wyświetlona strona główna Google.
Przejdź na stronę
http://www.microsoft.com
.Dostęp powinien zostać zablokowany przez zaporę.
Teraz sprawdziliśmy, czy reguły zapory działają:
- Pulpit zdalny można połączyć z maszyną wirtualną Srv-Work.
- Możesz przejść do jednej z dozwolonych nazw FQDN, ale nie do innych.
- Możesz rozpoznać nazwy DNS przy użyciu skonfigurowanego zewnętrznego serwera DNS.
Czyszczenie zasobów
Możesz zachować zasoby zapory na potrzeby dalszego testowania lub jeśli nie są już potrzebne, usuń grupę zasobów Test-FW-RG , aby usunąć wszystkie zasoby związane z zaporą.