共用方式為


使用 Azure 入口網站部署及設定 Azure 防火牆基本和原則

Azure 防火牆基本以經濟實惠的價格,為中小型企業客戶提供所需的基本保護。 對於少於 250 Mbps 輸送量需求的中小型企業客戶環境,建議使用此解決方案。 對於具有超過 250 Mbps 輸送量需求的環境,部署標準 SKU,並對於進階威脅防護部署進階 SKU

篩選網路和應用程式流量是整體網路安全性方案的重要部分。 例如,您可能想要限制網站的存取權。 或者,您可能想要限制可存取的輸出 IP 位址和連接埠。

要控制從 Azure 子網路的輸入和輸出網路存取,使用 Azure 防火牆和防火牆原則是可行的方式之一。 使用 Azure 防火牆和防火牆原則,您可以設定:

  • 會定義可從子網路存取的完整網域名稱 (FQDN) 的應用程式規則。
  • 網路規則,用以定義來源位址、通訊協定、目的地連接埠和目的地位址。
  • DNAT 規則會將輸入網際網路流量轉譯及篩選至您的子網路。

當您將網路流量路由傳送至防火牆作為子網路預設閘道時,網路流量會受限於已設定的防火牆規則。

在本操作說明中,您會建立具有三個子網路的簡易單一 VNet,以便進行簡單部署。 防火牆基本版具有使用管理 NIC 設定的必要需求。

  • AzureFirewallSubnet - 防火牆位於此子網路。
  • AzureFirewallManagementSubnet - 適用於服務管理流量。
  • Workload-SN - 工作負載伺服器位於此子網路。 此子網路的網路流量會通過防火牆。

注意

相較於 Azure 防火牆標準版或進階版 SKU,Azure 防火牆基本版具有有限的流量,因此其需要 AzureFirewallManagementSubnet 來分隔客戶流量與 Microsoft 管理流量,以確保不會中斷。 只有自動發生往返 Microsoft 的更新和健康情況計量通訊才需要此管理流量。 此 IP 上不允許任何其他連線。

對於生產環境部署,建議您使用中樞和支點模型,其中防火牆會位於自己的 VNet 中。 工作負載伺服器位於相同區域中的對等互連 VNet,其中包含一個或多個子網路。

在本操作說明中,您會了解如何:

  • 設定測試網路環境
  • 部署基本防火牆和基本防火牆原則
  • 建立預設路由
  • 設定允許存取 www.google.com 的應用程式規則
  • 設定允許存取外部 DNS 伺服器的網路規則
  • 設定 NAT 規則以允許遠端桌面連線至測試伺服器
  • 測試防火牆

如果您想要的話,可以使用 Azure PowerShell 完成本程序。

必要條件

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶

建立資源群組

此資源群組中包含操作說明中提到的所有資源。

  1. 登入 Azure 入口網站
  2. 在 Azure 入口網站功能表上,選取 [資源群組],或從任何頁面搜尋並選取 [資源群組]。 然後選取建立
  3. 在 [訂閱] 的部分,選取您的訂閱。
  4. 在 [資源群組名稱] 中,輸入 Test-FW-RG
  5. 針對 [區域],選取區域。 您建立的所有其他資源都必須位於相同區域。
  6. 選取 [檢閱 + 建立]。
  7. 選取 建立

部署防火牆和原則

部署防火牆並建立相關聯的網路基礎結構。

  1. 從 Azure 入口網站功能表或 [首頁] 頁面,選取 [建立資源]。

  2. 在搜尋方塊中輸入 firewall,然後按 Enter

  3. 選取 [防火牆],然後選取 [建立]

  4. 在 [建立防火牆] 頁面上,使用下表來設定防火牆:

    設定
    訂用帳戶 <訂用帳戶>
    資源群組 Test-FW-RG
    名稱 Test-FW01
    區域 選取您先前使用的相同位置
    防火牆層 基本
    防火牆管理 使用防火牆原則管理此防火牆
    防火牆原則 新增:
    fw-test-pol
    您選取的區域
    原則層應預設為基本
    選擇虛擬網路 新建
    名稱:Test-FW-VN
    位址空間:10.0.0.0/16
    子網路位址空間:10.0.0.0/26
    公用 IP 位址 新增:
    名稱fw-pip
    管理 - 子網路位址空間 10.0.1.0/26
    管理公用 IP 位址 新增
    fw-mgmt-pip
  5. 接受其他預設值,然後選取 [檢閱 + 建立]

  6. 檢閱摘要,然後選取 [建立] 來建立防火牆。

    這需要幾分鐘才能部署。

  7. 部署完成之後,請前往 Test-FW-RG 資源群組,然後選取 Test-FW01 防火牆。

  8. 請注意防火牆的私人和公用 (fw-pip) IP 位址。 您稍後將會用到這些位址資訊。

建立工作負載伺服器的子網路

接下來,建立工作負載伺服器的子網路。

  1. 移至 Test-FW-RG 資源群組,然後選取 Test-FW-VN 虛擬網路。
  2. 選取 [子網路]
  3. 選取 [子網路]
  4. 在 [子網路名稱] 中,輸入 Workload-SN
  5. 針對 [子網路位址範圍],輸入 10.0.2.0/24
  6. 選取 [儲存]。

建立虛擬機器

現在,建立工作負載虛擬機器並放在 Workload-SN 子網路中。

  1. 從 Azure 入口網站功能表或 [首頁] 頁面,選取 [建立資源]。

  2. 選取 [Windows Server 2019 Datacenter]

  3. 依虛擬機器輸入這些值:

    設定
    資源群組 Test-FW-RG
    虛擬機器名稱 Srv-Work
    區域 同前
    映像 Windows Server 2019 Datacenter
    系統管理員使用者名稱 輸入使用者名稱
    密碼 輸入密碼
  4. 在 [輸入連接埠規則] 下,針對 [公用輸入連接埠] 選取 [無]

  5. 接受其他預設值,然後選取 [下一步:磁碟]

  6. 接受磁碟預設值,然後選取 [下一步:網路]

  7. 確定您已選取 [Test-FW-VN] 作為虛擬網路,而且子網路是 [Workload-SN]

  8. 在 [公用 IP] 中,選取 [無]

  9. 接受其他預設值,然後選取 [下一步:管理]

  10. 選取 [下一步:監視]

  11. 選取 [停用],停用開機診斷。 接受其他預設值,然後選取 [檢閱 + 建立]

  12. 檢閱摘要頁面上的設定,然後選取 [建立]

  13. 部署完成之後,請選取 Srv-Work 資源,並記下私人 IP 位址以供稍後使用。

建立預設路由

Workload-SN 子網路中,設定通過防火牆的輸出預設路由。

  1. 在 Azure 入口網站功能表上,選取 [所有服務],或從任何頁面搜尋並選取 [所有服務]
  2. 在 [網路] 底下,選取 [路由表]
  3. 選取 建立
  4. 在 [訂閱] 的部分,選取您的訂閱。
  5. 在 [資源群組] 中,選取 [Test-FW-RG]
  6. 針對 [區域],選取您先前使用的相同位置。
  7. 在 [名稱] 中,鍵入 Firewall-route
  8. 選取 [檢閱 + 建立]。
  9. 選取 建立

完成部署後,選取 [移至資源]

  1. 在 [防火牆路由] 頁面上,選取 [子網路],然後選取 [關聯]

  2. 選取 [虛擬網路]>[Test-FW-VN]

  3. 在 [子網路] 中,選取 [Workload-SN]。 請確定您只為此路由選取 Workload-SN 子網路,否則防火牆將無法正常運作。

  4. 選取 [確定]。

  5. 選取 [路由],然後選取 [確定]

  6. 在 [路由名稱] 中,鍵入 fw-dg

  7. 在 [位址首碼目的地] 中,選取 [IP 位址]

  8. 在 [目的地 IP 位址/CIDR 範圍] 中,輸入 [0.0.0.0/0]

  9. 在 [下一個躍點類型] 中,選取 [虛擬設備]

    Azure 防火牆實際上是受管理的服務,但虛擬設備可在此情況下運作。

  10. 在 [下一個躍點位址] 中,鍵入您先前記下的防火牆私人 IP 位址。

  11. 選取 [新增]。

設定應用程式規則

此應用程式規則允許對 www.google.com 進行輸出存取。

  1. 開啟 Test-FW-RG,然後選取 fw-test-pol 防火牆原則。
  2. 選取 [應用程式規則]
  3. 選取 [新增規則集合]
  4. 在 [名稱] 中,鍵入 App-Coll01
  5. 在 [優先順序] 中,鍵入 200
  6. [規則集合動作] 請選取 [允許]
  7. 在 [規則] 底下的 [名稱] 中,輸入 Allow-Google
  8. 針對 [來源類型],選取 [IP 位址]
  9. 針對 [來源],輸入 10.0.2.0/24
  10. 在 [通訊協定:連接埠] 中,鍵入 http、https
  11. 針對 [目的地類型],選取 [FQDN]
  12. 針對 [目的地],輸入 www.google.com
  13. 選取 [新增]。

Azure 防火牆包含一組內建規則集合,適用於預設為允許的基礎結構 FQDN。 這些 FQDN 為平台所特有,無法用於其他用途。 如需詳細資訊,請參閱基礎結構 FQDN

設定網路規則

此網路規則允許透過連接埠 53,對兩個 IP 位址進行輸出存取 (DNS)。

  1. 選取 [網路規則]
  2. 選取 [新增規則集合]
  3. 在 [名稱] 中,鍵入 Net-Coll01
  4. 在 [優先順序] 中,鍵入 200
  5. [規則集合動作] 請選取 [允許]
  6. 針對 [規則集合群組],選取 [DefaultNetworkRuleCollectionGroup]
  7. 在 [規則] 底下的 [名稱] 中,鍵入 Allow-DNS
  8. 針對 [來源類型],選取 [IP 位址]
  9. 針對 [來源],輸入 10.0.2.0/24
  10. 在 [通訊協定] 中,選取 [UDP]
  11. 在 [目的地連接埠] 中,鍵入 53
  12. 針對 [目的地類型],選取 [IP 位址]
  13. 針對 [目的地],輸入 209.244.0.3,209.244.0.4
    這些是由 Level3 運作的公用 DNS 伺服器。
  14. 選取 [新增]。

設定 DNAT 規則

此規則可讓您透過防火牆將遠端桌面連線至 Srv-Work 虛擬機器。

  1. 選取 [DNAT 規則]
  2. 選取 [新增規則集合]
  3. 針對 [名稱] 輸入 rdp
  4. 在 [優先順序] 中,鍵入 200
  5. 針對 [規則集合群組],選取 [DefaultDnatRuleCollectionGroup]
  6. 在 [規則] 下的 [名稱] 中,輸入 rdp-nat
  7. 針對 [來源類型],選取 [IP 位址]
  8. 針對 [來源],輸入 *
  9. 在 [通訊協定] 中,選取 [TCP]
  10. 在 [目的地連接埠] 中,輸入 3389
  11. 針對 [目的地類型],選取 [IP 位址]
  12. 對於 [目的地],輸入防火牆公用 IP 位址 (fw-pip)。
  13. 在 [轉譯的位址] 中,輸入 Srv-work 私人 IP 位址。
  14. 在 [轉譯的連接埠] 中,輸入 3389
  15. 選取 [新增]。

變更 Srv-Work 網路介面的主要和次要 DNS 位址

在本操作說明中,您可以就測試目的設定伺服器的主要和次要 DNS 位址。 這不是一般的 Azure 防火牆需求。

  1. 在 Azure 入口網站功能表上,選取 [資源群組],或從任何頁面搜尋並選取 [資源群組]。 選取 Test-FW-RG 資源群組。
  2. 選取 Srv-Work 虛擬機器的網路介面。
  3. 選取 [設定] 底下的 [DNS 伺服器]
  4. 選取 [DNS 伺服器] 底下的 [自訂]
  5. 在 [新增 DNS 伺服器] 文字方塊中,鍵入 209.244.0.3,然後在下一個文字方塊中鍵入 209.244.0.4
  6. 選取 [儲存]。
  7. 重新啟動 Srv-Work 虛擬機器。

測試防火牆

現在請測試防火牆,以確認其運作符合預期。

  1. 將遠端桌面連線至防火牆公用 IP 位址 (fw-pip),並登入 Srv-Work 虛擬機器。

  2. 開啟 Internet Explorer 並瀏覽至 https://www.google.com

  3. 在 Internet Explorer 安全性警示上,選取 [確認]>[關閉]

    您應該會看到 Google 首頁。

  4. 瀏覽至 http://www.microsoft.com

    您應該會遭到防火牆封鎖。

因此,現在您已確認防火牆規則正在運作:

  • 您可以將遠端桌面連線到 Srv-Work 虛擬機器。
  • 您可以瀏覽至允許 FQDN 的防火牆規則,但不可瀏覽至任何其他的防火牆規則。
  • 您可以使用設定的外部 DNS 伺服器來解析 DNS 名稱。

清除資源

您可以保留防火牆資源以供進一步測試使用,若不再需要,則可刪除 Test-FW-RG 資源群組,以刪除所有防火牆相關資源。

下一步