教學課程：部署具有 Azure DDoS 保護的防火牆

本文可協助您建立具有 DDoS 保護虛擬網路的 Azure 防火牆。 Azure DDoS 保護可啟用增強的 DDoS 風險降低功能，例如自適性調整、攻擊警示通知和監視，以保護防火牆免於大規模 DDoS 攻擊。

重要

使用網路保護 SKU 時，會衍生 Azure DDoS 保護的成本。 只有在租用戶中保護超過 100 個公用 IP 時，才會收取超額費用。 如果您未來不會使用本教學課程中的資源，請務必加以刪除。 如需價格的詳細資訊，請參閱 Azure DDoS 保護價格。 如需 Azure DDoS 保護的詳細資訊，請參閱什麼是 Azure DDoS 保護？。

在本教學課程中，您會建立包含二個子網路的簡易單一 VNet，以進行簡單的部署。 已針對虛擬網路啟用 Azure DDoS 網路保護。

• AzureFirewallSubnet - 防火牆位於此子網路。
• Workload-SN - 工作負載伺服器位於此子網路。 此子網路的網路流量會通過防火牆。

對於生產環境部署，建議您使用中樞和支點模型，其中防火牆會位於自己的 VNet 中。 工作負載伺服器位於相同區域中的對等互連 VNet，其中包含一個或多個子網路。

在本教學課程中，您會了解如何：

• 設定測試網路環境
• 部署防火牆和防火牆原則
• 建立預設路由
• 設定允許存取 www.google.com 的應用程式規則
• 設定允許存取外部 DNS 伺服器的網路規則
• 設定 NAT 規則以允許遠端桌面連線至測試伺服器
• 測試防火牆

如果您想要的話，可以使用 Azure PowerShell 完成本程序。

必要條件

如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。

設定網路

首先，請建立資源群組，以包含部署防火牆所需的資源。 接著建立 VNet、子網路，和測試伺服器。

建立資源群組

此資源群組中包含了教學課程中提到的所有資源。

1. 登入 Azure 入口網站。

2. 在 Azure 入口網站功能表上，選取 [資源群組]，或從任何頁面搜尋「資源群組」並加以選取，然後選取 [新增]。 輸入或選取下列值：

   設定	值
   訂用帳戶	選取 Azure 訂閱。
   資源群組	輸入 Test-FW-RG。
   區域	選取區域。 您建立的所有其他資源都必須位於相同區域。

3. 選取 [檢閱 + 建立]。

4. 選取 建立。

建立 DDoS 保護計劃

1. 在入口網站頂端的搜尋方塊中，輸入 DDoS 保護。 在搜尋結果中選取 [DDoS 保護計劃]，然後選取 [+ 建立]。

2. 在 [建立 DDoS 保護計劃] 頁面的 [基本] 索引卷標中，輸入或選取下列資訊：

   設定	值
   專案詳細資料
   訂用帳戶	選取 Azure 訂閱。
   資源群組	選取 [Test-FW-RG]。
   [執行個體詳細資料]
   名稱	輸入 myDDoSProtectionPlan。
   區域	選取區域。

3. 選取 [檢閱 + 建立]，然後選取 [建立] 以部署 DDoS 保護計劃。

建立 VNet

此 VNet 會有兩個子網路。

注意

AzureFirewallSubnet 子網路的大小是 /26。 如需有關子網路大小的詳細資訊，請參閱 Azure 防火牆的常見問題集。

1. 從 Azure 入口網站功能表或 [首頁] 頁面，選取 [建立資源]。

2. 選取 [網路功能]。

3. 搜尋虛擬網路，然後加以選取。

4. 選取 [建立]，然後輸入或選取下列值︰

   設定	值
   訂用帳戶	選取 Azure 訂閱。
   資源群組	選取 [Test-FW-RG]。
   名稱	輸入 Test-FW-VN。
   區域	選取您先前使用的相同位置。

5. 選取 [下一步: IP 位址]。

6. 針對 [IPv4 位址空間]，請接受預設的 10.1.0.0/16。

7. 在 [子網路] 下，選取 [預設]。

8. 針對 [子網路名稱]，將名稱變更為 AzureFirewallSubnet。 防火牆會在此子網路中，且子網路名稱必須是 AzureFirewallSubnet。

9. 針對 [位址範圍]，輸入 10.1.1.0/26。

10. 選取 [儲存]。

    接下來，建立工作負載伺服器的子網路。

11. 選取 [新增子網路]。

12. 在 [子網路名稱] 中，輸入 Workload-SN。

13. 針對 [子網路位址範圍]，輸入 10.1.2.0/24。

14. 選取 [新增]。

15. 選取 [下一步：安全性]。

16. 在 [DDoS 網路保護] 中，選取 [啟用]。

17. 在 [DDoS 保護方案] 中選取 myDDoSProtectionPlan。

18. 選取 [檢閱 + 建立]。

19. 選取 建立。

建立虛擬機器

現在，建立工作負載虛擬機器並放在 Workload-SN 子網路中。

1. 從 Azure 入口網站功能表或 [首頁] 頁面，選取 [建立資源]。

2. 選取 [Windows Server 2019 Datacenter]。

3. 針對虛擬機器輸入或選取這些值：

   設定	值
   訂用帳戶	選取 Azure 訂閱。
   資源群組	選取 [Test-FW-RG]。
   虛擬機器名稱	輸入 Srv-Work。
   區域	選取您先前使用的相同位置。
   使用者名稱	輸入使用者名稱。
   密碼	輸入密碼。

4. 在 [輸入連接埠規則] 下，針對 [公用輸入連接埠] 選取 [無]。

5. 接受其他預設值，然後選取 [下一步：磁碟]。

6. 接受磁碟預設值，然後選取 [下一步：網路]。

7. 確定您已選取 [Test-FW-VN] 作為虛擬網路，而且子網路是 [Workload-SN]。

8. 在 [公用 IP] 中，選取 [無]。

9. 接受其他預設值，然後選取 [下一步：管理]。

10. 選取 [停用]，停用開機診斷。 接受其他預設值，然後選取 [檢閱 + 建立]。

11. 檢閱摘要頁面上的設定，然後選取 [建立]。

12. 部署完成之後，請選取 Srv-Work 資源，並記下私人 IP 位址以供稍後使用。

部署防火牆和原則

將防火牆部署到 VNet 中。

1. 從 Azure 入口網站功能表或 [首頁] 頁面，選取 [建立資源]。

2. 在搜尋方塊中輸入 firewall，然後按 Enter。

3. 選取 [防火牆]，然後選取 [建立]。

4. 在 [建立防火牆] 頁面上，使用下表來設定防火牆：

   設定	值
   訂用帳戶	選取 Azure 訂閱。
   資源群組	選取 [Test-FW-RG]。
   名稱	輸入 Test-FW01。
   區域	選取您先前使用的相同位置。
   防火牆管理	選取 [使用防火牆原則管理此防火牆]。
   防火牆原則	選取 [新增]，然後輸入 fw-test-pol。 選取您先前使用的相同區域。
   選擇虛擬網路	選取 [使用現有的]，然後選取 [Test-FW-VN]。
   公用 IP 位址	選取 [新增]，然後針對 [名稱] 輸入 fw-pip。

5. 接受其他預設值，然後選取 [檢閱 + 建立]。

6. 檢閱摘要，然後選取 [建立] 來建立防火牆。

   這需要幾分鐘才能部署。

7. 部署完成之後，請前往 Test-FW-RG 資源群組，然後選取 Test-FW01 防火牆。

8. 請注意防火牆的私人和公用 IP 位址。 您稍後將會用到這些位址資訊。

建立預設路由

在 Workload-SN 子網路中，設定通過防火牆的輸出預設路由。

1. 在 Azure 入口網站功能表上，選取 [所有服務]，或從任何頁面搜尋並選取 [所有服務]。

2. 在 [網路] 底下，選取 [路由表]。

3. 選取 [建立]，然後輸入或選取下列值︰

   設定	值
   訂用帳戶	選取 Azure 訂閱。
   資源群組	選取 [Test-FW-RG]。
   區域	選取您先前使用的相同位置。
   名稱	輸入 Firewall-route。

4. 選取 [檢閱 + 建立]。

5. 選取 建立。

完成部署後，選取 [移至資源]。

1. 在 [防火牆路由] 頁面上，選取 [子網路]，然後選取 [關聯]。
2. 選取 [虛擬網路]>[Test-FW-VN]。
3. 在 [子網路] 中，選取 [Workload-SN]。 請確定您只為此路由選取 Workload-SN 子網路，否則防火牆將無法正常運作。
4. 選取 [確定]。
5. 選取 [路由]，然後選取 [確定]。
6. 針對 [路由名稱]，輸入 fw-dg。
7. 針對 [位址首碼]，輸入 0.0.0.0/0。
8. 在 [下一個躍點類型] 中，選取 [虛擬設備]。 Azure 防火牆實際上是受管理的服務，但虛擬設備可在此情況下運作。
9. 在 [下一個躍點位址] 中，輸入您先前記下的防火牆私人 IP 位址。
10. 選取 [確定]。

設定應用程式規則

此應用程式規則允許對 www.google.com 進行輸出存取。

1. 開啟 [Test-FW-RG] 資源群組，然後選取 [fw-test-pol] 防火牆原則。
2. 選取 [應用程式規則]。
3. 選取 [新增規則集合]。
4. 針對 [名稱]，輸入 App-Coll01。
5. 針對 [優先順序]，輸入 200。
6. [規則集合動作] 請選取 [允許]。
7. 在 [規則] 底下，針對 [名稱] 輸入 Allow-Google。
8. 針對 [來源類型]，選取 [IP 位址]。
9. 針對 [來源]，輸入 10.0.2.0/24。
10. 針對 [通訊協定:連接埠]，輸入 http, https。
11. 針對 [目的地類型]，選取 [FQDN]。
12. 針對 [目的地]，輸入 www.google.com
13. 選取 [新增]。

Azure 防火牆包含一組內建規則集合，適用於預設為允許的基礎結構 FQDN。 這些 FQDN 為平台所特有，無法用於其他用途。 如需詳細資訊，請參閱基礎結構 FQDN。

設定網路規則

此網路規則允許透過連接埠 53，對兩個 IP 位址進行輸出存取 (DNS)。

1. 選取 [網路規則]。
2. 選取 [新增規則集合]。
3. 針對 [名稱]，輸入 Net-Coll01。
4. 針對 [優先順序]，輸入 200。
5. [規則集合動作] 請選取 [允許]。
6. 針對 [規則集合群組]，選取 [DefaultNetworkRuleCollectionGroup]。
7. 在 [規則] 底下，針對 [名稱] 輸入 Allow-DNS。
8. 針對 [來源類型]，選取 [IP 位址]。
9. 針對 [來源]，輸入 10.0.2.0/24。
10. 在 [通訊協定] 中，選取 [UDP]。
11. 針對 [目的地連接埠]，輸入 53。
12. 針對 [目的地類型]，選取 [IP 位址]。
13. 針對 [目的地]，輸入 209.244.0.3,209.244.0.4。
    這些是由 CenturyLink 運作的公用 DNS 伺服器。
14. 選取 [新增]。

設定 DNAT 規則

此規則可讓您透過防火牆將遠端桌面連線至 Srv-Work 虛擬機器。

1. 選取 [DNAT 規則]。
2. 選取 [新增規則集合]。
3. 針對 [名稱]，輸入 rdp。
4. 針對 [優先順序]，輸入 200。
5. 針對 [規則集合群組]，選取 [DefaultDnatRuleCollectionGroup]。
6. 在 [規則] 底下，針對 [名稱] 輸入 rdp-nat。
7. 針對 [來源類型]，選取 [IP 位址]。
8. 針對 [來源]，輸入 *。
9. 在 [通訊協定] 中，選取 [TCP]。
10. 針對 [目的地連接埠]，輸入 3389。
11. 針對 [目的地類型]，選取 [IP 位址]。
12. 針對 [目的地]，輸入防火牆公用 IP 位址。
13. 針對 [已轉譯位址]，輸入 Srv-work 私人 IP 位址。
14. 針對 [已轉譯連接埠]，輸入 3389。
15. 選取 [新增]。

變更 Srv-Work 網路介面的主要和次要 DNS 位址

本教學課程中，您可以就測試目的設定伺服器的主要和次要 DNS 位址。 這不是一般的 Azure 防火牆需求。

1. 在 Azure 入口網站功能表上，選取 [資源群組]，或從任何頁面搜尋並選取 [資源群組]。 選取 Test-FW-RG 資源群組。
2. 選取 Srv-Work 虛擬機器的網路介面。
3. 選取 [設定] 底下的 [DNS 伺服器]。
4. 選取 [DNS 伺服器] 底下的 [自訂]。
5. 在 [新增 DNS 伺服器] 文字輸入框中，輸入 209.244.0.3，然後在下一個文字輸入框中輸入 209.244.0.4。
6. 選取 [儲存]。
7. 重新啟動 Srv-Work 虛擬機器。

測試防火牆

現在請測試防火牆，以確認其運作符合預期。

1. 將遠端桌面連線至防火牆公用 IP 位址，並登入 Srv-Work 虛擬機器。

2. 開啟 Internet Explorer 並瀏覽至 https://www.google.com。

3. 在 Internet Explorer 安全性警示上，選取 [確認]>[關閉]。

   您應該會看到 Google 首頁。

4. 瀏覽至 https://www.microsoft.com。

   您應該會遭到防火牆封鎖。

因此，現在您已確認防火牆規則正在運作：

• 您可以瀏覽至允許 FQDN 的防火牆規則，但不可瀏覽至任何其他的防火牆規則。
• 您可以使用設定的外部 DNS 伺服器來解析 DNS 名稱。

清除資源

您可以保留防火牆資源供下一個教學課程使用。若不再需要，則可刪除 Test-FW-RG 資源群組，以將所有防火牆相關資源刪除。

下一步

部署和設定 Azure 防火牆進階版