Zelfstudie: Azure Firewall en beleid implementeren en configureren met behulp van de Azure Portal

  • Artikel

Het beheren van toegang tot uitgaande netwerken is een belangrijk onderdeel van een algemeen netwerkbeveiligingsabonnement. U kunt bijvoorbeeld de toegang tot websites beperken. U kunt ook de toegang tot uitgaande IP-adressen en poorten beperken.

Eén manier waarop u de uitgaande netwerktoegang vanuit een Azure-subnet kunt beheren, is met Azure Firewall en firewallbeleid. Met Azure Firewall en firewallbeleid kunt u het volgende configureren:

  • Toepassingsregels die volledig gekwalificeerde domeinnamen (FQDN's) definiëren waartoe toegang kan worden verkregen via een subnet.
  • Netwerkregels die een bronadres, protocol, doelpoort en doeladres definiëren.

Netwerkverkeer is onderhevig aan de geconfigureerde firewallregels wanneer u het routeert naar de firewall als standaardgateway van het subnet.

Voor deze zelfstudie maakt u een vereenvoudigd VNet met twee subnetten voor eenvoudige implementatie.

  • AzureFirewallSubnet – De firewall bevindt zich in dit subnet.
  • Workload-SN – De workloadserver bevindt zich in dit subnet. Het netwerkverkeer van dit subnet gaat via de firewall.

Netwerkinfrastructuur van zelfstudie

Voor productie-implementaties wordt een hub en spoke-model aanbevolen, waarbij de firewall zich in een eigen VNet bevindt. De werkbelastingservers bevinden zich in gepeerde VNets in dezelfde regio met een of meer subnetten.

In deze zelfstudie leert u het volgende:

  • Een testnetwerkomgeving instellen
  • Een firewall en firewallbeleid implementeren
  • Een standaardroute maken
  • Een toepassingsregel configureren om toegang tot www.google.com
  • Een netwerkregel configureren om toegang tot externe DNS-servers toe te staan
  • Een NAT-regel configureren om een extern bureaublad op de testserver toe te staan
  • De firewall testen

U kunt deze procedure desgewenst voltooien met behulp van Azure PowerShell.

Vereisten

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Het netwerk instellen

Maak eerst een resourcegroep met de resources die nodig zijn om de firewall te implementeren. Maak vervolgens een VNet, subnetten en een testserver.

Een resourcegroep maken

De resourcegroep bevat alle resources voor de zelfstudie.

  1. Meld u aan bij de Azure-portal.

  2. Selecteer in het menu Azure Portal Resourcegroepen of zoek en selecteer Resourcegroepen op een willekeurige pagina en selecteer vervolgens Toevoegen. Typ of selecteer de volgende waarden:

    Instelling Waarde
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Voer Test-FW-RG in.
    Region Selecteer een regio. Alle andere resources die u maakt, moeten zich in dezelfde regio bevinden.

  3. Selecteer Controleren + maken.

  4. Selecteer Maken.

Een VNet maken

Dit VNet heeft twee subnetten.

Notitie

De grootte van het subnet AzureFirewallSubnet is /26. Zie Veelgestelde vragen over Azure Firewall voor meer informatie over de grootte van het subnet.

  1. Selecteer in het menu van de Azure-portal of op de startpagina de optie Een resource maken.

  2. Selecteer Netwerken.

  3. Zoek naar Virtueel netwerk en selecteer dit.

  4. Selecteer Maken en voer vervolgens de volgende waarden in of selecteer deze:

    Instelling Waarde
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Naam Voer Test-FW-VN in.
    Region Selecteer dezelfde locatie die u eerder hebt gebruikt.

  5. Selecteer Volgende: IP-adressen.

  6. Accepteer voor IPv4-adresruimte de standaardwaarde 10.0.0.0/16.

  7. Onder Subnet selecteert u standaard.

  8. Wijzig voor Subnetnaam de naam in AzureFirewallSubnet. De firewall zal zich in dit subnet bevinden, en de subnetnaam moet AzureFirewallSubnet zijn.

  9. Bij Adresbereik typt u 10.0.1.0/26.

  10. Selecteer Opslaan.

    Maak hierna een subnet voor de werkbelastingserver.

  11. Selecteer Subnet toevoegen.

  12. Bij Subnetnaam typt u Workload-SN.

  13. Als Subnetadresbereik typt u 10.0.2.0/24.

  14. Selecteer Toevoegen.

  15. Selecteer Controleren en maken.

  16. Selecteer Maken.

Een virtuele machine maken

Maak nu de virtuele machine voor de werkbelasting en plaats deze in het subnet Workload-SN.

  1. Selecteer in het menu van de Azure-portal of op de startpagina de optie Een resource maken.

  2. Selecteer Windows Server 2019 Datacenter.

  3. Voer deze waarden in of selecteer deze voor de virtuele machine:

    Instelling Waarde
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Naam van de virtuele machine Voer Srv-Work in.
    Region Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Gebruikersnaam Voer een gebruikersnaam in.
    Wachtwoord Voer een wachtwoord in.

  4. Selecteer onder Regels voor binnenkomende poort, Openbare binnenkomende poorten de optie Geen.

  5. Accepteer de overige standaardwaarden en selecteer Volgende: Schijven.

  6. Accepteer de standaardwaarden voor schijven en selecteer Volgende: Netwerken.

  7. Zorg ervoor dat Test-FW-VN is geselecteerd voor het virtuele netwerk en dat het subnet Workload-SN is.

  8. Selecteer Geen voor Openbaar IP.

  9. Accepteer de overige standaardwaarden en selecteer Volgende: Beheer.

  10. Selecteer Uitschakelen om diagnostische gegevens over opstarten uit te schakelen. Accepteer de overige standaardwaarden en selecteer Beoordelen en maken.

  11. Controleer de instellingen op de overzichtspagina en selecteer Maken.

  12. Nadat de implementatie is voltooid, selecteert u de resource Srv-Work en noteert u het privé-IP-adres voor later gebruik.

De firewall en het beleid implementeren

Implementeer de firewall in het VNet.

  1. Selecteer in het menu van de Azure-portal of op de startpagina de optie Een resource maken.

  2. Typ firewall in het zoekvak en druk op Enter.

  3. Selecteer Firewall en vervolgens Maken.

  4. Gebruik op de pagina Firewall maken de volgende tabel om de firewall te configureren:

    Instelling Waarde
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Naam Voer Test-FW01 in.
    Region Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Firewallbeheer Selecteer Een firewallbeleid gebruiken om deze firewall te beheren.
    Firewallbeleid Selecteer Nieuwe toevoegen en voer fw-test-pol in.
    Selecteer dezelfde regio die u eerder hebt gebruikt.
    Een virtueel netwerk kiezen Selecteer Bestaande gebruiken en selecteer vervolgens Test-FW-VN.
    Openbaar IP-adres Selecteer Nieuwe toevoegen en voer fw-pip in als naam.

  5. Accepteer de andere standaardwaarden en selecteer vervolgens Beoordelen en maken.

  6. Controleer de samenvatting en selecteer vervolgens Maken om de firewall te maken.

    Het duurt enkele minuten voordat deze is geïmplementeerd.

  7. Zodra de implementatie is voltooid, gaat u naar de resourcegroep Test-FW-RG en selecteert u de firewall Test-FW01.

  8. Noteer het privé- en openbare IP-adres van de firewall. U hebt deze later nodig.

Een standaardroute maken

Voor het subnet Workload-SN configureert u de standaardroute voor uitgaand verkeer om via de firewall te gaan.

  1. Selecteer in het menu van Azure-portal de optie Alle services of zoek naar en selecteer Alle services vanaf elke willekeurige pagina.

  2. Selecteer onder Netwerken de optie Routetabellen.

  3. Selecteer Maken en voer vervolgens de volgende waarden in of selecteer deze:

    Instelling Waarde
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer Test-FW-RG.
    Region Selecteer dezelfde locatie die u eerder hebt gebruikt.
    Naam Voer Firewall-route in.

  4. Selecteer Controleren + maken.

  5. Selecteer Maken.

Nadat de implementatie is voltooid, selecteert u Ga naar resource.

  1. Selecteer op de pagina Firewallroute de optie Subnetten en selecteer vervolgens Koppelen.
  2. Selecteer Virtueel netwerk>Test-FW-VN.
  3. Bij Subnet selecteert u Workload-SN. Zorg ervoor dat u alleen het subnet Workload-SN selecteert voor deze route, anders werkt de firewall niet correct.
  4. Selecteer OK.
  5. Selecteer Routes en vervolgens Toevoegen.
  6. Voer bij Routenaamfw-dg in.
  7. Voer bij Adresvoorvoegsel0.0.0.0/0 in.
  8. Bij Volgend hoptype selecteert u Virtueel apparaat. Azure Firewall is eigenlijk een beheerde service, maar Virtueel apparaat werkt in deze situatie.
  9. Voer bij Volgende hopadres het privé-IP-adres in voor de firewall die u eerder hebt genoteerd.
  10. Selecteer OK.

Een toepassingsregel configureren

Dit is de toepassingsregel waarmee uitgaande toegang tot www.google.com wordt toegestaan.

  1. Open de resourcegroep Test-FW-RG en selecteer het firewallbeleid fw-test-pol .
  2. Selecteer Toepassingsregels.
  3. Selecteer Een regelverzameling toevoegen.
  4. Voer bij NaamApp-Coll01 in.
  5. Voer bij Prioriteit200 in.
  6. Selecteer Bij Actie regelverzameling de optie Toestaan.
  7. Voer onder Regels bij Naamde tekst Allow-Google in.
  8. Selecteer IP-adres bij Brontype.
  9. Voer bij Bron10.0.2.0/24 in.
  10. Voer bij Protocol:poorthttp, https in.
  11. Selecteer FQDN bij Doeltype.
  12. Voer bij Bestemming in www.google.com
  13. Selecteer Toevoegen.

Azure Firewall bevat een ingebouwde regelverzameling voor infrastructuur-FQDN’s die standaard zijn toegestaan. Deze FQDN’s zijn specifiek voor het platform en kunnen niet voor andere doeleinden worden gebruikt. Zie FQDN's voor infrastructuur voor meer informatie.

Een netwerkregel configureren

Dit is de netwerkregel waarmee uitgaande toegang tot twee IP-adressen op poort 53 (DNS) wordt toegestaan.

  1. Selecteer Netwerkregels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Voer bij NaamNet-Coll01 in.
  4. Voer bij Prioriteit200 in.
  5. Selecteer Bij Actie regelverzameling de optie Toestaan.
  6. Selecteer voor RegelverzamelingsgroepDe optie DefaultNetworkRuleCollectionGroup.
  7. Voer onder Regels bij Naamallow-DNS in.
  8. Bij Brontype selecteert u IP-adres.
  9. Voer bij Bron10.0.2.0/24 in.
  10. Bij Protocol selecteert u UDP.
  11. Voer bij Doelpoorten53 in.
  12. Bij Doeltype selecteert u IP-adres.
  13. Voer bij Bestemming209.244.0.3,209.244.0.4 in.
    Dit zijn openbare DNS-servers die worden beheerd door CenturyLink.
  14. Selecteer Toevoegen.

Een DNAT-regel configureren

Met deze regel kunt u een extern bureaublad verbinden met de virtuele machine Srv-Work via de firewall.

  1. Selecteer de DNAT-regels.
  2. Selecteer Een regelverzameling toevoegen.
  3. Voer bij Naamrdp in.
  4. Bij Prioriteit voert u 200 in.
  5. Bij Regelverzamelingsgroep selecteert u DefaultDnatRuleCollectionGroup.
  6. Voer onder Regels bij Naamrdp-nat in.
  7. Selecteer IP-adres bij Brontype.
  8. Voer bij Bron in *.
  9. Bij Protocol selecteert u TCP.
  10. Voer bij Doelpoorten3389 in.
  11. Bij Doeltype selecteert u IP-adres.
  12. Voer bij Doel het openbare IP-adres van de firewall in.
  13. Voer bij Vertaald adres het privé-IP-adres Srv-work in.
  14. Voer bij Vertaalde poort3389 in.
  15. Selecteer Toevoegen.

Het primaire en secundaire DNS-adres voor de netwerkinterface Srv-Work wijzigen

Voor testdoeleinden in deze zelfstudie configureert u het primaire en secundaire DNS-adres van de server. Dit is geen algemene Azure Firewall-vereiste.

  1. Selecteer in het menu van Azure-portal de optie Resourcegroepen of zoek ernaar en selecteer Resourcegroepen vanaf een willekeurige pagina. Selecteer de resourcegroep Test-FW-RG.
  2. Selecteer de netwerkinterface voor de virtuele machine Srv-Work.
  3. Selecteer onder Instellingen de optie DNS-servers.
  4. Selecteer onder DNS-servers de optie Aangepast.
  5. Voer 209.244.0.3 in het tekstvak DNS-server toevoegen in en 209.244.0.4 in het volgende tekstvak.
  6. Selecteer Opslaan.
  7. Start de virtuele machine Srv-Work opnieuw.

De firewall testen

Test nu de firewall om te controleren of deze werkt zoals verwacht.

  1. Verbind een extern bureaublad met het openbare IP-adres van de firewall en meld u aan bij de virtuele machine Srv-Work.

  2. Open Internet Explorer en blader naar https://www.google.com.

  3. Selecteer OK>Sluiten in de beveiligingswaarschuwingen van Internet Explorer.

    U zou nu de startpagina van Google moeten zien.

  4. Blader naar https://www.microsoft.com.

    U zou nu door de firewall moeten worden geblokkeerd.

Nu u hebt geverifieerd dat de firewallregels werken:

  • Kunt u bladeren naar de enige toegestane FQDN, maar niet naar andere.
  • Kunt u DNS-namen omzetten met behulp van de geconfigureerde externe DNS-server.

Resources opschonen

U kunt de firewall-resources voor de volgende zelfstudie bewaren. Als u ze niet meer nodig hebt, verwijdert u de resourcegroep Test-FW-RG om alle firewall-gerelateerde resources te verwijderen.

Volgende stappen

Azure Firewall Premium implementeren en configureren