Självstudie: Distribuera och konfigurera Azure Firewall och princip med hjälp av Azure Portal

  • Artikel
  • 7 minuter för att läsa

En viktig del av en övergripande säkerhetsplan för nätverket är att kontrollera utgående nätverksåtkomst. Du kanske till exempel vill begränsa åtkomsten till webbplatser. Eller så kanske du vill begränsa de utgående IP-adresser och portar som kan nås.

Ett sätt att styra utgående nätverksåtkomst från ett Azure-undernät är med Azure Firewall och brandväggsprincip. Med Azure Firewall och brandväggsprincip kan du konfigurera:

  • Programreglerna som definierar fullständigt kvalificerade domännamn (FQDN) kan nås från ett undernät.
  • Nätverksregler som definierar källadress, protokoll, målport och måladress.

Nätverkstrafiken måste följa konfigurerade brandväggsregler när du vidarebefordrar den till brandväggen som standardgateway för undernätet.

I den här självstudien skapar du ett förenklat enskilt VNet med två undernät för enkel distribution.

För produktionsdistributioner rekommenderas en hubb- och ekermodell där brandväggen finns i ett eget VNet. Arbetsbelastningsservrarna finns i peer-erade virtuella nätverk i samma region med ett eller flera undernät.

  • AzureFirewallSubnet – brandväggen ligger i det här undernätet.
  • Workload-SN – arbetsbelastningsservern ligger i det här undernätet. Det här undernätets nätverkstrafik går genom brandväggen.

Självstudie om nätverksinfrastruktur

I den här guiden får du lära dig att:

  • konfigurera en testnätverksmiljö
  • Distribuera en brandväggs- och brandväggsprincip
  • Skapa en standardväg
  • Konfigurera en programregel för att tillåta åtkomst till www.google.com
  • Konfigurera en nätverksregel för att tillåta åtkomst till externa DNS-servrar
  • Konfigurera en NAT-regel för att tillåta ett fjärrskrivbord till testservern
  • testa brandväggen.

Om du vill kan du slutföra den här proceduren med hjälp av Azure PowerShell.

Krav

Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Konfigurera nätverket

Skapa först en resursgrupp som ska innehålla de resurser som behövs till att distribuera brandväggen. Skapa sedan ett VNet, undernät och en testserver.

Skapa en resursgrupp

Resursgruppen innehåller alla resurser för den här självstudien.

  1. Logga in på Azure Portal på https://portal.azure.com.
  2. På Azure Portal väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida. Välj Lägg till.
  3. I fältet Prenumeration väljer du din prenumeration.
  4. Som Resursgruppsnamn anger du Test-FW-RG.
  5. För Region väljer du en region. Alla andra resurser som du skapar måste finnas i samma region.
  6. Välj Granska + skapa.
  7. Välj Skapa.

Skapa ett virtuellt nätverk

Det här virtuella nätverket kommer att ha tre undernät.

Anteckning

Storleken på undernätet AzureFirewallSubnet är /26. Mer information om undernätsstorleken finns i vanliga frågor Azure Firewall vanliga frågor och svar.

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Välj Nätverk.

  3. Sök efter Virtuellt nätverk och välj det.

  4. Välj Skapa.

  5. I fältet Prenumeration väljer du din prenumeration.

  6. För Resursgrupp väljer du Test-FW-RG.

  7. I fältet Namn skriver du Test-FW-VN.

  8. För Region väljer du samma plats som du använde tidigare.

  9. Välj Nästa: IP-adresser.

  10. För IPv4-adressutrymme godkänner du standardinställningen 10.0.0.0/16.

  11. Under Undernät väljer du standard.

  12. För Undernätsnamn ändrar du namnet till AzureFirewallSubnet. Brandväggen kommer att ligga i det här undernätet, och namnet på undernätet måste vara AzureFirewallSubnet.

  13. I adressintervall skriver du 10.0.1.0/26.

  14. Välj Spara.

    Skapa sedan ett undernät för arbetsbelastningsservern.

  15. Välj Lägg till undernät.

  16. I undernätsnamn skriver du Workload-SN.

  17. För Adressintervall för undernät skriver du 10.0.2.0/24.

  18. Välj Lägg till.

  19. Välj Granska + skapa.

  20. Välj Skapa.

Skapa en virtuell dator

Skapa nu den virtuella arbetsbelastningsdatorn och placera den i undernätet Workload-SN.

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Välj Windows Server 2016 Datacenter.

  3. Ange följande värden för den virtuella datorn:

    Inställning Värde
    Resursgrupp Test-FW-RG
    Namn på virtuell dator Srv-Work
    Region Samma som tidigare
    Avbildning Windows Server 2016 Datacenter
    Användarnamn för administratör Ange ett användarnamn
    Lösenord Ange ett lösenord

  4. Under Regler för inkommande portar, Offentliga inkommande portar väljer du Ingen.

  5. Acceptera de andra standardvärdena och välj Nästa: Diskar.

  6. Acceptera standardinställningarna för disken och välj Nästa: Nätverk.

  7. Kontrollera att Test-FW-VN har valts för det virtuella nätverket och att undernätet är Workload-SN.

  8. För Offentlig IP väljer du Ingen.

  9. Acceptera de andra standardvärdena och välj Nästa: Hantering.

  10. Välj Inaktivera för att inaktivera startdiagnostik. Acceptera de andra standardvärdena och välj Granska + skapa.

  11. Granska inställningarna på sammanfattningssidan och välj sedan Skapa.

  12. När distributionen är klar väljer du resursen Srv-Work och noterar den privata IP-adressen för senare användning.

Distribuera brandväggen och principen

Distribuera brandväggen till det virtuella nätverket.

  1. Välj Skapa en resurs på menyn i Microsoft Azure-portalen eller från startsidan.

  2. Skriv brandväggen i sökrutan och tryck på Retur.

  3. Välj Brandvägg och sedan Skapa.

  4. På sidan Skapa en brandvägg använder du följande tabell till att konfigurera brandväggen:

    Inställning Värde
    Prenumeration <your subscription>
    Resursgrupp Test-FW-RG
    Name Test-FW01
    Region Välj samma plats som tidigare
    Brandväggshantering Använda en brandväggsprincip för att hantera den här brandväggen
    Brandväggsprincip Lägg till ny:
    fw-test-pol
    din valda region
    Välj ett virtuellt nätverk Använd befintlig: Test-FW-VN
    Offentlig IP-adress Lägg till ny:
    Namn: fw-pip

  5. Acceptera de andra standardvärdena och välj sedan Granska + skapa.

  6. Granska sammanfattningen och välj sedan Skapa för att skapa brandväggen.

    Distributionen kan ta några minuter.

  7. När distributionen är klar går du till resursgruppen Test-FW-RG och väljer brandväggen Test-FW01.

  8. Observera brandväggens privata och offentliga IP-adresser. Du kommer att använda de här adresserna senare.

Skapa en standardväg

För undernätet Workload-SN ställer du in att den utgående standardvägen ska gå via brandväggen.

  1. På Azure Portal väljer du Alla tjänster eller söker efter och väljer Alla tjänster valfri sida.
  2. Under Nätverk väljer du Route tables (Dirigera tabeller).
  3. Välj Lägg till.
  4. I fältet Prenumeration väljer du din prenumeration.
  5. För Resursgrupp väljer du Test-FW-RG.
  6. För Region väljer du samma plats som du använde tidigare.
  7. I fältet Namn skriver du Firewall-route.
  8. Välj Granska + skapa.
  9. Välj Skapa.

När distributionen är klar väljer du Gå till resurs.

  1. På sidan Brandväggsväg väljer du Undernät och sedan Associera.

  2. Välj Virtuellt > nätverk Test-FW-VN.

  3. För Undernät väljer du Workload-SN. Se till att du bara väljer undernätet Workload-SN för den här vägen, annars fungerar inte brandväggen som den ska.

  4. Välj OK.

  5. Välj Vägar och välj sedan Lägg till.

  6. Som Vägnamn skriver du fw-dg.

  7. I fältet Adressprefix skriver du 0.0.0.0/0.

  8. I fältet Nästa hopptyp väljer du Virtuell installation.

    Azure Firewall är egentligen en hanterad tjänst, men en virtuell installation fungerar i det här fallet.

  9. I fältet Nästa hoppadress skriver du brandväggens privata IP-adress som du skrev ned tidigare.

  10. Välj OK.

Konfigurera en programregel

Det här är den programregel som tillåter utgående åtkomst till www.google.com .

  1. Öppna Test-FW-RG och välj brandväggsprincipen fw-test-pol.
  2. Välj Programregler.
  3. Välj Lägg till en regelsamling.
  4. I fältet Namn skriver du App-Coll01.
  5. I fältet Prioritet skriver du 200.
  6. För Regelsamlingsåtgärd väljer du Tillåt.
  7. Under Regler skriver du Allow-Google för Namn.
  8. För Källtyp väljer du IP-adress.
  9. För Källa skriver du 10.0.2.0/24.
  10. I fältet Protokoll: port skriver du http, https.
  11. För Måltyp väljer du FQDN.
  12. För Mål skriver du www.google.com
  13. Välj Lägg till.

Azure Firewall innehåller en inbyggd regelsamling för fullständiga domännamn för mål (FQDN) i infrastrukturen som tillåts som standard. Dessa FQDN är specifika för plattformen och kan inte användas för andra ändamål. Mer information finns i Infrastruktur-FQDN.

Konfigurera en nätverksregel

Det här är nätverksregel som tillåter utgående åtkomst till två IP-adresser på port 53 (DNS).

  1. Välj Nätverksregler.
  2. Välj Lägg till en regelsamling.
  3. I fältet Namn skriver du Net-Coll01.
  4. I fältet Prioritet skriver du 200.
  5. För Regelsamlingsåtgärd väljer du Tillåt.
  6. För Regelsamlingsgrupp väljer du DefaultNetworkRuleCollectionGroup.
  7. Under Regler skriver du Allow-DNS för Namn.
  8. För Källtyp väljer du IP-adress.
  9. För Källa skriver du 10.0.2.0/24.
  10. I fältet Protokoll väljer du UDP.
  11. I fältet Målportar skriver du 53.
  12. För Måltyp väljer du IP-adress.
  13. För Mål skriver du 209.244.0.3,209.244.0.4.
    Det här är offentliga DNS-servrar som drivs av CenturyLink.
  14. Välj Lägg till.

Konfigurera en DNAT-regel

Med den här regeln kan du ansluta ett fjärrskrivbord till Srv-Work virtuella datorn via brandväggen.

  1. Välj DNAT-reglerna.
  2. Välj Lägg till en regelsamling.
  3. I namn anger du rdp.
  4. I fältet Prioritet skriver du 200.
  5. För Regelsamlingsgrupp väljer du DefaultDnatRuleCollectionGroup.
  6. Under Regler skriver du rdp-nat för Namn.
  7. För Källtyp väljer du IP-adress.
  8. I Källa skriver du * .
  9. I fältet Protokoll väljer du TCP.
  10. För Målportar skriver du 3389.
  11. För Måltyp väljer du IP-adress.
  12. För Mål anger du den offentliga IP-adressen för brandväggen.
  13. I Översatt adress anger du den privata IP-adressen Srv-work.
  14. I fältet Översatt port skriver du 3389.
  15. Välj Lägg till.

Ändra den primära och sekundära DNS-adressen för nätverksgränssnittet Srv-Work

I testsyfte i den här självstudien konfigurerar du serverns primära och sekundära DNS-adresser. Detta är inte ett allmänt Azure Firewall krav.

  1. På Azure Portal väljer du Resursgrupper eller söker efter och väljer Resursgrupper på valfri sida. Välj resursgruppen Test-FW-RG.
  2. Välj nätverksgränssnittet för den virtuella datorn Srv-Work.
  3. Under Inställningar du DNS-servrar.
  4. Under DNS-servrar väljer du Anpassad.
  5. Skriv 209.244.0.3 i textrutan Lägg till DNS-server och 209.244.0.4 i nästa textruta.
  6. Välj Spara.
  7. Starta om den virtuella datorn Srv-Work.

testa brandväggen.

Testa nu brandväggen för att bekräfta att den fungerar som förväntat.

  1. Anslut en fjärrskrivbord till brandväggens offentliga IP-adress och logga in på den virtuella datorn Srv-Work.

  2. Öppna Internet Explorer och navigera till https://www.google.com.

  3. Välj OK > Stäng på Internet Explorer säkerhetsaviseringar.

    Du bör se Googles startsida.

  4. Gå till https://www.microsoft.com.

    Du bör blockeras av brandväggen.

Så nu har du kontrollerat att brandväggsreglerna fungerar:

  • Du kan bläddra till en tillåten FQDN, men inte till andra.
  • Du kan omvandla DNS-namn med hjälp av den konfigurerade externa DNS-servern.

Rensa resurser

Du kan behålla dina brandväggsresurser för nästa självstudie eller, om de inte längre behövs, så tar du bort resursgruppen Test-FW-RG för att ta bort alla brandväggsrelaterade resurser.

Nästa steg

Distribuera och konfigurera Azure Firewall Premium