Share via

Oktatóanyag: Azure Firewall és szabályzat üzembe helyezése és konfigurálása a Azure Portal használatával

  • Cikk

A kimenő hálózati hozzáférés ellenőrzése az általános hálózati biztonsági terv fontos részét képezi. Előfordulhat például, hogy korlátozni szeretné a webhelyekhez való hozzáférést. Vagy korlátozhatja az elérhető kimenő IP-címeket és portokat.

Az Azure-alhálózatról történő kimenő hálózati hozzáférés szabályozásának egyik módja a Azure Firewall és a tűzfalszabályzat. A Azure Firewall és a tűzfalszabályzat segítségével a következő beállításokat konfigurálhatja:

  • Alkalmazásszabályokat, amelyek egy alhálózatról elérhető teljes tartományneveket (FQDN) határoznak meg.
  • Hálózatszabályokat, amelyek forráscímet, protokollt, valamint célportot és célcímet határoznak meg.

A hálózati forgalmat a konfigurált tűzfalszabályok irányítják, ha alapértelmezett alhálózati átjáróként irányítja a tűzfalhoz a forgalmat.

Ebben az oktatóanyagban egy egyszerűsített, két alhálózattal rendelkező virtuális hálózatot hoz létre az egyszerű üzembe helyezés érdekében.

  • AzureFirewallSubnet – ezen az alhálózaton található a tűzfal.
  • Workload-SN – ezen az alhálózaton található a számítási feladat kiszolgálója. Ennek az alhálózatnak a hálózati forgalma a tűzfalon halad át.

Az oktatóanyag hálózati infrastruktúrája

Éles környezetekben a küllős és a küllős modell használata ajánlott, ahol a tűzfal a saját virtuális hálózatában található. A számítási feladatok kiszolgálói egy vagy több alhálózattal rendelkező, egy régióban lévő virtuális társhálózatokban találhatók.

Eben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Tesztelési hálózati környezet beállítása
  • Tűzfal- és tűzfalszabályzat üzembe helyezése
  • Alapértelmezett útvonal létrehozása
  • Alkalmazásszabály konfigurálása a www.google.com való hozzáférés engedélyezéséhez
  • Hálózatszabály konfigurálása külső DNS-kiszolgálókhoz való hozzáférés engedélyezéséhez
  • NAT-szabály konfigurálása távoli asztal tesztelési kiszolgálóhoz való engedélyezéséhez
  • A tűzfal tesztelése

Ha szeretné, ezt az eljárást a Azure PowerShell használatával hajthatja végre.

Előfeltételek

Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.

A hálózat beállítása

Először is hozzon létre egy erőforráscsoportot, amely a tűzfal üzembe helyezéséhez szükséges erőforrásokat tartalmazza. Ezután hozzon létre egy virtuális hálózatot, alhálózatokat és egy tesztkiszolgálót.

Erőforráscsoport létrehozása

Az erőforráscsoport tartalmazza az oktatóanyag összes erőforrását.

  1. Jelentkezzen be az Azure Portalra.

  2. A Azure Portal menüben válassza az Erőforráscsoportok lehetőséget, vagy keressen rá, és válassza az Erőforráscsoportok elemet bármelyik oldalról, majd válassza a Hozzáadás lehetőséget. Adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Válassza ki Azure-előfizetését.
    Erőforráscsoport Adja meg a Test-FW-RG nevet.
    Region Válasszon régiót. Minden más létrehozott erőforrásnak ugyanabban a régióban kell lennie.

  3. Válassza a Felülvizsgálat és létrehozás lehetőséget.

  4. Válassza a Létrehozás lehetőséget.

Virtuális hálózat létrehozása

Ennek a virtuális hálózatnak két alhálózata lesz.

Megjegyzés

Az AzureFirewallSubnet alhálózat mérete /26. Az alhálózat méretével kapcsolatos további információkért lásd Azure Firewall gyakori kérdéseket.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Válassza a Hálózat lehetőséget.

  3. Keressen rá a virtuális hálózatra , és válassza ki.

  4. Válassza a Létrehozás lehetőséget, majd adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Válassza ki Azure-előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Name Adja meg a Test-FW-VN értéket.
    Region Válassza ki ugyanazt a helyet, amelyet korábban használt.

  5. Válassza a Tovább: IP-címek lehetőséget.

  6. IPv4-címtartomány esetén fogadja el az alapértelmezett 10.0.0.0/16 értéket.

  7. Az Alhálózat területen válassza az alapértelmezett lehetőséget.

  8. Az Alhálózat neve mezőben módosítsa a nevet AzureFirewallSubnet névre. Ezen az alhálózaton lesz a tűzfal. Az alhálózat neve kizárólag AzureFirewallSubnet lehet.

  9. A Címtartomány mezőbe írja be a 10.0.1.0/26 értéket.

  10. Kattintson a Mentés gombra.

    Ezután hozzon létre egy alhálózatot a számítási feladat kiszolgálója számára.

  11. Válassza az Alhálózat hozzáadása lehetőséget.

  12. Az Alhálózat neve mezőbe írja be a Workload-SN nevet.

  13. Az Alhálózat címtartománya mezőbe írja be a 10.0.2.0/24 értéket.

  14. Válassza a Hozzáadás lehetőséget.

  15. Válassza a Felülvizsgálat és létrehozás lehetőséget.

  16. Válassza a Létrehozás lehetőséget.

Virtuális gép létrehozása

Most hozza létre a számítási feladat virtuális gépét, és helyezze el a Workload-SN alhálózatban.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Válassza a Windows Server 2019 Datacenter lehetőséget.

  3. Adja meg vagy válassza ki a virtuális gép alábbi értékeit:

    Beállítás Érték
    Előfizetés Válassza ki Azure-előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Virtuális gép neve Írja be az Srv-Work kifejezést.
    Region Válassza ki ugyanazt a helyet, amelyet korábban használt.
    Felhasználónév Adjon meg egy felhasználónevet.
    Jelszó Adjon meg egy jelszót.

  4. A Bejövő portszabályok területen a Nyilvános bejövő portok területen válassza a Nincs lehetőséget.

  5. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Lemezek lehetőséget.

  6. Fogadja el az alapértelmezett lemezeket, és válassza a Tovább: Hálózatkezelés lehetőséget.

  7. Győződjön meg arról, hogy a Test-FW-VN van kiválasztva a virtuális hálózathoz, az alhálózat pedig a Workload-SN.

  8. Nyilvános IP-cím esetén válassza a Nincs lehetőséget.

  9. Fogadja el a többi alapértelmezett beállítást, és válassza a Tovább: Kezelés lehetőséget.

  10. Válassza a Letiltás lehetőséget a rendszerindítási diagnosztika letiltásához. Fogadja el a többi alapértelmezett beállítást, és válassza a Véleményezés + létrehozás lehetőséget.

  11. Tekintse át az összefoglaló oldalon található beállításokat, majd válassza a Létrehozás lehetőséget.

  12. Az üzembe helyezés befejezése után válassza ki az Srv-Work erőforrást, és jegyezze fel a privát IP-címet későbbi használatra.

A tűzfal és a szabályzat üzembe helyezése

Helyezze üzembe a tűzfalat a virtuális hálózaton.

  1. Az Azure Portal menüjében vagy a Kezdőlapon válassza az Erőforrás létrehozása elemet.

  2. Írja be a tűzfal kifejezést a keresőmezőbe, és nyomja le az Enter billentyűt.

  3. Válassza a Tűzfal , majd a Létrehozás lehetőséget.

  4. A Tűzfal létrehozása oldalon konfigurálja a tűzfalat a következő táblázatban található értékekkel:

    Beállítás Érték
    Előfizetés Válassza ki Azure-előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Name Adja meg a Test-FW01 kifejezést.
    Region Válassza ki ugyanazt a helyet, amelyet korábban használt.
    Tűzfalkezelés Válassza a Tűzfalszabályzat használata a tűzfal kezeléséhez lehetőséget.
    Tűzfalszabályzat Válassza az Új hozzáadása lehetőséget, és írja be az fw-test-pol kifejezést.
    Válassza ki ugyanazt a régiót, amelyet korábban használt.
    Válasszon egy virtuális hálózatot Válassza a Meglévő használata, majd a Test-FW-VN lehetőséget.
    Nyilvános IP-cím Válassza az Új hozzáadása lehetőséget, és adja meg a név fw-pipértékét.

  5. Fogadja el a többi alapértelmezett értéket, majd válassza a Véleményezés + létrehozás lehetőséget.

  6. Tekintse át az összefoglalást, majd válassza a Létrehozás lehetőséget a tűzfal létrehozásához.

    Az üzembe helyezés néhány percet vesz igénybe.

  7. Az üzembe helyezés befejezése után lépjen a Test-FW-RG erőforráscsoportra, és válassza a Test-FW01 tűzfalat.

  8. Jegyezze fel a tűzfal privát és nyilvános IP-címeit. Ezeket a címeket később fogja használni.

Alapértelmezett útvonal létrehozása

A Workload-SN alhálózatot konfigurálja úgy, hogy a kimenő alapértelmezett útvonal áthaladjon a tűzfalon.

  1. A Azure Portal menüben válassza a Minden szolgáltatás lehetőséget, vagy keressen rá, és válassza a Minden szolgáltatás lehetőséget bármelyik oldalról.

  2. A Hálózat területen válassza az Útvonaltáblák lehetőséget.

  3. Válassza a Létrehozás lehetőséget, majd adja meg vagy válassza ki a következő értékeket:

    Beállítás Érték
    Előfizetés Válassza ki Azure-előfizetését.
    Erőforráscsoport Válassza a Test-FW-RG lehetőséget.
    Region Válassza ki ugyanazt a helyet, amelyet korábban használt.
    Name Írja be a Tűzfalútvonal kifejezést.

  4. Válassza a Felülvizsgálat és létrehozás lehetőséget.

  5. Válassza a Létrehozás lehetőséget.

Az üzembe helyezés befejezése után válassza az Erőforrás megnyitása lehetőséget.

  1. A Tűzfalútvonal lapon válassza az Alhálózatok , majd a Társítás lehetőséget.
  2. Válassza aTest-FW-VNvirtuális hálózat> lehetőséget.
  3. Alhálózat esetén válassza a Workload-SN elemet. Győződjön meg arról, hogy ehhez az útvonalhoz csak a Workload-SN alhálózatot választja, különben a tűzfal nem fog megfelelően működni.
  4. Válassza az OK lehetőséget.
  5. Válassza az Útvonalak , majd a Hozzáadás lehetőséget.
  6. Az Útvonal neve mezőbe írja be az fw-dg nevet.
  7. A Cím előtag mezőbe írja be a 0.0.0.0/0 értéket.
  8. A Következő ugrás típusa beállításnál válassza a Virtuális berendezés lehetőséget. Az Azure Firewall valójában egy felügyelt szolgáltatás, de ebben a helyzetben a virtuális berendezés beállítás is használható.
  9. A Következő ugrási cím mezőben adja meg a korábban feljegyzett tűzfal magánhálózati IP-címét.
  10. Válassza az OK lehetőséget.

Alkalmazásszabály konfigurálása

Ez az az alkalmazásszabály, amely engedélyezi a kimenő hozzáférést a következőhöz www.google.com: .

  1. Nyissa meg a Test-FW-RG erőforráscsoportot, és válassza ki az fw-test-pol tűzfalszabályzatot.
  2. Válassza az Alkalmazásszabályok lehetőséget.
  3. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  4. A Név mezőbe írja be az App-Coll01 nevet.
  5. A Prioritás mezőbe írja be a 200 értéket.
  6. A Szabálygyűjtemény műveletnél válassza az Engedélyezés lehetőséget.
  7. A Szabályok területen a Név mezőben adja meg az Allow-Google nevet.
  8. A Forrás típusa mezőben válassza az IP-cím lehetőséget.
  9. A Forrás mezőbe írja be a 10.0.2.0/24 értéket.
  10. A Protocol:port mezőbe írja be a http, https értéket.
  11. A Céltípus mezőben válassza az FQDN elemet.
  12. A Cél mezőbe írja be a következőt: www.google.com
  13. Válassza a Hozzáadás lehetőséget.

Az Azure Firewall tartalmaz egy beépített szabálygyűjteményt az infrastruktúra alapértelmezés szerint engedélyezett teljes tartományneveiről. Ezek a teljes tartománynevek csak az adott platformra vonatkoznak, egyéb célra nem használhatók. További információ: Infrastruktúra FQDN-jei.

Hálózatszabály konfigurálása

Ez az a hálózatszabály, amely lehetővé teszi a kimenő hozzáférést két IP-címhez az 53-as porton (DNS).

  1. Válassza a Hálózati szabályok lehetőséget.
  2. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  3. A Név mezőbe írja be a Net-Coll01 kifejezést.
  4. A Prioritás mezőbe írja be a 200 értéket.
  5. A Szabálygyűjtemény műveletnél válassza az Engedélyezés lehetőséget.
  6. A Szabálygyűjtemény csoportban válassza a DefaultNetworkRuleCollectionGroup lehetőséget.
  7. A Szabályok területen a Név mezőben adja meg az Allow-DNS nevet.
  8. A Forrás típusa mezőben válassza az IP-cím lehetőséget.
  9. A Forrás mezőbe írja be a 10.0.2.0/24 értéket.
  10. A Protokoll beállításnál válassza az UDP lehetőséget.
  11. A Célportok mezőbe írja be az 53 értéket.
  12. A Cél típusa mezőben válassza az IP-címet.
  13. A Cél mezőbe írja be a 209.244.0.3,209.244.0.4 értéket.
    Ezek a CenturyLink által üzemeltetett nyilvános DNS-kiszolgálók.
  14. Válassza a Hozzáadás lehetőséget.

DNAT-szabály konfigurálása

Ez a szabály lehetővé teszi egy távoli asztal csatlakoztatását az Srv-Work virtuális géphez a tűzfalon keresztül.

  1. Válassza ki a DNST-szabályokat.
  2. Válassza a Szabálygyűjtemény hozzáadása lehetőséget.
  3. A Név mezőbe írja be az rdp értéket.
  4. A Prioritás mezőbe írja be a 200 értéket.
  5. A Szabálygyűjtemény csoportban válassza a DefaultDnatRuleCollectionGroup lehetőséget.
  6. A Szabályok területen a Név mezőben adja meg az rdp-nat nevet.
  7. A Forrás típusa mezőben válassza az IP-cím lehetőséget.
  8. A Forrás mezőbe írja be a következőt *: .
  9. A Protokoll beállításnál válassza a TCP lehetőséget.
  10. A Célportok mezőbe írja be a 3389 értéket.
  11. A Céltípus mezőben válassza az IP-cím lehetőséget.
  12. A Cél mezőben adja meg a tűzfal nyilvános IP-címét.
  13. A Lefordított cím mezőben adja meg az Srv-work privát IP-címét.
  14. A Lefordított port mezőbe írja be a 3389 értéket.
  15. Válassza a Hozzáadás lehetőséget.

Módosítsa az Srv-Work hálózati adapter elsődleges és másodlagos DNS-címét.

Ebben az oktatóanyagban tesztelési célokra konfigurálja a kiszolgáló elsődleges és másodlagos DNS-címét. Ez nem általános Azure Firewall követelmény.

  1. A Azure Portal menüben válassza az Erőforráscsoportok lehetőséget, vagy keressen rá, és válassza az Erőforráscsoportok elemet bármelyik oldalról. Válassza a Test-FW-RG erőforráscsoportot.
  2. Válassza ki az Srv-Work virtuális gép hálózati adapterét.
  3. A Beállítások területen válassza a DNS-kiszolgálók lehetőséget.
  4. A DNS-kiszolgálók területen válassza az Egyéni lehetőséget.
  5. Írja be a 209.244.0.3 értéket a DNS-kiszolgáló hozzáadása szövegmezőbe, a következő szövegmezőbe pedig a 209.244.0.4 értéket.
  6. Kattintson a Mentés gombra.
  7. Indítsa újra az Srv-Work virtuális gépet.

A tűzfal tesztelése

Most tesztelje a tűzfalat, és ellenőrizze, hogy a várt módon működik-e.

  1. Csatlakoztassa a távoli asztalt a nyilvános IP-cím tűzfalához, és jelentkezzen be az Srv-Work virtuális gépre.

  2. Nyissa meg az Internet Explorert, és navigáljon a következő címre: https://www.google.com.

  3. Válassza az OK>Bezárás lehetőséget az Internet Explorer biztonsági riasztásai között.

    Meg kell jelennie a Google kezdőlapjának.

  4. Nyissa meg a következő címet: https://www.microsoft.com.

    A tűzfal blokkolja a hozzáférést.

Most már ellenőrizte, hogy a tűzfalszabályok működnek-e:

  • Az egyetlen engedélyezett FQDN-t el tudja érni, de másokat nem.
  • Fel tudja oldani a DNS-neveket a konfigurált külső DNS-kiszolgálóval.

Az erőforrások eltávolítása

A tűzfalhoz kapcsolódó erőforrásokat a következő oktatóanyagban is használhatja, vagy ha már nincs rá szükség, törölje a Test-FW-RG erőforráscsoportot, és vele együtt a tűzfalhoz kapcsolódó összes erőforrást.

Következő lépések

Prémium szintű Azure Firewall üzembe helyezése és konfigurálása