Distribuire e configurare Firewall di Azure Premium

Firewall di Azure Premium è un firewall di nuova generazione con funzionalità necessarie per ambienti altamente sensibili e regolamentati. Esso comprende le seguenti funzionalità:

  • Ispezione TLS: decrittografa il traffico in uscita, elabora i dati, quindi crittografa i dati e li invia alla destinazione.
  • IDPS: un sistema di rilevamento e prevenzione delle intrusioni di rete consente di monitorare le attività di rete per rilevare attività dannose, registrare informazioni su questa attività, segnalarla e, facoltativamente, tentare di bloccarla.
  • Filtro URL: estende la Firewall di Azure di filtro FQDN del servizio per prendere in considerazione un intero URL. Ad esempio, www.contoso.com/a/c anziché www.contoso.com .
  • Categorie Web: gli amministratori possono consentire o negare l'accesso utente a categorie di siti Web, ad esempio siti Web di siti Web, siti Web di social media e altro ancora.

Per altre informazioni, vedere Firewall di Azure Premium funzionalità.

Si userà un modello per distribuire un ambiente di test con una rete virtuale centrale (10.0.0.0/16) con tre subnet:

  • una subnet di lavoro (10.0.10.0/24)
  • una Azure Bastion subnet (10.0.20.0/24)
  • una subnet del firewall (10.0.100.0/24)

Per semplicità, in questo ambiente di test viene usata una singola rete virtuale centrale. Ai fini della produzione, una topologia hub-spoke con reti virtuali con peered è più comune.

Topologia di rete virtuale centrale

La macchina virtuale del ruolo di lavoro è un client che invia richieste HTTP/S attraverso il firewall.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Distribuire l'infrastruttura

Il modello distribuisce un ambiente di test completo per le Firewall di Azure Premium abilitate con IDPS, ispezione TLS, filtro URL e categorie Web:

  • un nuovo Firewall di Azure Premium e criteri firewall con impostazioni predefinite per consentire una convalida semplice delle funzionalità di base (IDPS, ispezione TLS, filtro URL e categorie Web)
  • distribuisce tutte le dipendenze, inclusi Key Vault e un'identità gestita. In un ambiente di produzione queste risorse potrebbero essere già state create e non necessarie nello stesso modello.
  • genera la CA radice autofirmata e la distribuisce nel Key Vault
  • genera una CA intermedia derivata e la distribuisce in una macchina Windows di test (WorkerVM)
  • Viene distribuito anche un Bastion Host (BastionHost) che può essere usato per connettersi al computer Windows di test (WorkerVM)

Distribuzione in Azure

Testare il firewall

È ora possibile testare IDPS, ispezione TLS, filtro Web e categorie Web.

Aggiungere le impostazioni di diagnostica del firewall

Per raccogliere i log del firewall, è necessario aggiungere le impostazioni di diagnostica per raccogliere i log del firewall.

  1. Selezionare DemoFirewall e in Monitoraggio selezionare Impostazioni di diagnostica.
  2. Selezionare Aggiungi impostazione di diagnostica.
  3. Per Nome impostazione di diagnostica digitare fw-diag.
  4. In log selezionare AzureFirewallApplicationRule e AzureFirewallNetworkRule.
  5. In Dettagli destinazione selezionare Invia all'area di lavoro Log Analytics.
  6. Selezionare Salva.

Test IDPS

Per testare idps, è necessario distribuire il proprio server Web interno con un certificato server appropriato. Per altre informazioni sui requisiti Firewall di Azure Premium certificati, vedere Firewall di Azure Premium certificati.

È possibile usare curl per controllare varie intestazioni HTTP e simulare traffico dannoso.

Per testare idps per il traffico HTTP:

  1. Nella macchina virtuale WorkerVM aprire una finestra del prompt dei comandi dell'amministratore.

  2. Al prompt dei comandi digitare il comando seguente:

    curl -A "BlackSun" <your web server address>

  3. Verrà visualizzata la risposta del server Web.

  4. Passare ai log delle regole di rete del firewall nel portale di Azure per trovare un avviso simile al messaggio seguente:

    Messaggio di avviso

    Nota

    L'inizio della visualizzazione dei dati nei log può richiedere del tempo. Assegnare almeno 20 minuti per consentire ai log di iniziare a visualizzare i dati.

  5. Aggiungere una regola di firma per l'2008983:

    1. Selezionare DemoFirewallPolicy e in Impostazioni selezionare IDPS.
    2. Selezionare la scheda Regole di firma.
    3. In ID firma digitare nella casella di testo aperta 2008983.
    4. In Modalità selezionare Nega.
    5. Selezionare Salva.
    6. Attendere il completamento della distribuzione prima di procedere.
  6. In WorkerVM eseguire di nuovo curl il comando:

    curl -A "BlackSun" <your web server address>

    Poiché la richiesta HTTP è ora bloccata dal firewall, dopo la scadenza del timeout di connessione verrà visualizzato l'output seguente:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Passare ai log di monitoraggio nel portale di Azure e trovare il messaggio per la richiesta bloccata.

Per testare idPS per il traffico HTTPS

Ripetere questi test curl usando HTTPS anziché HTTP. Ad esempio:

curl --ssl-no-revoke -A "BlackSun" <your web server address>

Dovrebbero essere visualizzati gli stessi risultati ottenuti con i test HTTP.

Ispezione TLS con filtro URL

Usare la procedura seguente per testare l'ispezione TLS con il filtro URL.

  1. Modificare le regole dell'applicazione dei criteri firewall e aggiungere una nuova regola AllowURL denominata alla AllowWeb raccolta regole. Configurare l'URL www.nytimes.com/section/world di destinazione, l'indirizzo IP di * origine _, il tipo di destinazione _ URL, selezionare Ispezione TLS e protocolli http, https.

  2. Al termine della distribuzione, aprire un browser in WorkerVM, passare a e verificare che la risposta HTML sia visualizzata https://www.nytimes.com/section/world come previsto nel browser.

  3. Nell'portale di Azure è possibile visualizzare l'intero URL nei log di monitoraggio delle regole dell'applicazione:

    Messaggio di avviso che mostra l'URL

Alcune pagine HTML potrebbero apparire incomplete perché fanno riferimento ad altri URL non consentiti. Per risolvere questo problema, è possibile usare l'approccio seguente:

  • Se la pagina HTML contiene collegamenti ad altri domini, è possibile aggiungere questi domini a una nuova regola dell'applicazione con accesso consentito a questi FQDN.

  • Se la pagina HTML contiene collegamenti a URL secondari, è possibile modificare la regola e aggiungere un asterisco all'URL. ad esempio targetURLs=www.nytimes.com/section/world*

    In alternativa, è possibile aggiungere un nuovo URL alla regola. Ad esempio:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Test delle categorie Web

Verrà ora creata una regola dell'applicazione per consentire l'accesso ai siti Web per gli sport.

  1. Nel portale aprire il gruppo di risorse e selezionare DemoFirewallPolicy.

  2. Selezionare Regole applicazione e quindi Aggiungi una raccolta regole.

  3. Per Nome digitare GeneralWeb, Priorità 103, Gruppo raccolta regole selezionare DefaultApplicationRuleCollectionGroup.

  4. In Rules for Name type AllowSports, Source * , Protocol http, https, select TLS inspection, Destination Type select Web categories, Destination select Sports.

  5. Selezionare Aggiungi.

    Categoria Web Sport

  6. Al termine della distribuzione, passare a WorkerVM, aprire un Web browser e passare a https://www.nfl.com .

    Dovrebbe essere visualizzata la pagina Web DELL'applicazione e il log delle regole dell'applicazione indica che è stata trovata una corrispondenza per una regola Categoria Web: Sport e che la richiesta è stata consentita.

Passaggi successivi