Oktatóanyag: Azure Firewall és szabályzat üzembe helyezése és konfigurálása a Azure Portal használatával
A kimenő hálózati hozzáférés ellenőrzése az általános hálózati biztonsági terv fontos részét képezi. Előfordulhat például, hogy korlátozni szeretné a webhelyekhez való hozzáférést. Vagy korlátozhatja az elérhető kimenő IP-címeket és portokat.
Az Azure-alhálózatról történő kimenő hálózati hozzáférés szabályozásának egyik módja a Azure Firewall és a tűzfalszabályzat. A Azure Firewall és a tűzfalszabályzat segítségével a következő beállításokat konfigurálhatja:
- Alkalmazásszabályokat, amelyek egy alhálózatról elérhető teljes tartományneveket (FQDN) határoznak meg.
- Hálózatszabályokat, amelyek forráscímet, protokollt, valamint célportot és célcímet határoznak meg.
A hálózati forgalmat a konfigurált tűzfalszabályok irányítják, ha alapértelmezett alhálózati átjáróként irányítja a tűzfalhoz a forgalmat.
Ebben az oktatóanyagban egy egyszerűsített, két alhálózattal rendelkező virtuális hálózatot hoz létre az egyszerű üzembe helyezés érdekében.
- AzureFirewallSubnet – ezen az alhálózaton található a tűzfal.
- Workload-SN – ezen az alhálózaton található a számítási feladat kiszolgálója. Ennek az alhálózatnak a hálózati forgalma a tűzfalon halad át.
Éles környezetekben a küllős és a küllős modell használata ajánlott, ahol a tűzfal a saját virtuális hálózatában található. A számítási feladatok kiszolgálói egy vagy több alhálózattal rendelkező, egy régióban lévő virtuális társhálózatokban találhatók.
Eben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Tesztelési hálózati környezet beállítása
- Tűzfal- és tűzfalszabályzat üzembe helyezése
- Alapértelmezett útvonal létrehozása
- Alkalmazásszabály konfigurálása a www.google.com való hozzáférés engedélyezéséhez
- Hálózatszabály konfigurálása külső DNS-kiszolgálókhoz való hozzáférés engedélyezéséhez
- NAT-szabály konfigurálása távoli asztal tesztelési kiszolgálóhoz való engedélyezéséhez
- A tűzfal tesztelése
Ha szeretné, ezt az eljárást a Azure PowerShell használatával hajthatja végre.
Előfeltételek
Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.
A hálózat beállítása
Először is hozzon létre egy erőforráscsoportot, amely a tűzfal üzembe helyezéséhez szükséges erőforrásokat tartalmazza. Ezután hozzon létre egy virtuális hálózatot, alhálózatokat és egy tesztkiszolgálót.
Erőforráscsoport létrehozása
Az erőforráscsoport tartalmazza az oktatóanyag összes erőforrását.
Jelentkezzen be az Azure Portalra.
A Azure Portal menüben válassza az Erőforráscsoportok lehetőséget, vagy keressen rá, és válassza az Erőforráscsoportok elemet bármelyik oldalról, majd válassza a Hozzáadás lehetőséget. Adja meg vagy válassza ki a következő értékeket:
Beállítás Érték Előfizetés Válassza ki Azure-előfizetését. Erőforráscsoport Adja meg a Test-FW-RG nevet. Region Válasszon régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie. Válassza a Felülvizsgálat és létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
Virtuális hálózat létrehozása
Ennek a virtuális hálózatnak két alhálózata lesz.
Megjegyzés
Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért lásd Azure Firewall gyakori kérdéseket.
Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.
Válassza a Hálózat lehetőséget.
Keressen rá a virtuális hálózatra , és válassza ki.
Válassza a Létrehozás lehetőséget, majd adja meg vagy válassza ki a következő értékeket:
Beállítás Érték Előfizetés Válassza ki Azure-előfizetését. Erőforráscsoport Válassza a Test-FW-RG lehetőséget. Name Adja meg a Test-FW-VN értéket. Region Válassza ki ugyanazt a helyet, amelyet korábban használt. Válassza a Tovább: IP-címek lehetőséget.
IPv4-címtartomány esetén fogadja el az alapértelmezett 10.0.0.0/16 értéket.
Az Alhálózat területen válassza az alapértelmezett lehetőséget.
Az Alhálózat neve mezőben módosítsa a nevet AzureFirewallSubnet névre. Ezen az alhálózaton lesz a tűzfal. Az alhálózat neve kizárólag AzureFirewallSubnet lehet.
A Címtartomány mezőbe írja be a 10.0.1.0/26 értéket.
Kattintson a Mentés gombra.
Ezután hozzon létre egy alhálózatot a számítási feladat kiszolgálója számára.
Válassza az Alhálózat hozzáadása lehetőséget.
Az Alhálózat neve mezőbe írja be a Workload-SN nevet.
Az Alhálózat címtartománya mezőbe írja be a 10.0.2.0/24 értéket.
Válassza a Hozzáadás lehetőséget.
Válassza a Felülvizsgálat és létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
Virtuális gép létrehozása
Most hozza létre a számítási feladat virtuális gépét, és helyezze el a Workload-SN alhálózatban.
Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.
Válassza a Windows Server 2019 Datacenter lehetőséget.
Adja meg vagy válassza ki a virtuális gép alábbi értékeit:
Beállítás Érték Előfizetés Válassza ki Azure-előfizetését. Erőforráscsoport Válassza a Test-FW-RG lehetőséget. Virtuális gép neve Írja be az Srv-Work kifejezést. Region Válassza ki ugyanazt a helyet, amelyet korábban használt. Felhasználónév Adjon meg egy felhasználónevet. Jelszó Adjon meg egy jelszót. A Bejövő portszabályok területen a Nyilvános bejövő portok területen válassza a Nincs lehetőséget.
Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Lemezek lehetőséget.
Fogadja el az alapértelmezett lemezeket, és válassza a Tovább: Hálózatkezelés lehetőséget.
Győződjön meg arról, hogy a Test-FW-VN van kiválasztva a virtuális hálózathoz, az alhálózat pedig a Workload-SN.
Nyilvános IP-cím esetén válassza a Nincs lehetőséget.
Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.
Válassza a Letiltás lehetőséget a rendszerindítási diagnosztika letiltásához. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.
Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.
Az üzembe helyezés befejezése után válassza ki az Srv-Work erőforrást, és jegyezze fel a privát IP-címet későbbi használatra.
A tűzfal és a szabályzat üzembe helyezése
Helyezze üzembe a tűzfalat a virtuális hálózaton.
Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.
Írja be a tűzfal kifejezést a keresőmezőbe, és nyomja le az Enter billentyűt.
Válassza a Tűzfal , majd a Létrehozás lehetőséget.
A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:
Beállítás Érték Előfizetés Válassza ki Azure-előfizetését. Erőforráscsoport Válassza a Test-FW-RG lehetőséget. Name Adja meg a Test-FW01 kifejezést. Region Válassza ki ugyanazt a helyet, amelyet korábban használt. Tűzfalkezelés Válassza a Tűzfalszabályzat használata a tűzfal kezeléséhez lehetőséget. Tűzfalszabályzat Válassza az Új hozzáadása lehetőséget, és írja be az fw-test-pol kifejezést.
Válassza ki ugyanazt a régiót, amelyet korábban használt.Válasszon egy virtuális hálózatot Válassza a Meglévő használata, majd a Test-FW-VN lehetőséget. Nyilvános IP-cím Válassza az Új hozzáadása lehetőséget, és adja meg a név fw-pipértékét. Fogadja el a többi alapértelmezett értéket, majd válassza a Véleményezés + létrehozás lehetőséget.
Tekintse át az összefoglalást, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.
Az üzembe helyezés néhány percet vesz igénybe.
Az üzembe helyezés befejezése után lépjen a Test-FW-RG erőforráscsoportra, és válassza a Test-FW01 tűzfalat.
Jegyezze fel a tűzfal privát és nyilvános IP-címeit. Ezeket a címeket később fogja használni.
Alapértelmezett útvonal létrehozása
A Workload-SN alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.
A Azure Portal menüben válassza a Minden szolgáltatás lehetőséget, vagy keressen rá, és válassza a Minden szolgáltatás lehetőséget bármelyik oldalról.
A Hálózat területen válassza az Útvonaltáblák lehetőséget.
Válassza a Létrehozás lehetőséget, majd adja meg vagy válassza ki a következő értékeket:
Beállítás Érték Előfizetés Válassza ki Azure-előfizetését. Erőforráscsoport Válassza a Test-FW-RG lehetőséget. Region Válassza ki ugyanazt a helyet, amelyet korábban használt. Name Írja be a Tűzfalútvonal kifejezést. Válassza a Felülvizsgálat és létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget.
- A Tűzfalútvonal lapon válassza az Alhálózatok , majd a Társítás lehetőséget.
- Válassza aTest-FW-VNvirtuális hálózat> lehetőséget.
- Alhálózat esetén válassza a Workload-SN elemet. Győződjön meg arról, hogy ehhez az útvonalhoz csak a Workload-SN alhálózatot választja, különben a tűzfal nem fog megfelelően működni.
- Válassza az OK lehetőséget.
- Válassza az Útvonalak , majd a Hozzáadás lehetőséget.
- Az Útvonal neve mezőbe írja be az fw-dg nevet.
- A Cím előtag mezőbe írja be a 0.0.0.0/0 értéket.
- A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget. Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.
- A Következő ugrási cím mezőben adja meg a korábban feljegyzett tűzfal magánhálózati IP-címét.
- Válassza az OK lehetőséget.
Alkalmazásszabály konfigurálása
Ez az az alkalmazásszabály, amely engedélyezi a kimenő hozzáférést a következőhöz www.google.com
: .
- Nyissa meg a Test-FW-RG erőforráscsoportot, és válassza ki az fw-test-pol tűzfalszabályzatot.
- Válassza az Alkalmazásszabályok lehetőséget.
- Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
- A Név mezőbe írja be az App-Coll01 nevet.
- A Prioritás mezőbe írja be a 200 értéket.
- A Szabálygyűjtemény műveletnél válassza az Engedélyezés lehetőséget.
- A Szabályok területen a Név mezőben adja meg az Allow-Google nevet.
- A Forrás típusa mezőben válassza az IP-cím lehetőséget.
- A Forrás mezőbe írja be a 10.0.2.0/24 értéket.
- A Protocol:port mezőbe írja be a http, https értéket.
- A Céltípus mezőben válassza az FQDN elemet.
- A Cél mezőbe írja be a következőt:
www.google.com
- Válassza a Hozzáadás lehetőséget.
Az Azure Firewall tartalmaz egy beépített szabálygyűjteményt az infrastruktúra alapértelmezés szerint engedélyezett teljes tartományneveiről. Ezek a teljes tartománynevek csak az adott platformra vonatkoznak, egyéb célra nem használhatók. További információ: Infrastruktúra FQDN-jei.
Hálózatszabály konfigurálása
Ez az a hálózatszabály, amely lehetővé teszi a kimenő hozzáférést két IP-címhez az 53-as porton (DNS).
- Válassza a Hálózati szabályok lehetőséget.
- Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
- A Név mezőbe írja be a Net-Coll01 kifejezést.
- A Prioritás mezőbe írja be a 200 értéket.
- A Szabálygyűjtemény műveletnél válassza az Engedélyezés lehetőséget.
- A Szabálygyűjtemény csoportban válassza a DefaultNetworkRuleCollectionGroup lehetőséget.
- A Szabályok területen a Név mezőben adja meg az Allow-DNS nevet.
- A Forrás típusa mezőben válassza az IP-cím lehetőséget.
- A Forrás mezőbe írja be a 10.0.2.0/24 értéket.
- A Protokoll beállításnál válassza az UDP lehetőséget.
- A Célportok mezőbe írja be az 53 értéket.
- A Cél típusa mezőben válassza az IP-címet.
- A Cél mezőbe írja be a 209.244.0.3,209.244.0.4 értéket.
Ezek a CenturyLink által üzemeltetett nyilvános DNS-kiszolgálók. - Válassza a Hozzáadás lehetőséget.
DNAT-szabály konfigurálása
Ez a szabály lehetővé teszi egy távoli asztal csatlakoztatását az Srv-Work virtuális géphez a tűzfalon keresztül.
- Válassza ki a DNST-szabályokat.
- Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
- A Név mezőbe írja be az rdp értéket.
- A Prioritás mezőbe írja be a 200 értéket.
- A Szabálygyűjtemény csoportban válassza a DefaultDnatRuleCollectionGroup lehetőséget.
- A Szabályok területen a Név mezőben adja meg az rdp-nat nevet.
- A Forrás típusa mezőben válassza az IP-cím lehetőséget.
- A Forrás mezőbe írja be a következőt *: .
- A Protokoll beállításnál válassza a TCP lehetőséget.
- A Célportok mezőbe írja be a 3389 értéket.
- A Céltípus mezőben válassza az IP-cím lehetőséget.
- A Cél mezőben adja meg a tűzfal nyilvános IP-címét.
- A Lefordított cím mezőben adja meg az Srv-work privát IP-címét.
- A Lefordított port mezőbe írja be a 3389 értéket.
- Válassza a Hozzáadás lehetőséget.
Módosítsa az Srv-Work hálózati adapter elsődleges és másodlagos DNS-címét.
Ebben az oktatóanyagban tesztelési célokra konfigurálja a kiszolgáló elsődleges és másodlagos DNS-címét. Ez nem általános Azure Firewall követelmény.
- A Azure Portal menüben válassza az Erőforráscsoportok lehetőséget, vagy keressen rá, és válassza az Erőforráscsoportok elemet bármelyik oldalról. Válassza a Test-FW-RG erőforráscsoportot.
- Válassza ki az Srv-Work virtuális gép hálózati adapterét.
- A Beállítások területen válassza a DNS-kiszolgálók lehetőséget.
- A DNS-kiszolgálók területen válassza az Egyéni lehetőséget.
- Írja be a 209.244.0.3 értéket a DNS-kiszolgáló hozzáadása szövegmezőbe, a következő szövegmezőbe pedig a 209.244.0.4 értéket.
- Kattintson a Mentés gombra.
- Indítsa újra az Srv-Work virtuális gépet.
A tűzfal tesztelése
Most tesztelje a tűzfalat, és ellenőrizze, hogy a várt módon működik-e.
Csatlakoztassa a távoli asztalt a nyilvános IP-cím tűzfalához, és jelentkezzen be az Srv-Work virtuális gépre.
Nyissa meg az Internet Explorert, és navigáljon a következő címre:
https://www.google.com
.Válassza az OK>Bezárás lehetőséget az Internet Explorer biztonsági riasztásai között.
Meg kell jelennie a Google kezdőlapjának.
Nyissa meg a következő címet:
https://www.microsoft.com
.A tűzfal blokkolja a hozzáférést.
Most már ellenőrizte, hogy a tűzfalszabályok működnek-e:
- Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.
- Fel tudja oldani a DNS-neveket a konfigurált külső DNS-kiszolgálóval.
Az erőforrások eltávolítása
A tűzfalhoz kapcsolódó erőforrásokat a következő oktatóanyagban is használhatja, vagy ha már nincs rá szükség, törölje a Test-FW-RG erőforráscsoportot, és vele együtt a tűzfalhoz kapcsolódó összes erőforrást.