Kurz: Nasazení a konfigurace Azure Firewall a zásad pomocí Azure Portal

  • Článek
  • 7 min ke čtení

Řízení odchozího síťového přístupu je důležitou součástí celkového plánu zabezpečení sítě. Můžete například chtít omezit přístup k webům. Nebo můžete chtít omezit odchozí IP adresy a porty, ke kterým je možné získat přístup.

Jedním ze způsob, jak řídit odchozí síťový přístup z podsítě Azure, je použít Azure Firewall a zásady brány firewall. Pomocí Azure Firewall a zásad brány firewall můžete nakonfigurovat:

  • Pravidla aplikace, která definují plně kvalifikované názvy domén, ke kterým je možné získat přístup z podsítě.
  • Pravidla sítě, která definují zdrojovou adresu, protokol, cílový port a cílovou adresu.

Síťový provoz podléhá nakonfigurovaným pravidlům brány firewall, když ho směrujete na bránu firewall jako na výchozí bránu podsítě.

Pro tento kurz vytvoříte zjednodušenou jednu virtuální síť se dvěma podsítěmi pro snadné nasazení.

Pro produkční nasazení se doporučuje model centra a paprsku, ve kterém je brána firewall ve své vlastní virtuální síti. Servery úloh jsou ve virtuálních sítích v partnerském vztahu ve stejné oblasti s jednou nebo více podsítěmi.

  • AzureFirewallSubnet – v této podsíti bude brána firewall.
  • Workload-SN – v této podsíti bude server úloh. Provoz této podsítě bude procházet bránou firewall.

Kurz síťové infrastruktury

V tomto kurzu se naučíte:

  • Nastavit testovací síťové prostředí
  • Nasazení brány firewall a zásad brány firewall
  • Vytvoření výchozí trasy
  • Nakonfigurujte pravidlo aplikace, které povolí přístup k www.google.com
  • Nakonfigurovat pravidlo sítě pro povolení přístupu k externím serverům DNS
  • Nakonfigurujte pravidlo NAT, které testovacímu serveru povolí vzdálenou plochu.
  • Testování brány firewall

Pokud chcete, můžete tento postup provést pomocí Azure PowerShell.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Nastavit síť

Nejprve vytvořte skupinu prostředků obsahující prostředky potřebné k nasazení brány firewall. Pak vytvořte virtuální síť, podsítě a testovací server.

Vytvoření skupiny prostředků

Skupina prostředků obsahuje všechny prostředky pro tento kurz.

  1. Přihlaste se k webu Azure Portal na adrese https://portal.azure.com.
  2. V nabídce Azure Portal vyberte Skupiny prostředků nebo na libovolné stránce vyhledejte a vyberte Skupiny prostředků. Pak vyberte Přidat.
  3. V části Předplatné vyberte své předplatné.
  4. Jako Název skupiny prostředků zadejte Test-FW-RG.
  5. Jako Oblast vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Vytvoření virtuální sítě

Tato virtuální síť bude mít tři podsítě.

Poznámka

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v tématu Azure Firewall nejčastější dotazy.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Sítě.

  3. Vyhledejte Virtuální síť a vyberte ji.

  4. Vyberte Vytvořit.

  5. V části Předplatné vyberte své předplatné.

  6. V seznamu Skupina prostředků vyberte Test-FW-RG.

  7. Jako Název zadejte Test-FW-VN.

  8. V oblasti Oblast vyberte stejné umístění, které jste použili dříve.

  9. Vyberte Další: IP adresy.

  10. V případě adresního prostoru IPv4 přijměte výchozí hodnotu 10.0.0.0/16.

  11. V části Podsíť vyberte výchozí .

  12. V poli Název podsítě změňte název na AzureFirewallSubnet. Brána firewall bude v této podsíti a název podsítě musí být AzureFirewallSubnet.

  13. Jako Rozsah adres zadejte 10.0.1.0/26.

  14. Vyberte Uložit.

    Dále vytvořte podsíť pro server úloh.

  15. Vyberte Přidat podsíť.

  16. Jako Název podsítě zadejte Workload-SN.

  17. Jako Rozsah adres podsítě zadejte 10.0.2.0/24.

  18. Vyberte Přidat.

  19. Vyberte Zkontrolovat a vytvořit.

  20. Vyberte Vytvořit.

Vytvoření virtuálního počítače

Teď vytvořte virtuální počítač úlohy a umístěte ho do podsítě Workload-SN.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Windows Server 2016 Datacenter.

  3. Zadejte pro virtuální počítač tyto hodnoty:

    Nastavení Hodnota
    Skupina prostředků Test-FW-RG
    Název virtuálního počítače Srv-Work
    Oblast Stejné jako předchozí
    Image Windows Server 2016 Datacenter
    Uživatelské jméno správce Zadání uživatelského jména
    Heslo Zadání hesla

  4. V části Pravidla portů pro příchozí spojení vyberte Veřejné příchozí porty a vyberte Žádné.

  5. Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.

  6. Přijměte výchozí nastavení disku a vyberte Další: Sítě.

  7. Ujistěte se, že je pro virtuální síť vybraná možnost Test-FW-VN a podsíť je Workload-SN.

  8. V oblasti Veřejná IP adresa vyberte Žádná.

  9. Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.

  10. Pokud chcete zakázat diagnostiku spouštění, vyberte Zakázat. Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.

  11. Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

  12. Po dokončení nasazení vyberte prostředek Srv-Work a poznamenejte si privátní IP adresu pro pozdější použití.

Nasazení brány firewall a zásad

Nasaďte do virtuální sítě bránu firewall.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte firewall a stiskněte Enter.

  3. Vyberte Brána firewall a pak vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <your subscription>
    Skupina prostředků Test-FW-RG
    Name Test-FW01
    Oblast Vyberte dříve použité umístění.
    Správa brány firewall Použití zásad brány firewall ke správě této brány firewall
    Zásady brány firewall Přidat nový:
    fw-test-pol
    vybranou oblast
    Volba virtuální sítě Použít existující: Test-FW-VN
    Veřejná IP adresa Přidat nový:
    Název: fw-pip

  5. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  6. Zkontrolujte souhrn a pak vyberte Vytvořit a vytvořte bránu firewall.

    Nasazení může několik minut trvat.

  7. Po dokončení nasazení přejděte do skupiny prostředků Test-FW-RG a vyberte bránu firewall Test-FW01.

  8. Poznamenejte si privátní a veřejné IP adresy brány firewall. Tyto adresy použijete později.

Vytvoření výchozí trasy

U podsítě Workload-SN nakonfigurujte výchozí trasu v odchozím směru, která půjde přes bránu firewall.

  1. V nabídce Azure Portal vyberte Všechny služby nebo vyhledejte a vyberte Všechny služby na libovolné stránce.
  2. V části Sítě vyberte Směrovací tabulky.
  3. Vyberte Přidat.
  4. V části Předplatné vyberte své předplatné.
  5. V seznamu Skupina prostředků vyberte Test-FW-RG.
  6. V oblasti Oblast vyberte stejné umístění, které jste použili dříve.
  7. Jako Název zadejte Firewall-route.
  8. Vyberte Zkontrolovat a vytvořit.
  9. Vyberte Vytvořit.

Po dokončení nasazení vyberte Přejít k prostředku.

  1. Na stránce Firewall-route (Trasa brány firewall) vyberte Subnets (Podsítě) a pak vyberte Associate (Přidružit).

  2. Vyberte Virtuální síť > Test-FW-VN.

  3. Jako Podsíť vyberte Workload-SN. Ujistěte se, že pro tuto trasu vyberete jenom podsíť Workload-SN, jinak brána firewall nebude fungovat správně.

  4. Vyberte OK.

  5. Vyberte Trasy a pak vyberte Přidat.

  6. Jako Název trasy zadejte fw-dg.

  7. V části Předpona IP adresy zadejte 0.0.0.0/0.

  8. V části Typ dalšího směrování vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.

  9. V části Adresa dalšího směrování zadejte dříve poznamenanou privátní IP adresu brány firewall.

  10. Vyberte OK.

Konfigurace pravidla aplikace

Toto je pravidlo aplikace, které umožňuje odchozí přístup k www.google.com .

  1. Otevřete soubor Test-FW-RG a vyberte zásadu brány firewall fw-test-pol.
  2. Vyberte Pravidla aplikací.
  3. Vyberte Přidat kolekci pravidel.
  4. Jako Název zadejte App-Coll01.
  5. V části Priorita zadejte 200.
  6. V seznamu Akce kolekce pravidel vyberte Povolit.
  7. V části Pravidla jako Název zadejte Allow-Google.
  8. Jako Typ zdroje vyberte IP adresa.
  9. Jako Zdroj zadejte 10.0.2.0/24.
  10. V části Protokol:Port zadejte http, https.
  11. Jako Typ cíle vyberte Plně kvalifikovaný název domény.
  12. Do pole Cíl zadejte . www.google.com
  13. Vyberte Přidat.

Brána Azure Firewall obsahuje předdefinovanou kolekci pravidel pro infrastrukturu plně kvalifikovaných názvů domén, které jsou ve výchozím nastavení povolené. Tyto plně kvalifikované názvy domén jsou specifické pro tuto platformu a pro jiné účely je nelze použít. Další informace najdete v tématu Plně kvalifikované názvy domén infrastruktury.

Konfigurace pravidla sítě

Toto pravidlo sítě povoluje odchozí přístup ke dvěma IP adresám na portu 53 (DNS).

  1. Vyberte Pravidla sítě.
  2. Vyberte Přidat kolekci pravidel.
  3. Jako název zadejte Net-Coll01.
  4. V části Priorita zadejte 200.
  5. V seznamu Akce kolekce pravidel vyberte Povolit.
  6. V seznamu Skupina kolekcí pravidel vyberte DefaultNetworkRuleCollectionGroup.
  7. V části Pravidla jako Název zadejte Allow-DNS.
  8. Jako Typ zdroje vyberte IP adresa.
  9. Jako Zdroj zadejte 10.0.2.0/24.
  10. V části Protokol vyberte UDP.
  11. V části Cílové porty zadejte 53.
  12. Jako Typ cíle vyberte IP adresa.
  13. Do pole Cíl zadejte 209.244.0.3,209.244.0.4.
    Jedná se o veřejné servery DNS provozované společností CenturyLink.
  14. Vyberte Přidat.

Konfigurace pravidla DNAT

Toto pravidlo umožňuje připojit vzdálenou plochu k virtuálnímu počítači Srv-Work přes bránu firewall.

  1. Vyberte pravidla DNAT.
  2. Vyberte Přidat kolekci pravidel.
  3. Jako Název zadejte rdp.
  4. V části Priorita zadejte 200.
  5. V seznamu Skupina kolekcí pravidel vyberte DefaultDnatRuleCollectionGroup.
  6. V části Pravidla jako Název zadejte rdp-nat.
  7. Jako Typ zdroje vyberte IP adresa.
  8. Jako Zdroj zadejte * .
  9. V části Protokol vyberte TCP.
  10. Do pole Cílové porty zadejte 3389.
  11. Jako Typ cíle vyberte IP adresa.
  12. Do pole Cíl zadejte veřejnou IP adresu brány firewall.
  13. Do pole Přeložená adresa zadejte privátní IP adresu Srv-work.
  14. Do pole Přeložený port zadejte 3389.
  15. Vyberte Přidat.

Změna primární a sekundární adresy DNS u síťového rozhraní Srv-Work

Pro účely testování v tomto kurzu nakonfigurujte primární a sekundární adresy DNS serveru. Toto není obecný Azure Firewall požadavků.

  1. V nabídce Azure Portal vyberte Skupiny prostředků nebo na libovolné stránce vyhledejte a vyberte Skupiny prostředků. Vyberte skupinu prostředků Test-FW-RG.
  2. Vyberte síťové rozhraní pro virtuální počítač Srv-Work.
  3. V Nastavení vyberte Servery DNS.
  4. V části Servery DNS vyberte Vlastní.
  5. Do textového pole Přidat server DNS zadejte 209.244.0.3 a do dalšího textového pole zadejte 209.244.0.4.
  6. Vyberte Uložit.
  7. Restartujte virtuální počítač Srv-Work.

Testování brány firewall

Teď bránu firewall otestujte a ověřte, že funguje podle očekávání.

  1. Připojení veřejné IP adresy brány firewall a přihlaste se k virtuálnímu počítači Srv-Work.

  2. Otevřete prohlížeč Internet Explorer a přejděte na adresu https://www.google.com.

  3. Vyberte OK > Zavřít na Internet Explorer zabezpečení.

    Měla by se zobrazit domovská stránka Google.

  4. Přejděte na adresu https://www.microsoft.com.

    Brána firewall by vás měla zablokovat.

Teď jste ověřili, že pravidla brány firewall fungují:

  • Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.
  • Názvy DNS můžete přeložit pomocí nakonfigurovaného externího serveru DNS.

Vyčištění prostředků

Prostředky brány firewall si můžete ponechat pro další kurz, nebo můžete odstraněním skupiny prostředků Test-FW-RG odstranit všechny prostředky související z bránou firewall, pokud už je nepotřebujete.

Další kroky

Nasazení a konfigurace Azure Firewall Premium