你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
教程:使用 Azure DDoS 防护部署防火墙
本文有助于使用受 DDoS 保护的虚拟网络创建 Azure 防火墙。 Azure DDoS 防护支持增强的 DDoS 缓解功能,例如自适应优化、攻击警报通知和监视,以保护防火墙免受大规模 DDoS 攻击。
重要
使用网络防护 SKU 时,Azure DDoS 防护会产生费用。 仅在租户中受保护的公共 IP 超过 100 个时,才会收取超额费用。 如果将来不使用本教程中的资源,请确保将其删除。 有关定价的信息,请参阅 Azure DDoS 防护定价。 有关 Azure DDoS 防护的详细信息,请参阅什么是 Azure DDoS 防护?。
在本教程中,你将创建一个包含两个子网的单个简化 VNet,以便于部署。 为虚拟网络启用了 Azure DDoS 网络保护。
- AzureFirewallSubnet - 防火墙在此子网中。
- Workload-SN - 工作负荷服务器在此子网中。 此子网的网络流量通过防火墙。
对于生产部署,我们建议使用中心辐射模型,其中,防火墙在其自身的 VNet 中。 工作负荷服务器在包含一个或多个子网的同一区域中的对等 VNet 内。
在本教程中,你将了解如何执行以下操作:
- 设置测试网络环境
- 部署防火墙和防火墙策略
- 创建默认路由
- 配置一个应用程序规则以允许访问 www.google.com
- 配置网络规则,以允许访问外部 DNS 服务器
- 将 NAT 规则配置为允许远程桌面连接到测试服务器
- 测试防火墙
如果需要,可以使用 Azure PowerShell 完成此过程。
先决条件
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
设置网络
首先,创建一个资源组用于包含部署防火墙所需的资源。 然后创建 VNet、子网和测试服务器。
创建资源组
资源组包含本教程所需的所有资源。
登录 Azure 门户。
在 Azure 门户菜单上,选择“资源组”或从任意页面搜索并选择“资源组”,然后选择“添加”。 输入或选择下列值:
设置 值 订阅 选择 Azure 订阅。 资源组 输入“Test-FW-RG”。 区域 选择区域。 你创建的所有其他资源必须位于同一区域中。 选择“查看 + 创建”。
选择“创建”。
创建 DDoS 防护计划
在门户顶部的搜索框中,输入“DDoS 防护”。 在搜索结果中选择“DDoS 防护计划”,然后选择“+创建”。
在“创建 DDoS 防护计划”页的“基本信息”选项卡上,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择 Azure 订阅。 资源组 选择“Test-FW-RG”。 实例详细信息 名称 输入“myDDoSProtectionPlan”。 区域 选择区域。 依次选择“查看 + 创建”、“创建”以部署 DDoS 防护计划。
创建 VNet
此 VNet 将包含两个子网。
注意
AzureFirewallSubnet 子网的大小为 /26。 有关子网大小的详细信息,请参阅 Azure 防火墙常见问题解答。
在 Azure 门户菜单或“主页”页上,选择“创建资源” 。
选择“网络”。
搜索“虚拟网络”并将其选中。
选择“创建”,然后输入或选择以下值:
设置 值 订阅 选择 Azure 订阅。 资源组 选择“Test-FW-RG”。 名称 输入“Test-FW-VN”。 区域 选择先前使用的相同位置。 在完成时选择“下一步:IP 地址”。
对于“IPv4 地址空间”,请接受默认值“10.1.0.0/16”。
在“子网”下,选择“默认值”。
对于“子网名称”,将名称更改为 AzureFirewallSubnet 。 防火墙将位于此子网中,子网名称必须是 AzureFirewallSubnet。
对于“地址范围”,请键入“10.1.1.0/26”。
选择“保存”。
接下来,创建工作负荷服务器的子网。
选择“添加子网”。
对于“子网名称”,请键入“Workload-SN”。
对于“子网地址范围”,请键入“10.1.2.0/24”。
选择 添加 。
选择“下一页:安全性。
在“DDoS 网络保护”中,选择“启用”。
在“DDoS 防护计划”中选择“myDDoSProtectionPlan”。
选择“查看 + 创建”。
选择“创建”。
创建虚拟机
现在创建工作负荷虚拟机,将其置于“Workload-SN”子网中。
在 Azure 门户菜单或“主页”页上,选择“创建资源” 。
选择“Windows Server 2019 Datacenter”。
输入或选择虚拟机的以下值:
设置 值 订阅 选择 Azure 订阅。 资源组 选择“Test-FW-RG”。 虚拟机名称 输入“Srv-Work”。 区域 选择先前使用的相同位置。 用户名 输入用户名。 Password 输入密码。 在“公用入站端口”,“入站端口规则”下 ,选择“无”。
接受其他默认值,然后选择“下一步:磁盘” 。
接受磁盘默认值,然后选择“下一步:网络”。
请确保为虚拟网络选择“Test-FW-VN”,并且子网为“Workload-SN”。
对于“公共 IP”,请选择“无”。
接受其他默认值,然后选择“下一步:管理” 。
选择“禁用”以禁用启动诊断。 接受其他默认值,然后选择“查看 + 创建”。
检查摘要页上的设置,然后选择“创建”。
部署完成后,选择 Srv-Work 资源并记下专用 IP 地址供以后使用。
部署防火墙和策略
将防火墙部署到 VNet。
在 Azure 门户菜单或“主页”页上,选择“创建资源” 。
在搜索框中键入“防火墙”,然后按 Enter。
选择“防火墙”,然后选择“创建” 。
在“创建防火墙”页上,使用下表配置防火墙:
设置 值 订阅 选择 Azure 订阅。 资源组 选择“Test-FW-RG”。 名称 输入“Test-FW01”。 区域 选择先前使用的相同位置。 防火墙管理 选择“使用防火墙策略来管理此防火墙”。 防火墙策略 选择“新增”,并输入“fw-test-pol”。
选择前面使用的同一区域。选择虚拟网络 选择“使用现有”,然后选择“Test-FW-VN”。 公共 IP 地址 选择“新增”,并为“名称”输入“fw-pip”。 接受其他默认值,然后选择“查看 + 创建”。
查看摘要,然后选择“创建”以创建防火墙。
需要花费几分钟时间来完成部署。
部署完成后,转到“Test-FW-RG”资源组,然后选择“Test-FW01”防火墙。
记下防火墙专用 IP 地址和公共 IP 地址。 稍后将使用这些地址。
创建默认路由
对于“Workload-SN”子网,请配置要通过防火墙的出站默认路由。
在 Azure 门户菜单上,选择“所有服务”或在任何页面中搜索并选择“所有服务”。
在“网络”下,选择“路由表”。
选择“创建”,然后输入或选择以下值:
设置 值 订阅 选择 Azure 订阅。 资源组 选择“Test-FW-RG”。 区域 选择先前使用的相同位置。 名称 输入“Firewall-route”。 选择“查看 + 创建”。
选择“创建”。
部署完成后,选择“转到资源”。
- 在“防火墙路由”页上,选择“子网”,然后选择“关联”。
- 选择“虚拟网络”>“Test-FW-VN”。
- 对于“子网”,请选择“Workload-SN”。 请确保仅为此路由选择“Workload-SN” 子网,否则防火墙将无法正常工作
- 选择“确定”。
- 依次选择“路由”、“添加” 。
- 对于“路由名称”,请输入“fw-dg”。
- 对于“地址前缀”,请输入“0.0.0.0/0”。
- 对于“下一跃点类型”,请选择“虚拟设备”。 Azure 防火墙实际上是一个托管服务,但虚拟设备可在此场合下正常工作。
- 对于“下一跃点地址”,请输入前面记下的防火墙专用 IP 地址。
- 选择“确定”。
配置应用程序规则
这是允许出站访问 www.google.com
的应用程序规则。
- 打开“Test-FW-RG”资源组,然后选择“fw-test-pol”防火墙策略。
- 选择“应用程序规则”。
- 选择“添加规则集合”。
- 对于“名称”,请输入“App-Coll01”。
- 对于“优先级”,请输入“200”。
- 对于规则集合操作,请选择允许。
- 在“规则”下,为“名称”输入“Allow-Google”。
- 对于源类型,请选择“IP 地址”。
- 对于“源”,请输入“10.0.2.0/24”。
- 对于“协议:端口”,请输入“http, https”。
- 对于“目标类型”,请选择“FQDN” 。
- 对于“目标”,请输入
www.google.com
- 选择 添加 。
Azure 防火墙包含默认情况下允许的基础结构 FQDN 的内置规则集合。 这些 FQDN 特定于平台,不能用于其他目的。 有关详细信息,请参阅基础结构 FQDN。
配置网络规则
这是允许在端口 53 (DNS) 上对两个 IP 地址进行出站访问的网络规则。
- 选择“网络规则”。
- 选择“添加规则集合”。
- 对于“名称”,请输入“Net-Coll01”。
- 对于“优先级”,请输入“200”。
- 对于规则集合操作,请选择允许。
- 对于“规则收集组”,选择“DefaultNetworkRuleCollectionGroup” 。
- 在“规则”下,为“名称”输入“Allow-DNS”。
- 对于“源类型”,请选择“IP 地址” 。
- 对于“源”,请输入“10.0.2.0/24”。
- 对于“协议”,请选择“UDP”。
- 对于“目标端口”,请输入“53”。
- 对于“目标类型”,请选择“IP 地址”。
- 对于“目标”,请输入“209.244.0.3,209.244.0.4”。
这些是由 CenturyLink 操作的公共 DNS 服务器。 - 选择 添加 。
配置 DNAT 规则
此规则允许通过防火墙将远程桌面连接到“Srv-Work”虚拟机。
- 选择“DNAT 规则”。
- 选择“添加规则集合”。
- 对于“名称”,请输入“rdp”。
- 对于“优先级”,请输入“200”。
- 对于“规则收集组”,选择“DefaultDnatRuleCollectionGroup” 。
- 在“规则”下,为“名称”输入“rdp-nat”。
- 对于源类型,请选择“IP 地址”。
- 对于“源”,请输入 *。
- 对于“协议”,请选择“TCP”。
- 对于“目标端口”,请输入“3389”。
- 对于“目标类型”,请选择“IP 地址”。
- 对于“目标”,请输入防火墙公共 IP 地址。
- 对于“已翻译的地址”,请输入“Srv-work”的专用 IP 地址。
- 对于“已翻译的端口”,请输入“3389”。
- 选择 添加 。
更改 Srv-Work 网络接口的主要和辅助 DNS 地址
为了在本教程中进行测试,请配置服务器的主要和辅助 DNS 地址。 这并不是一项常规的 Azure 防火墙要求。
- 在 Azure 门户菜单上,选择“资源组”或从任意页面搜索并选择“资源组”。 选择“Test-FW-RG”资源组。
- 选择 Srv-Work 虚拟机的网络接口。
- 在“设置”下,选择“DNS 服务器”。
- 在“DNS 服务器”下,选择“自定义”。
- 在“添加 DNS 服务器”文本框中输入“209.244.0.3”,在下一个文本框中输入“209.244.0.4”。
- 选择“保存”。
- 重启 Srv-Work 虚拟机。
测试防火墙
现在测试防火墙,以确认它是否按预期方式工作。
将远程桌面连接到防火墙公共 IP 地址,并登录到“Srv-Work”虚拟机。
打开 Internet Explorer 并浏览到
https://www.google.com
。出现 Internet Explorer 安全警报时,请选择“确定”>“关闭”。
应会看到 Google 主页。
浏览到
https://www.microsoft.com
。防火墙应会阻止你访问。
现已验证防火墙规则可正常工作:
- 可以浏览到一个允许的 FQDN,但不能浏览到其他任何 FQDN。
- 可以使用配置的外部 DNS 服务器解析 DNS 名称。
清理资源
可以将防火墙资源保留到下一教程使用。不再需要时,请删除 Test-FW-RG 资源组,以删除与防火墙相关的所有资源。