Nasazení a konfigurace Azure Firewall Basic a zásad pomocí Azure Portal

  • Článek

Azure Firewall Basic poskytuje základní ochranu, kterou zákazníci smb potřebují, za dostupnou cenu. Toto řešení se doporučuje pro zákaznická prostředí SMB s požadavky na propustnost nižší než 250 Mb/s. Doporučujeme nasadit skladovou položku Standard pro prostředí s požadavky na propustnost vyšší než 250 Mb/s a skladovou položku Premium pro rozšířenou ochranu před internetovými útoky.

Filtrování síťového a aplikačního provozu je důležitou součástí celkového plánu zabezpečení sítě. Můžete například chtít omezit přístup k webům. Nebo můžete chtít omezit odchozí IP adresy a porty, ke kterým je možné přistupovat.

Jedním ze způsobů, jak řídit příchozí i odchozí síťový přístup z podsítě Azure, je Azure Firewall a zásady brány firewall. Pomocí Azure Firewall a zásad brány firewall můžete nakonfigurovat:

  • Pravidla aplikace, která definují plně kvalifikované názvy domén, ke kterým je možné získat přístup z podsítě.
  • Pravidla sítě, která definují zdrojovou adresu, protokol, cílový port a cílovou adresu.
  • Pravidla DNAT pro překlad a filtrování příchozího internetového provozu do vašich podsítí.

Síťový provoz podléhá nakonfigurovaným pravidlům brány firewall, když ho směrujete na bránu firewall jako na výchozí bránu podsítě.

Pro tento postup vytvoříte zjednodušenou jednu virtuální síť se třemi podsítěmi pro snadné nasazení. Firewall Basic má povinný požadavek na konfiguraci síťové karty pro správu.

  • AzureFirewallSubnet – v této podsíti bude brána firewall.
  • AzureFirewallManagementSubnet – pro provoz správy služeb.
  • Workload-SN – v této podsíti bude server úloh. Provoz této podsítě bude procházet bránou firewall.

Poznámka

Vzhledem k tomu, že Azure Firewall Basic má ve srovnání se skladovou položkou Azure Firewall Standard nebo Premium omezený provoz, vyžaduje, aby podsíť AzureFirewallManagementSubnet oddělila zákaznický provoz od provozu správy Microsoftu, aby nedošlo k přerušení provozu. Tento provoz správy je nutný pro komunikaci s metrikami stavu aktualizací a stavu, ke které dochází automaticky pouze do a z Microsoftu. Na této IP adrese nejsou povolená žádná další připojení.

Pro produkční nasazení se doporučuje hvězdicový model , ve kterém je brána firewall ve své vlastní virtuální síti. Servery úloh jsou v partnerských virtuálních sítích ve stejné oblasti s jednou nebo více podsítěmi.

V tomto návodu se naučíte:

  • Nastavit testovací síťové prostředí
  • Nasazení základní brány firewall a základních zásad brány firewall
  • Vytvoření výchozí trasy
  • Konfigurace pravidla aplikace pro povolení přístupu k www.google.com
  • Nakonfigurovat pravidlo sítě pro povolení přístupu k externím serverům DNS
  • Konfigurace pravidla překladu adres (NAT) pro povolení připojení ke vzdálené ploše testovacího serveru
  • Testování brány firewall

Pokud chcete, můžete tento postup dokončit pomocí Azure PowerShell.

Požadavky

Pokud ještě předplatné Azure nemáte, vytvořte si napřed bezplatný účet.

Vytvoření skupiny prostředků

Skupina prostředků obsahuje všechny prostředky pro tento postup.

  1. Přihlaste se k webu Azure Portal.
  2. V nabídce Azure Portal vyberte Skupiny prostředků nebo na libovolné stránce vyhledejte a vyberte Skupiny prostředků. Potom vyberte Vytvořit.
  3. V části Předplatné vyberte své předplatné.
  4. Jako Název skupiny prostředků zadejte Test-FW-RG.
  5. V části Oblast vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Nasazení brány firewall a zásad

Nasaďte bránu firewall a vytvořte přidruženou síťovou infrastrukturu.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Do vyhledávacího pole zadejte firewall a stiskněte Enter.

  3. Vyberte Brána firewall a pak vyberte Vytvořit.

  4. Na stránce Vytvoření brány firewall nakonfigurujte bránu firewall podle následující tabulky:

    Nastavení Hodnota
    Předplatné <Vaše předplatné>
    Skupina prostředků Test-FW-RG
    Name Test-FW01
    Oblast Vyberte dříve použité umístění.
    Úroveň brány firewall Basic
    Správa brány firewall Použití zásad brány firewall ke správě této brány firewall
    Zásady brány firewall Přidat nový:
    fw-test-pol
    Vybraná oblast
    Výchozí úroveň zásad by měla být Basic.
    Volba virtuální sítě Vytvořit nový
    Název: Test-FW-VN
    Adresní prostor: 10.0.0.0/16
    Adresní prostor podsítě: 10.0.0.0/26
    Veřejná IP adresa Přidat nový:
    Název: fw-pip
    Správa – Adresní prostor podsítě 10.0.1.0/26
    Veřejná IP adresa pro správu Přidat nový
    fw-mgmt-pip

  5. Přijměte ostatní výchozí hodnoty a pak vyberte Zkontrolovat a vytvořit.

  6. Zkontrolujte souhrn a pak výběrem možnosti Vytvořit vytvořte bránu firewall.

    Nasazení může několik minut trvat.

  7. Po dokončení nasazení přejděte do skupiny prostředků Test-FW-RG a vyberte bránu firewall Test-FW01 .

  8. Poznamenejte si privátní a veřejnou IP adresu brány firewall (fw-pip). Tyto adresy použijete později.

Vytvoření podsítě pro server úloh

Dále vytvořte podsíť pro server úloh.

  1. Přejděte do skupiny prostředků Test-FW-RG a vyberte virtuální síť Test-FW-VN .
  2. Vyberte Podsítě.
  3. Vyberte Podsíť.
  4. Jako Název podsítě zadejte Workload-SN.
  5. Jako Rozsah adres podsítě zadejte 10.0.2.0/24.
  6. Vyberte Uložit.

Vytvoření virtuálního počítače

Teď vytvořte virtuální počítač úlohy a umístěte ho do podsítě Workload-SN .

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Windows Server 2019 Datacenter.

  3. Zadejte pro virtuální počítač tyto hodnoty:

    Nastavení Hodnota
    Skupina prostředků Test-FW-RG
    Název virtuálního počítače Srv-Work
    Oblast Stejné jako předchozí
    Image Windows Server 2019 Datacenter
    Uživatelské jméno správce Zadejte uživatelské jméno.
    Heslo Zadejte heslo.

  4. V části Pravidla portů pro příchozí spojení, Veřejné příchozí porty vyberte Žádné.

  5. Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.

  6. Přijměte výchozí hodnoty disku a vyberte Další: Sítě.

  7. Ujistěte se, že je pro virtuální síť vybraná možnost Test-FW-VN a že podsíť je Workload-SN.

  8. V části Veřejná IP adresa vyberte Žádná.

  9. Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.

  10. Vyberte Další: Monitorování.

  11. Výběrem možnosti Zakázat zakažte diagnostiku spouštění. Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.

  12. Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

  13. Po dokončení nasazení vyberte prostředek Srv-Work a poznamenejte si privátní IP adresu pro pozdější použití.

Vytvoření výchozí trasy

U podsítě Workload-SN nakonfigurujte výchozí trasu v odchozím směru, která půjde přes bránu firewall.

  1. V nabídce Azure Portal vyberte Všechny služby nebo na libovolné stránce vyhledejte a vyberte Všechny služby.
  2. V části Sítě vyberte Směrovací tabulky.
  3. Vyberte Vytvořit.
  4. V části Předplatné vyberte své předplatné.
  5. Jako Skupina prostředků vyberte Test-FW-RG.
  6. Jako Oblast vyberte stejné umístění, které jste použili dříve.
  7. Jako Název zadejte Firewall-route.
  8. Vyberte Zkontrolovat a vytvořit.
  9. Vyberte Vytvořit.

Po dokončení nasazení vyberte Přejít k prostředku.

  1. Na stránce Trasa brány firewall vyberte Podsítě a pak vyberte Přidružit.

  2. Vyberte Virtuální síť>Test-FW-VN.

  3. Jako Podsíť vyberte Workload-SN. Ujistěte se, že jste pro tuto trasu vybrali jenom podsíť Workload-SN , jinak brána firewall nebude fungovat správně.

  4. Vyberte OK.

  5. Vyberte Trasy a pak vyberte Přidat.

  6. Jako Název trasy zadejte fw-dg.

  7. Jako Cíl předpony adresy vyberte IP adresy.

  8. Jako Cílové IP adresy nebo rozsahy CIDR zadejte 0.0.0.0/0.

  9. V části Typ dalšího směrování vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.

  10. V části Adresa dalšího směrování zadejte dříve poznamenanou privátní IP adresu brány firewall.

  11. Vyberte Přidat.

Konfigurace pravidla aplikace

Toto je pravidlo aplikace, které umožňuje odchozí přístup k www.google.com.

  1. Otevřete test-FW-RG a vyberte zásadu firewallu fw-test-pol .
  2. Vyberte Pravidla aplikací.
  3. Vyberte Přidat kolekci pravidel.
  4. Jako Název zadejte App-Coll01.
  5. V části Priorita zadejte 200.
  6. V části Akce shromažďování pravidel vyberte Povolit.
  7. V části Pravidla do pole Název zadejte Allow-Google.
  8. Jako Typ zdroje vyberte IP adresa.
  9. Jako Zdroj zadejte 10.0.2.0/24.
  10. V části Protokol:Port zadejte http, https.
  11. Jako Typ cíle vyberte plně kvalifikovaný název domény.
  12. Jako Cíl zadejte www.google.com
  13. Vyberte Přidat.

Brána Azure Firewall obsahuje předdefinovanou kolekci pravidel pro infrastrukturu plně kvalifikovaných názvů domén, které jsou ve výchozím nastavení povolené. Tyto plně kvalifikované názvy domén jsou specifické pro tuto platformu a pro jiné účely je nelze použít. Další informace najdete v tématu Plně kvalifikované názvy domén infrastruktury.

Konfigurace pravidla sítě

Toto pravidlo sítě povoluje odchozí přístup ke dvěma IP adresám na portu 53 (DNS).

  1. Vyberte Pravidla sítě.
  2. Vyberte Přidat kolekci pravidel.
  3. Jako název zadejte Net-Coll01.
  4. V části Priorita zadejte 200.
  5. V části Akce shromažďování pravidel vyberte Povolit.
  6. Jako Skupina kolekce pravidel vyberte DefaultNetworkRuleCollectionGroup.
  7. V části Pravidla jako Název zadejte Allow-DNS.
  8. Jako Typ zdroje vyberte IP adresa.
  9. Jako Zdroj zadejte 10.0.2.0/24.
  10. V části Protokol vyberte UDP.
  11. V části Cílové porty zadejte 53.
  12. Jako Typ cíle vyberte IP adresa.
  13. Jako Cíl zadejte 209.244.0.3,209.244.0.4.
    Jedná se o veřejné servery DNS provozované úrovní 3.
  14. Vyberte Přidat.

Konfigurace pravidla DNAT

Toto pravidlo umožňuje připojit vzdálenou plochu k virtuálnímu počítači Srv-Work přes bránu firewall.

  1. Vyberte pravidla DNAT.
  2. Vyberte Přidat kolekci pravidel.
  3. Jako Název zadejte rdp.
  4. V části Priorita zadejte 200.
  5. Jako Skupina kolekce pravidel vyberte DefaultDnatRuleCollectionGroup.
  6. V části Pravidla do pole Název zadejte rdp-nat.
  7. Jako Typ zdroje vyberte IP adresa.
  8. Jako Zdroj zadejte *.
  9. V části Protokol vyberte TCP.
  10. Jako Cílové porty zadejte 3389.
  11. Jako Typ cíle vyberte IP adresa.
  12. Do pole Cíl zadejte veřejnou IP adresu brány firewall (fw-pip).
  13. Jako Přeložená adresa zadejte privátní IP adresu Srv-work .
  14. Do pole Přeložený port zadejte 3389.
  15. Vyberte Přidat.

Změna primární a sekundární adresy DNS u síťového rozhraní Srv-Work

Pro účely testování v tomto postupu nakonfigurujte primární a sekundární adresu DNS serveru. Nejedná se o obecný Azure Firewall požadavek.

  1. V nabídce Azure Portal vyberte Skupiny prostředků nebo na libovolné stránce vyhledejte a vyberte Skupiny prostředků. Vyberte skupinu prostředků Test-FW-RG .
  2. Vyberte síťové rozhraní pro virtuální počítač Srv-Work .
  3. V části Nastavení vyberte Servery DNS.
  4. V části Servery DNS vyberte Vlastní.
  5. Do textového pole Přidat server DNS zadejte 209.244.0.3 a do dalšího textového pole zadejte 209.244.0.4.
  6. Vyberte Uložit.
  7. Restartujte virtuální počítač Srv-Work.

Testování brány firewall

Teď otestujte bránu firewall a ověřte, že funguje podle očekávání.

  1. Připojte vzdálenou plochu k veřejné IP adrese brány firewall (fw-pip) a přihlaste se k virtuálnímu počítači Srv-Work .

  2. Otevřete prohlížeč Internet Explorer a přejděte na adresu https://www.google.com.

  3. V upozorněních zabezpečení Internet Exploreru vyberte OK>Zavřít .

    Měla by se zobrazit domovská stránka Google.

  4. Přejděte na adresu http://www.microsoft.com.

    Brána firewall by vás měla zablokovat.

Teď jste ověřili, že pravidla brány firewall fungují:

  • Ke Srv-Work virtuálnímu počítači můžete připojit vzdálenou plochu.
  • Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.
  • Názvy DNS můžete přeložit pomocí nakonfigurovaného externího serveru DNS.

Vyčištění prostředků

Prostředky brány firewall si můžete ponechat pro další testování nebo pokud už je nepotřebujete, můžete odstranit skupinu prostředků Test-FW-RG a odstranit tak všechny prostředky související s bránou firewall.

Další kroky

Nasazení a konfigurace Azure Firewall Premium