Nasazení a konfigurace brány Azure Firewall pomocí webu Azure Portal

Řízení odchozího síťového přístupu je důležitou součástí celkového plánu zabezpečení sítě. Můžete například chtít omezit přístup k webům. Nebo můžete chtít omezit odchozí IP adresy a porty, ke kterým je možné přistupovat.

Jedním ze způsobů, jak můžete řídit odchozí síťový přístup z podsítě Azure, je použít Azure Firewall. Azure Firewall umožňuje nakonfigurovat:

  • Pravidla aplikace, která definují plně kvalifikované názvy domén, ke kterým je možné získat přístup z podsítě.
  • Pravidla sítě, která definují zdrojovou adresu, protokol, cílový port a cílovou adresu.

Síťový provoz podléhá nakonfigurovaným pravidlům brány firewall, když ho směrujete na bránu firewall jako na výchozí bránu podsítě.

Pro účely tohoto článku vytvoříte zjednodušenou jednu virtuální síť se dvěma podsítěmi pro snadné nasazení.

Pro produkční nasazení se doporučuje hvězdicový model , ve kterém je brána firewall ve vlastní virtuální síti. Servery úloh jsou v partnerských virtuálních sítích ve stejné oblasti s jednou nebo více podsítěmi.

  • AzureFirewallSubnet – v této podsíti bude brána firewall.
  • Workload-SN – v této podsíti bude server úloh. Provoz této podsítě bude procházet bránou firewall.

Diagram síťové infrastruktury brány firewall

V tomto článku získáte informace o těchto tématech:

  • Nastavit testovací síťové prostředí
  • Nasadit bránu firewall
  • Vytvořit výchozí trasu
  • Konfigurace pravidla aplikace pro povolení přístupu k www.google.com
  • Nakonfigurovat pravidlo sítě pro povolení přístupu k externím serverům DNS
  • Konfigurace pravidla překladu adres (NAT) pro povolení vzdálené plochy na testovacím serveru
  • Testovat bránu firewall

Poznámka:

Tento článek používá ke správě brány firewall klasická pravidla brány firewall. Upřednostňovanou metodou je použití zásad brány firewall. Pokud chcete tento postup provést pomocí zásad brány firewall, přečtěte si kurz : Nasazení a konfigurace služby Azure Firewall a zásad pomocí webu Azure Portal

Pokud chcete, můžete tento postup dokončit pomocí Azure PowerShellu.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Nastavit síť

Nejprve vytvořte skupinu prostředků obsahující prostředky potřebné k nasazení brány firewall. Pak vytvořte virtuální síť, podsítě a testovací server.

Vytvoření skupiny zdrojů

Skupina prostředků obsahuje všechny prostředky použité v tomto postupu.

  1. Přihlaste se k portálu Azure.
  2. V nabídce webu Azure Portal vyberte Skupiny prostředků nebo vyhledejte a vyberte Skupiny prostředků z libovolné stránky. Pak vyberte Vytvořit.
  3. V části Předplatné vyberte své předplatné.
  4. Jako Název skupiny prostředků zadejte Test-FW-RG.
  5. V části Oblast vyberte oblast. Všechny ostatní prostředky, které vytvoříte, musí být ve stejné oblasti.
  6. Vyberte Zkontrolovat a vytvořit.
  7. Vyberte Vytvořit.

Vytvoření virtuální sítě

Tato virtuální síť má dvě podsítě.

Poznámka:

Velikost podsítě AzureFirewallSubnet je /26. Další informace o velikosti podsítě najdete v nejčastějších dotazech ke službě Azure Firewall.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyhledejte virtuální sítě.
  2. V podokně výsledků vyberte Virtuální sítě .
  3. Vyberte Vytvořit.
  4. V části Předplatné vyberte své předplatné.
  5. V části Skupina prostředků vyberte Test-FW-RG.
  6. Jako název virtuální sítě zadejte Test-FW-VN.
  7. V části Oblast vyberte stejnou oblast, kterou jste použili dříve.
  8. Vyberte Další.
  9. Na kartě Zabezpečení vyberte Povolit bránu Azure Firewall.
  10. Jako název služby Azure Firewall zadejte Test-FW01.
  11. Jako veřejnou IP adresu služby Azure Firewall vyberte Vytvořit veřejnou IP adresu.
  12. Jako název zadejte fw-pip a vyberte OK.
  13. Vyberte Další.
  14. Pro adresní prostor přijměte výchozí hodnotu 10.0.0.0/16.
  15. V části Podsíť vyberte výchozí hodnotu a změňte název na název sady funkcí AN.
  16. Pro počáteční adresu ji změňte na 10.0.2.0/24.
  17. Zvolte Uložit.
  18. Vyberte Zkontrolovat a vytvořit.
  19. Vyberte Vytvořit.

Poznámka:

Azure Firewall podle potřeby používá veřejné IP adresy na základě dostupných portů. Po náhodném výběru veřejné IP adresy, ze které se má připojit odchozí, bude používat pouze další dostupnou veřejnou IP adresu, jakmile nebude možné provést žádná další připojení z aktuální veřejné IP adresy. Ve scénářích s velkým objemem provozu a propustností se doporučuje použít službu NAT Gateway k zajištění odchozího připojení. Porty SNAT se dynamicky přidělují napříč všemi veřejnými IP adresami přidruženými ke službě NAT Gateway. Další informace najdete v tématu Integrace služby NAT Gateway se službou Azure Firewall.

Vytvoření virtuálního počítače

Teď vytvořte virtuální počítač úlohy a umístěte ho do podsítě Workload-SN .

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyberte Windows Server 2019 Datacenter.

  3. Zadejte pro virtuální počítač tyto hodnoty:

    Nastavení Hodnota
    Skupina prostředků Test-FW-RG
    Virtual machine name Srv-Work
    Oblast Stejné jako předchozí
    Image Windows Server 2019 Datacenter
    Uživatelské jméno správce Zadejte uživatelské jméno.
    Heslo Zadejte heslo.
  4. V části Pravidla portů pro příchozí spojení vyberte Veřejné příchozí porty možnost Žádné.

  5. Přijměte ostatní výchozí hodnoty a vyberte Další: Disky.

  6. Přijměte výchozí hodnoty disku a vyberte Další: Sítě.

  7. Ujistěte se, že je pro virtuální síť vybraná síť Test-FW-VN a podsíť je Workload-SN.

  8. Jako veřejnou IP adresu vyberte Žádné.

  9. Přijměte ostatní výchozí hodnoty a vyberte Další: Správa.

  10. Přijměte výchozí hodnoty a vyberte Další: Monitorování.

  11. V případě diagnostiky spouštění vyberte Zakázat a zakažte diagnostiku spouštění. Přijměte ostatní výchozí hodnoty a vyberte Zkontrolovat a vytvořit.

  12. Zkontrolujte nastavení na stránce souhrnu a pak vyberte Vytvořit.

  13. Po dokončení nasazení vyberte Přejít k prostředku a poznamenejte si privátní IP adresu Srv-Work , kterou budete muset použít později.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Kontrola brány firewall

  1. Přejděte do skupiny prostředků a vyberte bránu firewall.
  2. Poznamenejte si privátní a veřejné IP adresy brány firewall. Tyto adresy použijete později.

Vytvořit výchozí trasu

Když vytvoříte trasu pro odchozí a příchozí připojení přes bránu firewall, bude stačit výchozí trasa na adresu 0.0.0.0/0 s privátní IP adresou virtuálního zařízení. Tím se přes bránu firewall přesměrují všechna odchozí a příchozí připojení. Například pokud brána firewall plní metodu TCP-handshake a reaguje na příchozí požadavek, pak se odpověď nasměruje na IP adresu, která provoz odeslala. Toto chování je úmyslné.

V důsledku toho není potřeba vytvořit další trasu definovanou uživatelem, která by zahrnovala rozsah IP adres AzureFirewallSubnet. To může vést k vyřazení připojení. Původní výchozí trasa je dostatečná.

U podsítě Workload-SN nakonfigurujte výchozí trasu v odchozím směru, která půjde přes bránu firewall.

  1. Na webu Azure Portal vyhledejte směrovací tabulky.
  2. V podokně výsledků vyberte Směrovat tabulky .
  3. Vyberte Vytvořit.
  4. V části Předplatné vyberte své předplatné.
  5. V části Skupina prostředků vyberte Test-FW-RG.
  6. V části Oblast vyberte stejné umístění, které jste použili dříve.
  7. Jako Název zadejte Firewall-route.
  8. Vyberte Zkontrolovat a vytvořit.
  9. Vyberte Vytvořit.

Po dokončení nasazení vyberte Přejít k prostředku.

  1. Na stránce směrování brány firewall vyberte Podsítě a pak vyberte Přidružit.

  2. Pro virtuální síť vyberte Test-FW-VN.

  3. Jako podsíť vyberte Workload-SN. Ujistěte se, že pro tuto trasu vyberete jenom podsíť Workload-SN , jinak brána firewall nebude fungovat správně.

  4. Vyberte OK.

  5. Vyberte Trasy a pak vyberte Přidat.

  6. Jako název trasy zadejte fw-dg.

  7. Jako typ cíle vyberte IP adresy.

  8. Jako cílové IP adresy nebo rozsahy CIDR zadejte 0.0.0.0/0.

  9. V části Typ dalšího směrování vyberte Virtuální zařízení.

    Brána Azure Firewall je ve skutečnosti spravovaná služba, ale v tomto případě bude virtuální zařízení fungovat.

  10. V části Adresa dalšího směrování zadejte dříve poznamenanou privátní IP adresu brány firewall.

  11. Vyberte Přidat.

Konfigurace pravidla aplikace

Toto je pravidlo aplikace, které umožňuje odchozí přístup k www.google.com.

  1. Otevřete test-FW-RG a vyberte bránu firewall Test-FW01.
  2. Na stránce Test-FW01 v části Nastavení vyberte Pravidla (classic).
  3. Vyberte kartu Kolekce pravidel aplikace.
  4. Vyberte Přidat kolekci pravidel aplikace.
  5. Jako Název zadejte App-Coll01.
  6. V části Priorita zadejte 200.
  7. V části Akce vyberte Povolit.
  8. V části Pravidla v části Cílové plně kvalifikované názvy domén jako Název zadejte Allow-Google.
  9. Jako typ zdroje vyberte IP adresu.
  10. Jako zdroj zadejte 10.0.2.0/24.
  11. V části Protokol:Port zadejte http, https.
  12. Jako cílový plně kvalifikovaný název domény zadejte www.google.com
  13. Vyberte Přidat.

Brána Azure Firewall obsahuje předdefinovanou kolekci pravidel pro infrastrukturu plně kvalifikovaných názvů domén, které jsou ve výchozím nastavení povolené. Tyto plně kvalifikované názvy domén jsou specifické pro tuto platformu a pro jiné účely je nelze použít. Další informace najdete v tématu Plně kvalifikované názvy domén infrastruktury.

Konfigurace pravidla sítě

Toto pravidlo sítě povoluje odchozí přístup ke dvěma IP adresám na portu 53 (DNS).

  1. Vyberte kartu kolekce pravidel sítě.

  2. Vyberte Přidat kolekci pravidel sítě.

  3. Jako název zadejte Net-Coll01.

  4. V části Priorita zadejte 200.

  5. V části Akce vyberte Povolit.

  6. V části Pravidla, IP adresy, jako Název, zadejte Allow-DNS.

  7. V části Protokol vyberte UDP.

  8. Jako typ zdroje vyberte IP adresu.

  9. Jako zdroj zadejte 10.0.2.0/24.

  10. Jako typ cíle vyberte IP adresu.

  11. Jako cílovou adresu zadejte 209.244.0.3 209.244.0.4.

    Jedná se o veřejné servery DNS provozované společností Level3.

  12. V části Cílové porty zadejte 53.

  13. Vyberte Přidat.

Konfigurace pravidla DNAT

Toto pravidlo umožňuje připojit vzdálenou plochu k virtuálnímu počítači Srv-Work přes bránu firewall.

  1. Vyberte kartu kolekce pravidel překladu adres (NAT).
  2. Vyberte Přidat kolekci pravidel překladu adres (NAT).
  3. Jako název zadejte rdp.
  4. V části Priorita zadejte 200.
  5. V části Pravidla zadejte jako název rdp-nat.
  6. V části Protokol vyberte TCP.
  7. Jako typ zdroje vyberte IP adresu.
  8. Jako zdroj zadejte *.
  9. Jako cílovou adresu zadejte veřejnou IP adresu brány firewall.
  10. Jako cílové porty zadejte 3389.
  11. Do pole Přeložená adresa zadejte privátní IP adresu Srv-Work.
  12. Do pole Přeložený port zadejte 3389.
  13. Vyberte Přidat.

Změna primární a sekundární adresy DNS u síťového rozhraní Srv-Work

Pro účely testování nakonfigurujte primární a sekundární adresy DNS serveru. Nejedná se o obecný požadavek služby Azure Firewall.

  1. V nabídce webu Azure Portal vyberte Skupiny prostředků nebo vyhledejte a vyberte Skupiny prostředků z libovolné stránky. Vyberte skupinu prostředků Test-FW-RG.
  2. Vyberte síťové rozhraní pro virtuální počítač Srv-Work .
  3. V části Nastavení vyberte servery DNS.
  4. V části Servery DNS vyberte Vlastní.
  5. Zadejte 209.244.0.3 a stiskněte Enter do textového pole Přidat server DNS a do dalšího textového pole 209.244.0.4 .
  6. Zvolte Uložit.
  7. Restartujte virtuální počítač Srv-Work.

Testovat bránu firewall

Teď otestujte bránu firewall a ověřte, že funguje podle očekávání.

  1. Připojte vzdálenou plochu k veřejné IP adrese brány firewall a přihlaste se k virtuálnímu počítači Srv-Work.

  2. Otevřete prohlížeč Internet Explorer a přejděte na adresu https://www.google.com.

  3. V výstrahách zabezpečení aplikace Internet Explorer vyberte tlačítko OK>Zavřít.

    Měla by se zobrazit domovská stránka Google.

  4. Přejděte na https://www.microsoft.com.

    Brána firewall by vás měla blokovat.

Teď jste ověřili, že pravidla brány firewall fungují:

  • K virtuálnímu počítači se můžete připojit pomocí protokolu RDP.
  • Můžete přejít na jediný povolený plně kvalifikovaný název domény, ale jinam už ne.
  • Názvy DNS můžete přeložit pomocí nakonfigurovaného externího serveru DNS.

Vyčištění prostředků

Prostředky brány firewall můžete ponechat, abyste mohli pokračovat v testování nebo pokud už je nepotřebujete, odstraňte skupinu prostředků Test-FW-RG a odstraňte všechny prostředky související s bránou firewall.

Další kroky