Implementatie en configuratie Azure Firewall Premium

  • Artikel
  • 4 minuten om te lezen

Azure Firewall Premium is een firewall van de volgende generatie met mogelijkheden die vereist zijn voor uiterst gevoelige en gereguleerde omgevingen. Het bevat de volgende functies:

  • TLS-inspectie: ontsleutelt uitgaand verkeer, verwerkt de gegevens, versleutelt de gegevens en verzendt deze naar de bestemming.
  • IDPS: met een netwerkindringingsdetectie- en -preventiesysteem (IDPS) kunt u netwerkactiviteiten controleren op schadelijke activiteiten, informatie over deze activiteit in een logboek leggen, rapporteren en optioneel proberen deze te blokkeren.
  • URL-filtering: breidt de FQDN-filtermogelijkheid van Azure Firewall uit om een volledige URL te overwegen. Bijvoorbeeld in www.contoso.com/a/c plaats van www.contoso.com .
  • Webcategorieën: beheerders kunnen gebruikerstoegang tot websitecategorieën, zoals websites voor websites op sociale media en andere, toestaan of weigeren.

Zie voor meer informatie Azure Firewall Premium functies.

U gebruikt een sjabloon om een testomgeving te implementeren met een centraal VNet (10.0.0.0/16) met drie subnetten:

  • een werknetwerksubnet (10.0.10.0/24)
  • een Azure Bastion subnet (10.0.20.0/24)
  • een firewallsubnet (10.0.100.0/24)

In deze testomgeving wordt één centraal VNet gebruikt om het eenvoudig te houden. Voor productiedoeleinden is een hub en spoke-topologie met peered VNets gebruikelijker.

Centrale VNet-topologie

De virtuele werkmachine is een client die HTTP/S-aanvragen verzendt via de firewall.

Vereisten

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

De infrastructuur implementeren

De sjabloon implementeert een volledige testomgeving voor Azure Firewall Premium ingeschakeld met IDPS, TLS-inspectie, URL-filtering en webcategorieën:

  • een nieuw Azure Firewall Premium en firewallbeleid met vooraf gedefinieerde instellingen om eenvoudige validatie van de belangrijkste mogelijkheden mogelijk te maken (IDPS, TLS-inspectie, URL-filtering en webcategorieën)
  • implementeert alle afhankelijkheden, Key Vault en een beheerde identiteit. In een productieomgeving zijn deze resources mogelijk al gemaakt en niet nodig in dezelfde sjabloon.
  • genereert zelf-ondertekende basis-CA en implementeert deze op de gegenereerde Key Vault
  • genereert een afgeleide tussenliggende CA en implementeert deze op een Windows virtuele machine (WorkerVM)
  • er wordt ook een Bastion-host (BastionHost) geïmplementeerd en deze kan worden gebruikt om verbinding te maken met de Windows testmachine (WorkerVM)

Implementeren in Azure

De firewall testen

U kunt nu de categorieën IDPS, TLS-inspectie, Webfiltering en Web testen.

Diagnostische instellingen voor firewall toevoegen

Als u firewalllogboeken wilt verzamelen, moet u diagnostische instellingen toevoegen voor het verzamelen van firewalllogboeken.

  1. Selecteer demoFirewall en selecteer diagnostische instellingen onder Bewaking.
  2. Selecteer Diagnostische instellingen toevoegen.
  3. Bij Naam diagnostische instelling typt u fw-diag.
  4. Selecteer onder logboek de opties AzureFirewallApplicationRule en AzureFirewallNetworkRule.
  5. Selecteer onder Doeldetails de optie Verzenden naar Log Analytics-werkruimte.
  6. Selecteer Opslaan.

IDPS-tests

Als u IDPS wilt testen, moet u uw eigen interne webserver implementeren met een geschikt servercertificaat. Zie voor meer informatie Azure Firewall Premium certificaatvereisten Azure Firewall Premium certificaten.

U kunt gebruiken om curl verschillende HTTP-headers te controleren en schadelijk verkeer te simuleren.

IDPS testen op HTTP-verkeer:

  1. Open op de virtuele machine WorkerVM een opdrachtpromptvenster voor beheerders.

  2. Typ de volgende opdracht bij de opdrachtprompt:

    curl -A "BlackSun" <your web server address>

  3. U ziet het antwoord van de webserver.

  4. Ga naar de firewallnetwerkregellogboeken op de Azure Portal om een waarschuwing te vinden die lijkt op het volgende bericht:

    Waarschuwingsbericht

    Notitie

    Het kan even duren voor de gegevens in de logboeken worden weergegeven. Geef de logboeken ten minste een paar minuten de tijd om de gegevens weer te geven.

  5. Voeg een handtekeningregel toe voor 2008983:

    1. Selecteer demoFirewallPolicy en selecteer Instellingen IDPS.
    2. Selecteer het tabblad Handtekeningregels.
    3. Typ onder Handtekening-id in het geopende tekstvak 2008983.
    4. Selecteer onder Modus de optie Weigeren.
    5. Selecteer Opslaan.
    6. Wacht tot de implementatie is voltooid voordat u doorgaat.

  6. Voer op WorkerVM de opdracht curl opnieuw uit:

    curl -A "BlackSun" <your web server address>

    Omdat de HTTP-aanvraag nu wordt geblokkeerd door de firewall, ziet u de volgende uitvoer nadat de time-out voor de verbinding is verlopen:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Ga naar de monitorlogboeken in Azure Portal zoek het bericht voor de geblokkeerde aanvraag.

IDPS testen op HTTPS-verkeer

Herhaal deze curl-tests met HTTPS in plaats van HTTP. Bijvoorbeeld:

curl --ssl-no-revoke -A "BlackSun" <your web server address>

Als het goed is, ziet u dezelfde resultaten als bij de HTTP-tests.

TLS-inspectie met URL-filtering

Gebruik de volgende stappen om TLS-inspectie te testen met URL-filtering.

  1. Bewerk de toepassingsregels voor firewallbeleid en voeg een nieuwe regel met de naam toe AllowURL aan de AllowWeb regelverzameling. Configureer de doel-URL, www.nytimes.com/section/world bron-IP-adres * _, Doeltype _ URL, selecteer TLS-inspectie en protocollen http, https.

  2. Wanneer de implementatie is voltooid, opent u een browser op WorkerVM en gaat u naar en controleert u of het HTML-antwoord wordt weergegeven zoals https://www.nytimes.com/section/world verwacht in de browser.

  3. In de Azure Portal kunt u de volledige URL bekijken in de bewakingslogboeken van toepassingsregel:

    Waarschuwingsbericht met de URL

Sommige HTML-pagina's zien er onvolledig uit omdat ze verwijzen naar andere URL's die worden geweigerd. U kunt dit probleem als volgt oplossen:

  • Als de HTML-pagina koppelingen naar andere domeinen bevat, kunt u deze domeinen toevoegen aan een nieuwe toepassingsregel met toegang tot deze FQDN's toestaan.

  • Als de HTML-pagina koppelingen naar sub-URL's bevat, kunt u de regel wijzigen en een sterretje toevoegen aan de URL. Bijvoorbeeld: targetURLs=www.nytimes.com/section/world*

    U kunt ook een nieuwe URL toevoegen aan de regel. Bijvoorbeeld:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Webcategorieën testen

We gaan een toepassingsregel maken om toegang tot sportwebsites toe te staan.

  1. Open de resourcegroep in de portal en selecteer DemoFirewallPolicy.

  2. Selecteer Toepassingsregels en vervolgens Een regelverzameling toevoegen.

  3. Bij Naam typt u AlgemeenWeb, Prioriteit 103, groep regelverzameling selecteert u DefaultApplicationRuleCollectionGroup.

  4. Onder Regels voor naam typt u AllowSports, Bron * , Protocol http, https, selecteerTLS-inspectie, Doeltype selecteer Webcategorieën, Bestemming selecteer Sport.

  5. Selecteer Toevoegen.

    Sportwebcategorie

  6. Wanneer de implementatie is voltooid, gaat u naar WorkerVM, opent u een webbrowser en bladert u naar https://www.nfl.com .

    U ziet de NFL-webpagina en het toepassingsregellogboek geeft aan dat er een overeenkomst is gemaakt met een webcategorie: sportregel en dat de aanvraag is toegestaan.

Volgende stappen