Distribuire e configurare Firewall di Azure usando il portale di Azure

Il controllo dell'accesso alla rete in uscita è un componente importante di un piano di sicurezza della rete generale. Ad esempio, potrebbe essere utile limitare l'accesso ai siti Web. In alternativa, potrebbe essere utile limitare gli indirizzi IP e le porte in uscita a cui è possibile accedere.

È possibile controllare l'accesso alla rete in uscita da una subnet di Azure con Firewall di Azure. Con Firewall di Azure, è possibile configurare:

  • Regole di applicazione che definiscono i nomi di dominio completi (FQDN) accessibili da una subnet.
  • Regole di rete che definiscono l'indirizzo di origine, il protocollo, la porta di destinazione e l'indirizzo di destinazione.

Il traffico di rete è sottoposto alle regole del firewall configurate quando si instrada il traffico di rete al firewall come gateway predefinito della subnet.

Per questo articolo viene creata una singola rete virtuale semplificata con due subnet per semplificare la distribuzione.

Per le distribuzioni di produzione è consigliabile un modello hub e spoke, in cui il firewall si trova nella propria rete virtuale. I server del carico di lavoro si trovano nelle reti virtuali associate all'interno della stessa area con una o più subnet.

  • AzureFirewallSubnet: in questa subnet si trova il firewall.
  • Workload-SN: in questa subnet si trova il server del carico di lavoro. Il traffico di rete di questa subnet passa attraverso il firewall.

Diagramma dell'infrastruttura di rete del firewall.

In questo articolo vengono illustrate le operazioni seguenti:

  • Configurare un ambiente di rete di test
  • Distribuire un firewall
  • Creare una route predefinita
  • Configurare una regola dell'applicazione per consentire l'accesso a www.google.com
  • Configurare una regola di rete per consentire l'accesso a server DNS esterni
  • Configurare una regola NAT per consentire un desktop remoto nel server di test
  • Testare il firewall

Nota

Questo articolo usa le regole del firewall classiche per gestire il firewall. Il metodo preferito consiste nell'usare un criterio firewall. Per completare questa procedura usando un criterio firewall, vedere Esercitazione: Distribuire e configurare Firewall di Azure e criteri usando il portale di Azure

Se si preferisce, è possibile completare questa procedura usando Azure PowerShell.

Prerequisiti

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Configurare la rete

In primo luogo, creare un gruppo di risorse per contenere le risorse necessarie per distribuire il firewall. Creare quindi una rete virtuale, subnet e un server di test.

Creare un gruppo di risorse

Il gruppo di risorse contiene tutte le risorse usate in questa procedura.

  1. Accedere al portale di Azure.
  2. Nel menu del portale di Azure selezionare Gruppi di risorse oppure cercare e selezionare Gruppi di risorse da qualsiasi pagina. Selezionare Crea.
  3. Seleziona la tua sottoscrizione in Sottoscrizione.
  4. In Nome del gruppo di risorse immettere Test-FW-RG.
  5. Per Area selezionare la area desiderata. Tutte le altre risorse create devono risiedere nella stessa area.
  6. Selezionare Rivedi e crea.
  7. Seleziona Crea.

Creare una rete virtuale

Questa rete virtuale ha due subnet.

Nota

La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.

  1. Nel menu del portale di Azure o nella pagina Home cercare Reti virtuali.
  2. Selezionare Reti virtuali nel riquadro dei risultati.
  3. Seleziona Crea.
  4. Seleziona la tua sottoscrizione in Sottoscrizione.
  5. Per Gruppo di risorse selezionare Test-FW-RG.
  6. Per Nome rete virtuale digitare Test-FW-VN.
  7. In Area selezionare la stessa area usata in precedenza.
  8. Selezionare Avanti.
  9. Nella scheda Sicurezza selezionare Abilita Firewall di Azure.
  10. Per Nome firewall di Azure digitare Test-FW01.
  11. Per Indirizzo IP pubblico di Firewall di Azure selezionare Crea un indirizzo IP pubblico.
  12. Per Nome digitare fw-pip e selezionare OK.
  13. Selezionare Avanti.
  14. In Spazio indirizzi accettare il valore predefinito 10.0.0.0/16.
  15. In Subnet selezionare predefinita e modificare il Nome in Workload-SN.
  16. Per Indirizzo iniziale modificare il valore in 10.0.2.0/24.
  17. Seleziona Salva.
  18. Selezionare Rivedi e crea.
  19. Seleziona Crea.

Nota

Firewall di Azure usa indirizzi IP pubblici in base alla necessità a seconda delle porte disponibili. Dopo aver selezionato in modo casuale un indirizzo IP pubblico da cui connettersi in uscita, userà l'indirizzo IP pubblico successivo disponibile solo quando non risulta più possibile stabilire altre connessioni dall'indirizzo IP pubblico corrente. Negli scenari con volume di traffico elevato e velocità effettiva elevata è consigliabile usare un gateway NAT per fornire connettività in uscita. Le porte SNAT vengono allocate in modo dinamico in tutti gli indirizzi IP pubblici associati al gateway NAT. Per altre informazioni, vedere Integrare il gateway NAT con Firewall di Azure.

Creare una macchina virtuale

Creare ora la macchina virtuale del carico di lavoro e inserirla nella subnet Workload-SN.

  1. Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.

  2. Selezionare Windows Server 2019 Datacenter.

  3. Immettere i valori seguenti per la macchina virtuale:

    Impostazione Valore
    Gruppo di risorse Test-FW-RG
    Virtual machine name Srv-Work
    Paese Come precedente
    Immagine Windows Server 2019 Datacenter
    Nome utente amministratore Digitare un nome utente
    Password Digitare una password
  4. In Regole porta in ingresso, Porte in ingresso pubbliche selezionare Nessuna.

  5. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Dischi.

  6. Accettare le impostazioni predefinite per i dischi e selezionare Avanti: Rete.

  7. Assicurarsi che per la rete virtuale sia selezionata l'opzione Test-FW-VN e che la subnet sia Workload-SN.

  8. In IP pubblico selezionare Nessuno.

  9. Accettare tutte le altre impostazioni predefinite e selezionare Avanti: Gestione.

  10. Accettare le impostazioni predefinite e selezionare Avanti: Monitoraggio.

  11. Per Diagnostica di avvio selezionare Disabilita per disabilitare la diagnostica di avvio. Accettare tutte le altre impostazioni predefinite e selezionare Rivedi e crea.

  12. Verificare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.

  13. Al termine della distribuzione, selezionare Vai alla risorsa e prendere nota dell'indirizzo IP privato Srv-Work che sarà necessario usare in un secondo momento.

Nota

Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.

L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:

  • Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
  • La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
  • Una risorsa del gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.

Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.

Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.

Esaminare il firewall

  1. Passare al gruppo di risorse e selezionare il firewall.
  2. Prendere nota degli indirizzi IP pubblico e privato del firewall. Questi indirizzi verranno usati in un secondo momento.

Creare una route predefinita

Quando si crea una route per la connettività in uscita e in ingresso attraverso il firewall, è sufficiente una route predefinita a 0.0.0.0/0 con l'indirizzo IP privato dell'appliance virtuale come hop successivo. In questo modo le connessioni in uscita e in ingresso vengono indirizzate attraverso il firewall. Ad esempio, se il firewall soddisfa un handshake TCP e risponde a una richiesta in ingresso, la risposta viene indirizzata all'indirizzo IP che ha inviato il traffico. Questo si verifica per motivi strutturali.

Di conseguenza, non è necessario creare un'altra route definita dall'utente per includere l'intervallo IP AzureFirewallSubnet. Ciò potrebbe comportare l'interruzione delle connessioni. La route predefinita originale è sufficiente.

Per la subnet Workload-SN configurare la route predefinita in uscita per passare attraverso il firewall.

  1. Nel portale di Azure cercare Tabelle di route.
  2. Selezionare Tabelle di route nel riquadro dei risultati.
  3. Seleziona Crea.
  4. Seleziona la tua sottoscrizione in Sottoscrizione.
  5. Per Gruppo di risorse selezionare Test-FW-RG.
  6. In Area selezionare la stessa località usata in precedenza.
  7. In Nome immettere Firewall-route.
  8. Selezionare Rivedi e crea.
  9. Seleziona Crea.

Al completamento della distribuzione, selezionare Vai alla risorsa.

  1. Nella pagina Route firewall selezionare Subnet e quindi selezionare Associa.

  2. Per Rete virtuale selezionare Test-FW-VN.

  3. In Subnet selezionare Workload-SN. Assicurarsi di selezionare solo la subnet Workload-SN per questa route; in caso contrario, il firewall non funzionerà correttamente.

  4. Seleziona OK.

  5. Selezionare Route, quindi Aggiungi.

  6. In Nome route digitare fw-dg.

  7. Per Tipo di destinazione selezionare Indirizzo IP.

  8. Per Indirizzi IP/Intervalli CIDR di destinazione digitare 0.0.0.0/0.

  9. In Tipo hop successivo selezionare Appliance virtuale.

    Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.

  10. In Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.

  11. Selezionare Aggiungi.

Configurare una regola di applicazione

Questa è la regola dell'applicazione che consente l'accesso in uscita a www.google.com.

  1. Aprire Test-FW-RG e selezionare il firewall Test-FW01.
  2. Nella pagina Test-FW01 selezionare Regole (versione classica) in Impostazioni.
  3. Selezionare la scheda Raccolta regole dell'applicazione.
  4. Selezionare Aggiungi raccolta regole dell'applicazione.
  5. In Nome immettere App-Coll01.
  6. In Priorità immettere 200.
  7. In Azione selezionare Consenti.
  8. In Regole, FQDN di destinazione, immettere Allow-Google in Nome.
  9. In Tipo di origine selezionare Indirizzo IP.
  10. In Origine digitare 10.0.2.0/24.
  11. In Protocollo:Porta immettere http, https.
  12. Per FQDN di destinazione, digitare www.google.com
  13. Selezionare Aggiungi.

Firewall di Azure include una raccolta di regole predefinite per i nomi di dominio completi dell'infrastruttura consentiti per impostazione predefinita. Questi nomi di dominio completi sono specifici per la piattaforma e non possono essere usati per altri scopi. Per altre informazioni, vedere Infrastructure FQDNs (FQDN dell'infrastruttura).

Configurare una regola di rete

Si tratta della regola di rete che consente l'accesso in uscita a due indirizzi IP sulla porta 53 (DNS).

  1. Selezionare la scheda Raccolta regole di rete.

  2. Selezionare Aggiungi raccolta regole di rete.

  3. In Nome immettere Net-Coll01.

  4. In Priorità immettere 200.

  5. In Azione selezionare Consenti.

  6. In Regole, Indirizzi IP digitare Allow-DNS in Nome.

  7. In Protocollo selezionare UDP.

  8. In Tipo di origine selezionare Indirizzo IP.

  9. In Origine digitare 10.0.2.0/24.

  10. Per Tipo di destinazione selezionare Indirizzo IP.

  11. In Indirizzo di destinazione digitare 209.244.0.3,209.244.0.4

    Si tratta di server DNS pubblici gestiti da Level3.

  12. In Porte di destinazione immettere 53.

  13. Selezionare Aggiungi.

Configurare una regola DNAT

Questa regola consente di connettere un desktop remoto alla macchina virtuale Srv-Work attraverso il firewall.

  1. Selezionare la scheda Raccolta regole DNAT.
  2. Selezionare Aggiungi raccolta regole NAT.
  3. Per Nome digitare rdp.
  4. In Priorità immettere 200.
  5. In Regole, per Nome, digitare rdp-nat.
  6. In Protocollo selezionare TCP.
  7. In Tipo di origine selezionare Indirizzo IP.
  8. Per Origine, digitare *.
  9. Per Indirizzo di destinazione, digitare l'indirizzo IP pubblico del firewall.
  10. In Porte di destinazione digitare 3389.
  11. Per Indirizzo convertito digitare l'indirizzo IP privato Srv-work.
  12. Per Porta tradotta digitare 3389.
  13. Selezionare Aggiungi.

Modificare l'indirizzo DNS primario e secondario per l'interfaccia di rete Srv-Work

Ai fini del test vengono configurati gli indirizzi DNS primari e secondari del server. Questo non è un requisito generale di Firewall di Azure.

  1. Nel menu del portale di Azure selezionare Gruppi di risorse oppure cercare e selezionare Gruppi di risorse da qualsiasi pagina. Selezionare il gruppo di risorse Test-FW-RG.
  2. Selezionare l'interfaccia di rete per la macchina virtuale Srv-Work.
  3. In Impostazioni selezionare Server DNS.
  4. In Server DNS selezionare Personalizzato.
  5. Immettere 209.244.0.3 e premere INVIO nella casella di testo Aggiungi server DNS e 209.244.0.4 nella casella di testo successiva.
  6. Seleziona Salva.
  7. Riavviare la macchina virtuale Srv-Work.

Testare il firewall

A questo punto testare il firewall per verificare che funzioni come previsto.

  1. Connettere un desktop remoto all'indirizzo IP pubblico del firewall e accedere alla macchina virtuale Srv-Work.

  2. Aprire Internet Explorer e passare a https://www.google.com.

  3. Selezionare OK>Close negli avvisi di sicurezza di Internet Explorer.

    Verrà visualizzata la home page di Google.

  4. Passa a https://www.microsoft.com.

    Il firewall deve bloccare l'utente.

A questo punto si è verificato che le regole del firewall funzionano:

  • È possibile connettersi alla macchina virtuale tramite RDP.
  • È possibile passare al nome di dominio completo consentito ma non agli altri.
  • È possibile risolvere i nomi DNS con il server DNS esterno configurato.

Pulire le risorse

È possibile conservare le risorse del firewall per continuare i test oppure, se non è più necessario, eliminare il gruppo di risorse Test-FW-RG per eliminare tutte le risorse correlate al firewall.

Passaggi successivi