Planowanie wdrożenia usługi Azure Firewall
Przed wdrożeniem usługi Azure Firewall należy zaplanować topologię sieci, zidentyfikować potrzebne reguły zapory i zrozumieć kroki wdrażania.
Zalecana topologia sieci
Pamiętaj, że usługa Azure Firewall jest najlepiej wdrażana przy użyciu topologii sieci piasty i szprych z następującymi cechami:
- Sieć wirtualna działająca jako centralny punkt łączności. Ta sieć jest siecią wirtualną koncentratora.
- Co najmniej jedna sieć wirtualna, która jest równorzędna z koncentratorem. Te węzły równorzędne to sieci wirtualne będące szprychami i służą do aprowizowania serwerów obciążeń.
Wystąpienie zapory można wdrożyć w podsieci sieci wirtualnej koncentratora, a następnie skonfigurować cały ruch przychodzący i wychodzący, aby przejść przez zaporę. Ta konfiguracja będzie używana podczas wdrażania usługi Azure Firewall w celu ochrony puli hostów dla usługi Azure Virtual Desktop.
Reguły usługi Azure Firewall
Pamiętaj, że domyślnie zapora odmawia dostępu do wszystkiego. Twoim zadaniem jest skonfigurowanie zapory z warunkami, w których ruch jest dozwolony przez zaporę. Każdy warunek jest nazywany regułą. Każda reguła stosuje co najmniej jedną kontrolę danych. Tylko ruch, który przechodzi każde zaewidencjonowanie wszystkich reguł zapory, może przechodzić przez.
W poniższej tabeli opisano trzy typy reguł, które można utworzyć dla zapory platformy Azure. Aby zezwolić na odpowiedni ruch sieciowy dla usługi Azure Virtual Desktop, użyjesz reguł aplikacji i sieci.
| Typ reguły | opis |
|---|---|
| Translator adresów sieciowych (NAT) | Przetłumacz i przefiltruj przychodzący ruch internetowy na podstawie publicznego adresu IP zapory i określonego numeru portu. Aby na przykład włączyć połączenie pulpitu zdalnego z maszyną wirtualną, możesz użyć reguły TRANSLATOR adresów sieciowych, aby przetłumaczyć publiczny adres IP zapory i port 3389 na prywatny adres IP maszyny wirtualnej. |
| Aplikacja | Filtruj ruch na podstawie w pełni kwalifikowanej nazwy domeny (FQDN) lub tagu FQDN. Tag FQDN reprezentuje grupę nazw FQDN skojarzonych z dobrze znanymi usługi firmy Microsoft, takimi jak Usługa Azure Virtual Desktop. Na przykład użyjesz reguły aplikacji, aby zezwolić na ruch wychodzący dla maszyn wirtualnych usługi Azure Virtual Desktop przy użyciu tagu FQDN WindowsVirtualDesktop. |
| Sieć | Filtruj ruch na podstawie co najmniej jednego z następujących trzech parametrów sieciowych: adres IP, port i protokół. Na przykład użyj reguły sieciowej, aby zezwolić na ruch z prywatnego adresu IP serwera domeny lokalna usługa Active Directory na platformę Azure dla portów TCP i UDP 53. Jeśli używasz serwera microsoft Entra Domain Server, nie musisz tworzyć reguły sieciowej. Zapytania DNS są przekazywane do usługi Azure DNS pod adresem 168.63.129.16. |
Usługa Azure Firewall stosuje reguły w kolejności priorytetu. Reguły oparte na analizie zagrożeń zawsze mają najwyższy priorytet i są przetwarzane jako pierwsze. Następnie reguły są stosowane według typu: reguły NAT, a następnie reguły sieci, a następnie reguły aplikacji. W ramach każdego typu reguły są przetwarzane zgodnie z wartościami priorytetu, które przypisujesz podczas tworzenia reguły, od najniższej wartości do najwyższej wartości.
Opcje wdrażania
Pamiętaj, że usługa Azure Firewall oferuje wiele funkcji zaprojektowanych w celu ułatwienia tworzenia reguł i zarządzania nimi. Poniższa tabela zawiera podsumowanie tych funkcji. Aby zezwolić na ruch sieciowy dla usługi Azure Virtual Desktop, użyjesz tagów FQDN, ale możesz również użyć tych innych opcji w środowisku.
| Funkcja | opis |
|---|---|
| Nazwa FQDN | Nazwa domeny hosta lub co najmniej jeden adres IP. Dodanie nazwy FQDN do reguły aplikacji umożliwia dostęp do tej domeny. W przypadku używania nazwy FQDN w regule aplikacji można użyć symboli wieloznacznych, takich jak *.google.com. |
| Tag nazwy FQDN | Grupa dobrze znanych nazw FQDN firmy Microsoft. Dodanie tagu FQDN do reguły aplikacji umożliwia wychodzący dostęp do nazw FQDN tagu. Na przykład istnieją tagi FQDN dla usług Windows Update, Azure Virtual Desktop, Diagnostyka systemu Windows i Azure Backup. Firma Microsoft zarządza tagami nazw FQDN i nie można ich modyfikować ani tworzyć. |
| Tag usługi | Grupa prefiksów adresów IP powiązanych z określoną usługą platformy Azure. Dodanie tagu usługi do reguły sieciowej umożliwia dostęp do usługi reprezentowanej przez tag. Istnieją tagi usług dla kilkudziesięciu usług platformy Azure, w tym Azure Backup, Azure Cosmos DB i Azure Logic Apps. Firma Microsoft zarządza tagami usług i nie można ich modyfikować ani tworzyć. |
| Grupy adresów IP | Grupa adresów IP, takich jak 10.2.0.0/16 lub 10.1.0.0-10.1.0.31. Możesz użyć grupy adresów IP jako adresu źródłowego w regule translatora adresów sieciowych lub aplikacji albo jako adresu źródłowego lub docelowego w regule sieciowej. |
| Niestandardowe DNS | Niestandardowy serwer DNS, który rozpoznaje nazwy domen na adresy IP. Jeśli używasz niestandardowego serwera DNS, a nie usługi Azure DNS, musisz również skonfigurować usługę Azure Firewall jako serwer proxy DNS. |
| Serwer proxy DNS | Usługę Azure Firewall można skonfigurować tak, aby działała jako serwer proxy DNS, co oznacza, że wszystkie żądania DNS klienta przechodzą przez zaporę przed przejściem do serwera DNS. |
Kroki wdrażania usługi Azure Firewall
W poprzednim ćwiczeniu utworzono pulę hostów i sieć wirtualną z podsiecią. W tej podsieci wdrożono maszynę wirtualną hosta sesji i zarejestrowano ją w puli hostów. W następnych ćwiczeniach wykonasz następujące kroki, aby wdrożyć usługę Azure Firewall w celu ochrony puli hostów.
Skonfiguruj sieć:
- Utwórz sieć wirtualną koncentratora zawierającą podsieć dla wdrożenia zapory.
- Komunikacja równorzędna sieci piasty i szprych. W następnym ćwiczeniu utworzysz komunikację równorzędną sieci wirtualnej koncentratora z siecią wirtualną używaną przez pulę hostów usługi Azure Virtual Desktop.
Wdrażanie usługi Azure Firewall:
- Wdróż usługę Azure Firewall w podsieci w sieci wirtualnej koncentratora.
- W przypadku ruchu wychodzącego utwórz trasę domyślną, która wysyła ruch ze wszystkich podsieci do prywatnego adresu IP zapory.
Tworzenie reguł usługi Azure Firewall:
- Skonfiguruj zaporę z regułami, aby filtrować ruch przychodzący i wychodzący.