Wdrażanie i konfigurowanie usługi Azure Firewall — wersja Premium

  • Artykuł

Usługa Azure Firewall Premium to zapora nowej generacji z funkcjami, które są wymagane w środowiskach wysoce wrażliwych i regulowanych. Obejmuje ona następujące funkcje:

  • Inspekcja protokołu TLS — odszyfrowuje ruch wychodzący, przetwarza dane, a następnie szyfruje dane i wysyła je do miejsca docelowego.
  • IDPS — system wykrywania i zapobiegania włamaniom do sieci (IDPS) umożliwia monitorowanie działań sieciowych pod kątem złośliwych działań, rejestrowanie informacji o tym działaniu, zgłaszanie go i opcjonalne próby jego zablokowania.
  • Filtrowanie adresów URL — rozszerza funkcję filtrowania nazw FQDN usługi Azure Firewall, aby rozważyć cały adres URL. Na przykład www.contoso.com/a/c zamiast www.contoso.com.
  • Kategorie sieci Web — administratorzy mogą zezwalać lub odmawiać dostępu użytkowników do kategorii witryn internetowych, takich jak witryny hazardowe, witryny internetowe mediów społecznościowych i inne.

Aby uzyskać więcej informacji, zobacz Funkcje usługi Azure Firewall — wersja Premium.

Użyjesz szablonu do wdrożenia środowiska testowego z centralną siecią wirtualną (10.0.0.0/16) z trzema podsieciami:

  • podsieć procesu roboczego (10.0.10.0/24)
  • podsieć usługi Azure Bastion (10.0.20.0/24)
  • podsieć zapory (10.0.100.0/24)

Ważne

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.

Pojedyncza centralna sieć wirtualna jest używana w tym środowisku testowym dla uproszczenia. W celach produkcyjnych topologia piasty i szprych z równorzędnymi sieciami wirtualnymi jest częściej spotykana.

Central VNet topology

Maszyna wirtualna procesu roboczego to klient, który wysyła żądania HTTP/S przez zaporę.

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Wdrażanie infrastruktury

Szablon wdraża kompletne środowisko testowe dla usługi Azure Firewall w warstwie Premium z obsługą dostawców tożsamości, inspekcji protokołu TLS, filtrowania adresów URL i kategorii sieci Web:

  • nowa usługa Azure Firewall — wersja Premium i zasady zapory ze wstępnie zdefiniowanymi ustawieniami, które umożliwiają łatwą walidację podstawowych funkcji (idPS, inspekcja protokołu TLS, filtrowanie adresów URL i kategorie sieci Web)
  • wdraża wszystkie zależności, w tym usługę Key Vault i tożsamość zarządzaną. W środowisku produkcyjnym te zasoby mogą być już tworzone i nie są potrzebne w tym samym szablonie.
  • generuje własny główny urząd certyfikacji i wdraża go w wygenerowanej usłudze Key Vault
  • generuje pochodny pośredni urząd certyfikacji i wdraża go na testowej maszynie wirtualnej z systemem Windows (WorkerVM)
  • Host bastionu (BastionHost) jest również wdrożony i może służyć do nawiązywania połączenia z maszyną testową systemu Windows (WorkerVM)

Button to deploy the Resource Manager template to Azure.

Testowanie zapory

Teraz możesz przetestować dostawcę tożsamości, inspekcję protokołu TLS, filtrowanie sieci Web i kategorie sieci Web.

Dodawanie ustawień diagnostyki zapory

Aby zbierać dzienniki zapory, należy dodać ustawienia diagnostyczne w celu zbierania dzienników zapory.

  1. Wybierz pozycję DemoFirewall i w obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.
  2. Wybierz pozycję Dodaj ustawienia diagnostyczne.
  3. W polu Nazwa ustawienia diagnostycznego wpisz fw-diag.
  4. W obszarze dziennika wybierz pozycję AzureFirewallApplicationRule i AzureFirewallNetworkRule.
  5. W obszarze Szczegóły miejsca docelowego wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics.
  6. Wybierz pozycję Zapisz.

Testy IDPS

Aby przetestować dostawcę tożsamości, należy wdrożyć własny wewnętrzny testowy serwer sieci Web z odpowiednim certyfikatem serwera. Ten test obejmuje wysyłanie złośliwego ruchu do serwera sieci Web, dlatego nie zaleca się wykonywania tego na publicznym serwerze sieci Web. Aby uzyskać więcej informacji na temat wymagań dotyczących certyfikatów usługi Azure Firewall Premium, zobacz Azure Firewall Premium certificates (Certyfikaty usługi Azure Firewall — wersja Premium).

curl Służy do kontrolowania różnych nagłówków HTTP i symulowania złośliwego ruchu.

Aby przetestować dostawcę tożsamości dla ruchu HTTP:

  1. Na maszynie wirtualnej WorkerVM otwórz okno wiersza polecenia administratora.

  2. Wpisz następujące polecenie w wierszu polecenia:

    curl -A "HaxerMen" <your web server address>

  3. Zobaczysz odpowiedź serwera internetowego.

  4. Przejdź do dzienników reguły sieci zapory w witrynie Azure Portal, aby znaleźć alert podobny do następującego komunikatu:

    { “msg” : “TCP request from 10.0.100.5:16036 to 10.0.20.10:80. Action: Alert. Rule: 2032081. IDS: 
USER_AGENTS Suspicious User Agent (HaxerMen). Priority: 1. Classification: A Network Tojan was 
detected”}

    Uwaga

    Wyświetlenie danych w dziennikach może zająć trochę czasu. Poczekaj co najmniej kilka minut, aby dzienniki zaczęły wyświetlać dane.

  5. Dodaj regułę podpisu dla 2032081 podpisu:

    1. Wybierz pozycję DemoFirewallPolicy i w obszarze Ustawienia wybierz pozycję IDPS.
    2. Wybierz kartę Reguły podpisów .
    3. W obszarze Identyfikator podpisu w otwartym polu tekstowym wpisz 2032081.
    4. W obszarze Tryb wybierz pozycję Odmów.
    5. Wybierz pozycję Zapisz.
    6. Przed kontynuowaniem poczekaj na ukończenie wdrożenia.

  6. Na maszynie roboczejVM uruchom curl ponownie polecenie:

    curl -A "HaxerMen" <your web server address>

    Ponieważ żądanie HTTP jest teraz blokowane przez zaporę, po wygaśnięciu limitu czasu połączenia zostaną wyświetlone następujące dane wyjściowe:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Przejdź do obszaru Monitorowanie dzienników w witrynie Azure Portal i znajdź komunikat dotyczący zablokowanego żądania.

Aby przetestować dostawcę tożsamości dla ruchu HTTPS

Powtórz te testy curl przy użyciu protokołu HTTPS zamiast PROTOKOŁU HTTP. Na przykład:

curl --ssl-no-revoke -A "HaxerMen" <your web server address>

Powinny zostać wyświetlone te same wyniki, które wystąpiły w testach HTTP.

Inspekcja protokołu TLS z filtrowaniem adresów URL

Wykonaj poniższe kroki, aby przetestować inspekcję protokołu TLS przy użyciu filtrowania adresów URL.

  1. Edytuj reguły aplikacji zasad zapory i dodaj nową regułę wywoływaną AllowURLAllowWeb do kolekcji reguł. Skonfiguruj docelowy adres URLwww.nytimes.com/section/world, źródłowy adres IP, adres *URL typu docelowego, wybierz pozycję Inspekcja protokołu TLS i protokoły http, https.

  2. Po zakończeniu wdrażania otwórz przeglądarkę na maszynie workerVM i przejdź do https://www.nytimes.com/section/world strony i sprawdź, czy odpowiedź HTML jest wyświetlana zgodnie z oczekiwaniami w przeglądarce.

  3. W witrynie Azure Portal można wyświetlić cały adres URL w dziennikach monitorowania reguły aplikacji:

    Alert message showing the URL

Niektóre strony HTML mogą wyglądać niekompletno, ponieważ odwołują się do innych adresów URL, które są odrzucane. Aby rozwiązać ten problem, można podjąć następujące podejście:

  • Jeśli strona HTML zawiera linki do innych domen, możesz dodać te domeny do nowej reguły aplikacji z zezwoleniem na dostęp do tych nazw FQDN.

  • Jeśli strona HTML zawiera linki do adresów URL podrzędnych, możesz zmodyfikować regułę i dodać gwiazdkę do adresu URL. Na przykład: targetURLs=www.nytimes.com/section/world*.

    Alternatywnie możesz dodać nowy adres URL do reguły. Na przykład:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Testowanie kategorii sieci Web

Utwórzmy regułę aplikacji, aby zezwolić na dostęp do sportowych witryn internetowych.

  1. W portalu otwórz grupę zasobów i wybierz pozycję DemoFirewallPolicy.

  2. Wybierz pozycję Reguły aplikacji, a następnie dodaj kolekcję reguł.

  3. W polu Nazwa wpisz GeneralWeb, Priority103, Grupa kolekcji reguł wybierz pozycję DefaultApplicationRuleCollectionGroup.

  4. W obszarze Reguły dla pozycji Typ nazwy AllowSports, Source*, Protocolhttp, https wybierz pozycję Inspekcja PROTOKOŁU TLS, Typ docelowy wybierz kategorie sieci Web, Miejsce docelowe wybierz pozycję Sport.

  5. Wybierz Dodaj.

    Sports web category

  6. Po zakończeniu wdrażania przejdź do pozycji WorkerVM i otwórz przeglądarkę internetową i przejdź do https://www.nfl.comadresu .

    Powinna zostać wyświetlona strona internetowa NFL, a dziennik reguł aplikacji pokazuje, że reguła sieci Web: Sport została dopasowana, a żądanie zostało dozwolone.

Następne kroki