Samouczek: Wdrażanie i konfigurowanie usługi Azure Firewall przy użyciu witryny Azure PortalTutorial: Deploy and configure Azure Firewall using the Azure portal

Kontrolowanie dostępu do sieciowego ruchu wychodzącego jest ważną częścią ogólnego planu zabezpieczeń sieci.Controlling outbound network access is an important part of an overall network security plan. Na przykład możesz chcieć ograniczyć dostęp do witryn sieci Web.For example, you may want to limit access to web sites. Można też ograniczyć liczbę wychodzących adresów IP i portów, do których można uzyskać dostęp.Or, you may want to limit the outbound IP addresses and ports that can be accessed.

Jednym ze sposobów kontrolowania dostępu do sieciowego ruchu wychodzącego z podsieci platformy Azure jest użycie usługi Azure Firewall.One way you can control outbound network access from an Azure subnet is with Azure Firewall. Za pomocą usługi Azure Firewall można skonfigurować następujące reguły:With Azure Firewall, you can configure:

  • Reguły aplikacji, które definiują w pełni kwalifikowane nazwy domen (FQDN), do których można uzyskać dostęp z podsieci.Application rules that define fully qualified domain names (FQDNs) that can be accessed from a subnet.
  • Reguły sieci, które definiują adres źródłowy, protokół, port docelowy i adres docelowy.Network rules that define source address, protocol, destination port, and destination address.

Ruch sieciowy podlega skonfigurowanym regułom zapory podczas kierowania ruchu sieciowego do zapory jako bramy domyślnej podsieci.Network traffic is subjected to the configured firewall rules when you route your network traffic to the firewall as the subnet default gateway.

W tym samouczku utworzysz uproszczoną pojedynczą sieć wirtualną z trzema podsieciami w celu łatwego wdrażania.For this tutorial, you create a simplified single VNet with three subnets for easy deployment. W przypadku wdrożeń produkcyjnych zaleca się model Hub i szprych , gdzie Zapora znajduje się w własnej sieci wirtualnej.For production deployments, a hub and spoke model is recommended, where the firewall is in its own VNet. Serwery obciążenia znajdują się w sieci wirtualnych komunikacji równorzędnej w tym samym regionie co co najmniej jedna podsieć.The workload servers are in peered VNets in the same region with one or more subnets.

  • AzureFirewallSubnet — w tej podsieci znajduje się zapora.AzureFirewallSubnet - the firewall is in this subnet.
  • Workload-SN — w tej podsieci znajduje się serwer obciążeń.Workload-SN - the workload server is in this subnet. Ruch sieciowy tej podsieci przechodzi przez zaporę.This subnet's network traffic goes through the firewall.
  • Jump-SN — w tej podsieci znajduje się serwer przesiadkowy.Jump-SN - The "jump" server is in this subnet. Serwer przesiadkowy ma publiczny adres IP, z którym możesz nawiązać połączenie przy użyciu pulpitu zdalnego.The jump server has a public IP address that you can connect to using Remote Desktop. Stamtąd możesz połączyć się (przy użyciu innego pulpitu zdalnego) z serwerem obciążeń.From there, you can then connect to (using another Remote Desktop) the workload server.

Infrastruktura sieci samouczka

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:In this tutorial, you learn how to:

  • Konfigurowanie testowego środowiska sieciowegoSet up a test network environment
  • Wdrażanie zaporyDeploy a firewall
  • Tworzenie trasy domyślnejCreate a default route
  • Skonfiguruj regułę aplikacji, aby zezwolić na dostęp do www.google.comConfigure an application rule to allow access to www.google.com
  • Konfigurowanie reguły sieci w celu umożliwienia dostępu do zewnętrznych serwerów DNSConfigure a network rule to allow access to external DNS servers
  • Testowanie zaporyTest the firewall

Jeśli chcesz, możesz wykonać kroki tego samouczka przy użyciu programu Azure PowerShell.If you prefer, you can complete this tutorial using Azure PowerShell.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.If you don't have an Azure subscription, create a free account before you begin.

Konfigurowanie sieciSet up the network

Najpierw utwórz grupę zasobów zawierającą zasoby wymagane do wdrożenia zapory.First, create a resource group to contain the resources needed to deploy the firewall. Następnie utwórz sieć wirtualną, podsieci i serwery do obsługi testowania.Then create a VNet, subnets, and test servers.

Tworzenie grupy zasobówCreate a resource group

Grupa zasobów zawiera wszystkie zasoby wymagane w tym samouczku.The resource group contains all the resources for the tutorial.

  1. Zaloguj się do witryny Azure Portal pod adresem https://portal.azure.com.Sign in to the Azure portal at https://portal.azure.com.
  2. Na stronie głównej Azure Portal wybierz pozycję grupy > zasobówDodaj.On the Azure portal home page, select Resource groups > Add.
  3. W polu Nazwa grupy zasobów wpisz Test-FW-RG.For Resource group name, type Test-FW-RG.
  4. W polu Subskrypcja wybierz subskrypcję.For Subscription, select your subscription.
  5. W polu Lokalizacja grupy zasobów wybierz lokalizację.For Resource group location, select a location. Wszystkie kolejne zasoby, które utworzysz, muszą znajdować się w tej samej lokalizacji.All subsequent resources that you create must be in the same location.
  6. Wybierz pozycję Utwórz.Select Create.

Tworzenie sieci wirtualnejCreate a VNet

Ta sieć wirtualna będzie zawierać trzy podsieci.This VNet will contain three subnets.

Uwaga

Rozmiar podsieci AzureFirewallSubnet to/26.The size of the AzureFirewallSubnet subnet is /26. Aby uzyskać więcej informacji o rozmiarze podsieci, zobacz często zadawane pytania dotyczące zapory platformy Azure.For more information about the subnet size, see Azure Firewall FAQ.

  1. Na stronie głównej Azure Portal wybierz pozycję Utwórz zasób.From the Azure portal home page, select Create a resource.
  2. W obszarze Siećwybierz pozycję Sieć wirtualna.Under Networking, select Virtual network.
  3. W polu Nazwa wpisz wartość Test-FW-VN.For Name, type Test-FW-VN.
  4. W polu Przestrzeń adresowa wpisz wartość 10.0.0.0/16.For Address space, type 10.0.0.0/16.
  5. W polu Subskrypcja wybierz subskrypcję.For Subscription, select your subscription.
  6. W obszarze Grupa zasobówwybierz pozycję test-PD-RG.For Resource group, select Test-FW-RG.
  7. W polu Lokalizacja wybierz tę samą lokalizację, która była używana poprzednio.For Location, select the same location that you used previously.
  8. W obszarze Podsieci w polu Nazwa wpisz wartość AzureFirewallSubnet.Under Subnet, for Name type AzureFirewallSubnet. Zapora będzie znajdować się w tej podsieci, a nazwą podsieci musi być AzureFirewallSubnet.The firewall will be in this subnet, and the subnet name must be AzureFirewallSubnet.
  9. W obszarze zakres adresówwpisz 10.0.1.0/26.For Address range, type 10.0.1.0/26.
  10. Zaakceptuj inne ustawienia domyślne, a następnie wybierz pozycję Utwórz.Accept the other default settings, and then select Create.

Tworzenie dodatkowych podsieciCreate additional subnets

Następnie należy utworzyć podsieci dla serwera przesiadkowego oraz podsieci dla serwerów obciążeń.Next, create subnets for the jump server, and a subnet for the workload servers.

  1. Na stronie głównej Azure Portal wybierz pozycję grupy > zasobówtest-PD-RG.On the Azure portal home page, select Resource groups > Test-FW-RG.
  2. Wybierz sieć wirtualną test-PD-VN .Select the Test-FW-VN virtual network.
  3. Wybierz kolejno pozycje podsieci > + podsieć.Select Subnets > +Subnet.
  4. W polu Nazwa wpisz wartość Workload-SN.For Name, type Workload-SN.
  5. W polu Zakres adresów wpisz wartość 10.0.2.0/24.For Address range, type 10.0.2.0/24.
  6. Kliknij przycisk OK.Select OK.

Utwórz kolejną podsieć z nazwą Jump-SN i zakresem adresów 10.0.3.0/24.Create another subnet named Jump-SN, address range 10.0.3.0/24.

Tworzenie maszyn wirtualnychCreate virtual machines

Teraz utwórz maszyny wirtualne przesiadkową i obciążeń, a następnie umieść je w odpowiednich podsieciach.Now create the jump and workload virtual machines, and place them in the appropriate subnets.

  1. W witrynie Azure Portal wybierz pozycję Utwórz zasób.On the Azure portal, select Create a resource.

  2. Wybierz pozycję Compute, a następnie z listy Polecane wybierz pozycję Windows Server 2016 Datacenter.Select Compute and then select Windows Server 2016 Datacenter in the Featured list.

  3. Wprowadź poniższe wartości dla maszyny wirtualnej:Enter these values for the virtual machine:

    UstawienieSetting ValueValue
    Resource groupResource group Test-PD-RGTest-FW-RG
    Nazwa maszyny wirtualnejVirtual machine name SRV — PrzeskoczSrv-Jump
    RegionRegion Taki sam jak poprzedniSame as previous
    Nazwa użytkownika administratoraAdministrator user name azureuserazureuser
    HasłoPassword Azure123456!Azure123456!
  4. W obszarze reguły portów ruchu przychodzącegodla publicznych portów przychodzącychwybierz opcję Zezwalaj na wybrane porty.Under Inbound port rules, for Public inbound ports, select Allow selected ports.

  5. W obszarze Wybierz porty wejściowe wybierz pozycję RDP (3389) .For Select inbound ports, select RDP (3389).

  6. Zaakceptuj inne ustawienia domyślne i wybierz pozycję Dalej: Dyski.Accept the other defaults and select Next: Disks.

  7. Zaakceptuj ustawienia domyślne dysku i wybierz pozycję Dalej: Sieć.Accept the disk defaults and select Next: Networking.

  8. Upewnij się, że wybrano sieć wirtualną Test-FW-VN i podsieć Jump-SN.Make sure that Test-FW-VN is selected for the virtual network and the subnet is Jump-SN.

  9. Dla publicznego adresu IPzaakceptuj domyślną nową nazwę publicznego adresu IP (SRV-skoku-IP).For Public IP, accept the default new public ip address name (Srv-Jump-ip).

  10. Zaakceptuj inne ustawienia domyślne i wybierz pozycję Dalej: Zarządzanie.Accept the other defaults and select Next: Management.

  11. Wybierz pozycję wyłączone , aby wyłączyć diagnostykę rozruchu.Select Off to disable boot diagnostics. Zaakceptuj inne ustawienia domyślne i wybierz pozycję Recenzja + Utwórz.Accept the other defaults and select Review + create.

  12. Przejrzyj ustawienia na stronie Podsumowanie, a następnie wybierz pozycję Utwórz.Review the settings on the summary page, and then select Create.

Skorzystaj z informacji podanych w poniższej tabeli, aby skonfigurować inną maszynę wirtualną o nazwie SRV.Use the information in the following table to configure another virtual machine named Srv-Work. Pozostała część konfiguracji jest taka sama jak w przypadku maszyny wirtualnej Srv-Jump.The rest of the configuration is the same as the Srv-Jump virtual machine.

UstawienieSetting WartośćValue
SubnetSubnet Workload-SNWorkload-SN
Publiczny adres IPPublic IP BrakNone
Publiczne porty wejściowePublic inbound ports BrakNone

Wdrażanie zaporyDeploy the firewall

Wdróż zaporę w sieci wirtualnej.Deploy the firewall into the VNet.

  1. Na stronie głównej portalu wybierz pozycję Utwórz zasób.From the portal home page, select Create a resource.

  2. W polu wyszukiwania wpisz zaporę i naciśnij klawisz Enter.Type firewall in the search box and press Enter.

  3. Wybierz opcję Zapora , a następnie wybierz pozycję Utwórz.Select Firewall and then select Create.

  4. Na stronie Tworzenie zapory strony skorzystaj z poniższej tabeli, aby skonfigurować zaporę:On the Create a Firewall page, use the following table to configure the firewall:

    UstawienieSetting ValueValue
    SubscriptionSubscription <Twoja subskrypcja><your subscription>
    Resource groupResource group Test-PD-RGTest-FW-RG
    NameName Test-FW01Test-FW01
    LocationLocation Wybierz tę samą lokalizację, której użyto poprzednioSelect the same location that you used previously
    Wybierz sieć wirtualnąChoose a virtual network Użyj istniejącej: Test-PD-VNUse existing: Test-FW-VN
    Publiczny adres IPPublic IP address Utwórz nową.Create new. Publiczny adres IP musi mieć typ Standardowa jednostka SKU.The Public IP address must be the Standard SKU type.
  5. Wybierz pozycję Przegląd + utwórz.Select Review + create.

  6. Przejrzyj podsumowanie, a następnie wybierz pozycję Utwórz , aby utworzyć zaporę.Review the summary, and then select Create to create the firewall.

    Wdrożenie potrwa klika minut.This will take a few minutes to deploy.

  7. Po zakończeniu wdrażania przejdź do grupy zasobów test-PD-RG , a następnie wybierz zaporę test-FW01 .After deployment completes, go to the Test-FW-RG resource group, and select the Test-FW01 firewall.

  8. Zanotuj prywatny adres IP.Note the private IP address. Użyjesz go później podczas tworzenia trasy domyślnej.You'll use it later when you create the default route.

Tworzenie trasy domyślnejCreate a default route

Na potrzeby podsieci Workload-SN skonfiguruj trasę domyślną ruchu wychodzącego, aby przechodziła przez zaporę.For the Workload-SN subnet, configure the outbound default route to go through the firewall.

  1. Na stronie głównej Azure Portal wybierz pozycję wszystkie usługi.From the Azure portal home page, select All services.

  2. W obszarze Siećwybierz pozycję tabele tras.Under Networking, select Route tables.

  3. Wybierz pozycję Dodaj.Select Add.

  4. W polu Nazwa wpisz wartość Firewall-route.For Name, type Firewall-route.

  5. W polu Subskrypcja wybierz subskrypcję.For Subscription, select your subscription.

  6. W obszarze Grupa zasobówwybierz pozycję test-PD-RG.For Resource group, select Test-FW-RG.

  7. W polu Lokalizacja wybierz tę samą lokalizację, która była używana poprzednio.For Location, select the same location that you used previously.

  8. Wybierz pozycję Utwórz.Select Create.

  9. Wybierz pozycję Odśwież, a następnie wybierz tabelę Zapora trasy tras .Select Refresh, and then select the Firewall-route route table.

  10. Wybierz pozycję podsieci , a następnie wybierz pozycję Skojarz.Select Subnets and then select Associate.

  11. Wybierz pozycję Virtual Network > test-PD-VN.Select Virtual network > Test-FW-VN.

  12. Wobszarze podsieć wybierz pozycję obciążenie — SN.For Subnet, select Workload-SN. Upewnij się, że dla tej trasy jest zaznaczona tylko podsieć obciążenia-SN , w przeciwnym razie Zapora nie będzie działała poprawnie.Make sure that you select only the Workload-SN subnet for this route, otherwise your firewall won't work correctly.

  13. Kliknij przycisk OK.Select OK.

  14. Wybierz pozycję trasy , a następnie wybierz pozycję Dodaj.Select Routes and then select Add.

  15. Dla nazwy trasywpisz PD-DG.For Route name, type fw-dg.

  16. W polu Prefiks adresu wpisz wartość 0.0.0.0/0.For Address prefix, type 0.0.0.0/0.

  17. W obszarze Typ następnego skoku wybierz pozycję Urządzenie wirtualne.For Next hop type, select Virtual appliance.

    Usługa Azure Firewall to w rzeczywistości usługa zarządzana, ale urządzenie wirtualne działa w tej sytuacji.Azure Firewall is actually a managed service, but virtual appliance works in this situation.

  18. W polu Adres następnego skoku wpisz wcześniej zanotowany prywatny adres IP zapory.For Next hop address, type the private IP address for the firewall that you noted previously.

  19. Kliknij przycisk OK.Select OK.

Konfigurowanie reguły aplikacjiConfigure an application rule

Jest to reguła aplikacji zezwalająca na dostęp wychodzący do www.google.com.This is the application rule that allows outbound access to www.google.com.

  1. Otwórz polecenie test-PD-RGi wybierz zaporę test-FW01 .Open the Test-FW-RG, and select the Test-FW01 firewall.
  2. Na stronie test-FW01 w obszarze Ustawieniawybierz pozycję reguły.On the Test-FW01 page, under Settings, select Rules.
  3. Wybierz kartę Kolekcja reguł aplikacji .Select the Application rule collection tab.
  4. Wybierz pozycję Dodaj kolekcję reguł aplikacji.Select Add application rule collection.
  5. W polu Nazwa wpisz wartość App-Coll01.For Name, type App-Coll01.
  6. W polu Priorytet wpisz wartość 200.For Priority, type 200.
  7. W polu Akcja wybierz opcję Zezwalaj.For Action, select Allow.
  8. W obszarze reguły, docelowe nazwy FQDN, w polu Nazwawpisz Zezwól-Google.Under Rules, Target FQDNs, for Name, type Allow-Google.
  9. W polu Adresy źródłowe wpisz wartość 10.0.2.0/24.For Source Addresses, type 10.0.2.0/24.
  10. W polu Protocol:port wpisz wartość http, https.For Protocol:port, type http, https.
  11. W przypadku docelowych nazw FQDNwpisz www.Google.comFor Target FQDNS, type www.google.com
  12. Wybierz pozycję Dodaj.Select Add.

Usługa Azure Firewall zawiera wbudowaną kolekcję reguł dla nazw FQDN infrastruktury, które domyślnie są dozwolone.Azure Firewall includes a built-in rule collection for infrastructure FQDNs that are allowed by default. Te nazwy FQDN są specyficzne dla platformy i nie można ich używać do innych celów.These FQDNs are specific for the platform and can't be used for other purposes. Aby uzyskać więcej informacji, zobacz Infrastrukturalne nazwy FQDN.For more information, see Infrastructure FQDNs.

Konfigurowanie reguły sieciConfigure a network rule

Jest to reguła sieci, która umożliwia ruchowi wychodzącemu dostęp do dwóch adresów IP na porcie 53 (DNS).This is the network rule that allows outbound access to two IP addresses at port 53 (DNS).

  1. Wybierz kartę Kolekcja reguł sieci .Select the Network rule collection tab.

  2. Wybierz pozycję Dodaj kolekcję reguł sieci.Select Add network rule collection.

  3. W polu Nazwa wpisz wartość Net-Coll01.For Name, type Net-Coll01.

  4. W polu Priorytet wpisz wartość 200.For Priority, type 200.

  5. W polu Akcja wybierz opcję Zezwalaj.For Action, select Allow.

  6. W obszarze reguły, w polu Nazwawpisz Allow-DNS.Under Rules, for Name, type Allow-DNS.

  7. W polu Protokół wybierz UDP.For Protocol, select UDP.

  8. W polu Adresy źródłowe wpisz wartość 10.0.2.0/24.For Source Addresses, type 10.0.2.0/24.

  9. W polu Adres docelowy wpisz wartość 209.244.0.3,209.244.0.4For Destination address, type 209.244.0.3,209.244.0.4

  10. W polu Porty docelowe wpisz wartość 53.For Destination Ports, type 53.

  11. Wybierz pozycję Dodaj.Select Add.

Zmienianie podstawowego i pomocniczego adresu DNS dla interfejsu sieciowego Srv-WorkChange the primary and secondary DNS address for the Srv-Work network interface

W celach testowych w tym samouczku Skonfiguruj podstawowe i pomocnicze adresy serwera DNS.For testing purposes in this tutorial, configure the server's primary and secondary DNS addresses. To nie jest ogólne wymaganie dotyczące zapory platformy Azure.This isn't a general Azure Firewall requirement.

  1. W witrynie Azure Portal otwórz grupę zasobów Test-FW-RG.From the Azure portal, open the Test-FW-RG resource group.
  2. Wybierz interfejs sieciowy dla maszyny wirtualnej SRV .Select the network interface for the Srv-Work virtual machine.
  3. W obszarze Ustawieniawybierz pozycję serwery DNS.Under Settings, select DNS servers.
  4. W obszarze serwery DNSwybierz opcję niestandardowe.Under DNS servers, select Custom.
  5. Wpisz wartość 209.244.0.3 w polu tekstowym Dodaj serwer DNS, a następnie wpisz wartość 209.244.0.4 w następnym polu tekstowym.Type 209.244.0.3 in the Add DNS server text box, and 209.244.0.4 in the next text box.
  6. Wybierz pozycję Zapisz.Select Save.
  7. Uruchom ponownie maszynę wirtualną Srv-Work.Restart the Srv-Work virtual machine.

Testowanie zaporyTest the firewall

Teraz Przetestuj zaporę, aby upewnić się, że działa zgodnie z oczekiwaniami.Now, test the firewall to confirm that it works as expected.

  1. W witrynie Azure Portal sprawdź ustawienia sieci dla maszyny wirtualnej Srv-Work i zanotuj prywatny adres IP.From the Azure portal, review the network settings for the Srv-Work virtual machine and note the private IP address.

  2. Połącz pulpit zdalny z maszyną wirtualną z przeskokiem SRV i zaloguj się.Connect a remote desktop to Srv-Jump virtual machine, and sign in. W tym miejscu Otwórz połączenie pulpitu zdalnego z prywatnym adresem IP SRV .From there, open a remote desktop connection to the Srv-Work private IP address.

  3. Otwórz program Internet Explorer i przejdź do https://www.google.com.Open Internet Explorer and browse to https://www.google.com.

  4. Wybierz pozycję OK > Zamknij na stronie Alerty zabezpieczeń programu Internet Explorer.Select OK > Close on the Internet Explorer security alerts.

    Powinna zostać wyświetlona strona główna Google.You should see the Google home page.

  5. Przejdź do https://www.microsoft.com.Browse to https://www.microsoft.com.

    Dostęp powinien zostać zablokowany przez zaporę.You should be blocked by the firewall.

Teraz sprawdzono, że reguły zapory działają:So now you've verified that the firewall rules are working:

  • Możesz przejść do jednej z dozwolonych nazw FQDN, ale nie do innych.You can browse to the one allowed FQDN, but not to any others.
  • Możesz rozpoznać nazwy DNS przy użyciu skonfigurowanego zewnętrznego serwera DNS.You can resolve DNS names using the configured external DNS server.

Oczyszczanie zasobówClean up resources

Możesz zachować zasoby zapory na potrzeby kolejnego samouczka, a jeśli nie będą już potrzebne, możesz usunąć grupę zasobów Test-FW-RG, aby usunąć wszystkie zasoby związane z zaporą.You can keep your firewall resources for the next tutorial, or if no longer needed, delete the Test-FW-RG resource group to delete all firewall-related resources.

Następne krokiNext steps