Distribuera och konfigurera Azure Firewall Premium

  • Artikel
  • 4 minuter för att läsa

Azure Firewall Premium är en nästa generations brandvägg med funktioner som krävs för mycket känsliga och reglerade miljöer. Den innehåller följande funktioner:

  • TLS-kontroll – dekrypterar utgående trafik, bearbetar data, krypterar sedan data och skickar dem till målet.
  • IDPS – Med ett system för identifiering och skydd mot intrång i nätverk (IDPS) kan du övervaka nätverksaktiviteter för skadlig aktivitet, logga information om den här aktiviteten, rapportera den och eventuellt försöka blockera den.
  • URL-filtrering – utökar Azure Firewall FQDN-filtrering för att överväga en hel URL. Till exempel i www.contoso.com/a/c stället för www.contoso.com .
  • Webbkategorier – administratörer kan tillåta eller neka användaråtkomst till webbplatskategorier som webbplatser, webbplatser för sociala medier med mera.

Mer information finns i Azure Firewall Premium funktioner.

Du använder en mall för att distribuera en testmiljö som har ett centralt VNet (10.0.0.0/16) med tre undernät:

  • ett arbetsundernät (10.0.10.0/24)
  • ett Azure Bastion undernät (10.0.20.0/24)
  • ett brandväggsundernät (10.0.100.0/24)

För enkelhetens skull används ett enda centralt VNet i den här testmiljön. I produktionssyfte är en topologi av typen nav och ekrar med peer-ade virtuella nätverk vanligare.

Central VNet-topologi

Den virtuella arbetsdatorn är en klient som skickar HTTP/S-begäranden via brandväggen.

Krav

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Distribuera infrastrukturen

Mallen distribuerar en fullständig testmiljö för Azure Firewall Premium med IDPS, TLS-inspektion, URL-filtrering och webbkategorier:

  • en ny Azure Firewall Premium och brandväggsprincip med fördefinierade inställningar som gör det enkelt att validera kärnfunktionerna (IDPS, TLS-inspektion, URL-filtrering och webbkategorier)
  • distribuerar alla beroenden, inklusive Key Vault och en hanterad identitet. I en produktionsmiljö kanske dessa resurser redan har skapats och inte behövs i samma mall.
  • genererar själv signerad rotcertifikatutfärdare och distribuerar den på den genererade Key Vault
  • genererar en härledd mellanliggande certifikatutfärdare och distribuerar den Windows en virtuell dator för test (WorkerVM)
  • en Bastion-värd (BastionHost) distribueras också och kan användas för att ansluta till Windows-testdatorn (WorkerVM)

Distribuera till Azure

testa brandväggen.

Nu kan du testa IDPS, TLS-inspektion, webbfiltrering och webbkategorier.

Lägga till inställningar för brandväggsdiagnostik

Om du vill samla in brandväggsloggar måste du lägga till diagnostikinställningar för att samla in brandväggsloggar.

  1. Välj DemoFirewall och under Övervakning väljer du Diagnostikinställningar.
  2. Välj Lägg till diagnostikinställning.
  3. I Namn på diagnostikinställning skriver du fw-diag.
  4. Under loggen väljer du AzureFirewallApplicationRule och AzureFirewallNetworkRule.
  5. Under Målinformation väljer du Skicka till Log Analytics-arbetsytan.
  6. Välj Spara.

IDPS-tester

Om du vill testa IDPS måste du distribuera en egen intern webbserver med ett lämpligt servercertifikat. Mer information om hur Azure Firewall Premium certifikatkrav finns i Azure Firewall Premium certifikat.

Du kan använda curl för att styra olika HTTP-huvuden och simulera skadlig trafik.

Så här testar du IDPS för HTTP-trafik:

  1. Öppna ett kommandotolkfönster för administratör på den virtuella WorkerVM-datorn.

  2. Skriv följande kommando i kommandotolken:

    curl -A "BlackSun" <your web server address>

  3. Webbserversvaret visas.

  4. Gå till brandväggens nätverksregelloggar på Azure Portal för att hitta en avisering som liknar följande meddelande:

    Aviseringsmeddelande

    Anteckning

    Det kan ta lite tid innan data börjar visas i loggarna. Ge det minst ett par minuter så att loggarna kan börja visa data.

  5. Lägg till en signaturregel för signatur 2008983:

    1. Välj DemoFirewallPolicy och välj IDPS under Inställningar.
    2. Välj fliken Signaturregler.
    3. Under Signatur-ID skriver du i den öppna textrutan 2008983.
    4. Under Läge väljer du Neka.
    5. Välj Spara.
    6. Vänta tills distributionen har slutförts innan du fortsätter.

  6. På WorkerVM kör du curl kommandot igen:

    curl -A "BlackSun" <your web server address>

    Eftersom HTTP-begäran nu blockeras av brandväggen visas följande utdata när tidsgränsen för anslutningen upphör att gälla:

    read tcp 10.0.100.5:55734->10.0.20.10:80: read: connection reset by peer

  7. Gå till övervakningsloggarna i Azure Portal och leta upp meddelandet för den blockerade begäran.

Testa IDPS för HTTPS-trafik

Upprepa curl-testerna med HTTPS i stället för HTTP. Exempel:

curl --ssl-no-revoke -A "BlackSun" <your web server address>

Du bör se samma resultat som du fick med HTTP-testerna.

TLS-inspektion med URL-filtrering

Använd följande steg för att testa TLS-inspektion med URL-filtrering.

  1. Redigera brandväggsprincipens programregler och lägg till en ny regel med AllowURL namnet i AllowWeb regelsamlingen. Konfigurera mål-URL, www.nytimes.com/section/world käll-IP-adress * _, måltyp _ URL, välj TLS-inspektion och protokoll http, https.

  2. När distributionen är klar öppnar du en webbläsare på WorkerVM och går till och kontrollerar att HTML-svaret visas https://www.nytimes.com/section/world som förväntat i webbläsaren.

  3. I Azure Portal kan du visa hela URL:en i övervakningsloggarna för programregeln:

    Aviseringsmeddelande som visar URL:en

Vissa HTML-sidor kan se ofullständiga ut eftersom de refererar till andra URL:er som nekas. För att lösa det här problemet kan du använda följande metod:

  • Om HTML-sidan innehåller länkar till andra domäner kan du lägga till dessa domäner i en ny programregel med tillåt åtkomst till dessa FQDN.

  • Om HTML-sidan innehåller länkar till under-URL:er kan du ändra regeln och lägga till en asterisk i URL:en. Exempelvis: targetURLs=www.nytimes.com/section/world*

    Du kan också lägga till en ny URL i regeln. Exempel:

    www.nytimes.com/section/world, www.nytimes.com/section/world/*

Testning av webbkategorier

Nu ska vi skapa en programregel för att tillåta åtkomst till sportwebbplatser.

  1. Öppna resursgruppen från portalen och välj DemoFirewallPolicy.

  2. Välj Programregler och sedan Lägg till en regelsamling.

  3. I Namn skriver du GeneralWeb, Priority 103, Rule collection group (Regelsamlingsgrupp) och väljer DefaultApplicationRuleCollectionGroup.

  4. Under Regler för Namn skriver du AllowSports, Source , Protocol http, https , väljer TLS inspection , Destination Type (Måltyp) och Web * categories (Webbkategorier), Destination (Mål) och Sports (Sport).

  5. Välj Lägg till.

    Sportwebbkategori

  6. När distributionen är klar går du till WorkerVM, öppnar en webbläsare och bläddrar till https://www.nfl.com .

    Du bör se NFL-webbsidan och programregelloggen visar att en webbkategori: sportregel matchades och att begäran tilläts.

Nästa steg