Esercitazione: Distribuire un firewall con Protezione DDoS di Azure
Questo articolo illustra come creare un Firewall di Azure con una rete virtuale protetta da DDoS. Protezione DDoS di Azure consente funzionalità avanzate di mitigazione DDoS, ad esempio l'ottimizzazione adattiva, le notifiche degli avvisi di attacco e il monitoraggio per proteggere il firewall da attacchi DDoS su larga scala.
Importante
Protezione DDoS di Azure comporta un costo quando si usa lo SKU di Protezione di rete. Gli addebiti per eccedenza si applicano solo se nel tenant sono protetti più di 100 indirizzi IP pubblici. Assicurarsi di eliminare le risorse di questa esercitazione se non si intende utilizzarle nuovamente in futuro. Per informazioni sui prezzi, vedere Prezzi di Protezione DDoS di Azure. Per altre informazioni su Protezione DDoS di Azure, vedere Che cos'è Protezione DDoS di Azure?.
Per questa esercitazione, viene creata una singola rete virtuale semplificata con due subnet per facilitare la distribuzione. Protezione di rete DDoS di Azure è abilitata per la rete virtuale.
- AzureFirewallSubnet: in questa subnet si trova il firewall.
- Workload-SN: in questa subnet si trova il server del carico di lavoro. Il traffico di rete di questa subnet passa attraverso il firewall.
Per le distribuzioni di produzione è consigliabile un modello hub e spoke, in cui il firewall si trova nella propria rete virtuale. I server del carico di lavoro si trovano nelle reti virtuali associate all'interno della stessa area con una o più subnet.
In questa esercitazione apprenderai a:
- Configurare un ambiente di rete di test
- Distribuire un firewall e criteri firewall
- Creare una route predefinita
- Configurare una regola dell'applicazione per consentire l'accesso a www.google.com
- Configurare una regola di rete per consentire l'accesso a server DNS esterni
- Configurare una regola NAT per consentire un desktop remoto nel server di test
- Testare il firewall
Se si preferisce, è possibile completare questa procedura usando Azure PowerShell.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
In primo luogo, creare un gruppo di risorse per contenere le risorse necessarie per distribuire il firewall. Creare quindi una rete virtuale, le subnet e un server di test.
Il gruppo di risorse contiene tutte le risorse per l'esercitazione.
Accedere al portale di Azure.
Nel menu portale di Azure selezionare Gruppi di risorse o cercare e selezionare Gruppi di risorse da qualsiasi pagina, quindi selezionare Aggiungi. Immetti o seleziona i valori seguenti:
Impostazione Valore Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Immettere Test-FW-RG. Paese Scegliere un'area. Tutte le altre risorse create devono trovarsi nella stessa area. Selezionare Rivedi e crea.
Seleziona Crea.
Nella casella di ricerca nella parte superiore del portale immettere Protezione DDoS. Selezionare Piani di protezione DDoS nei risultati della ricerca e quindi selezionare + Crea.
Nella scheda Informazioni di base della pagina Creare un piano di protezione DDoS immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare Test-FW-RG. Dettagli istanza Nome Immettere myDDoSProtectionPlan. Paese Seleziona l'area. Selezionare Rivedi e crea, quindi selezionare Crea per distribuire il piano di protezione DDoS.
Questa rete virtuale avrà due subnet.
Nota
La dimensione della subnet AzureFirewallSubnet è /26. Per altre informazioni sulle dimensioni delle subnet, vedere le domande frequenti su Firewall di Azure.
Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.
Selezionare Rete.
Cercare Rete virtuale e selezionarla.
Selezionare Crea, quindi immettere o selezionare i valori seguenti:
Impostazione Valore Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare Test-FW-RG. Nome Immettere Test-FW-VN. Paese Selezionare la stessa posizione usata in precedenza. Selezionare Avanti: indirizzi IP.
Per Spazio indirizzi IPv4 accettare il valore predefinito 10.1.0.0/16.
In Subnet selezionare predefinito.
Per Nome subnet modificare il nome in AzureFirewallSubnet. Il firewall si troverà in questa subnet e il nome della subnet deve essere AzureFirewallSubnet.
Per Intervallo di indirizzi digitare 10.1.1.0/26.
Seleziona Salva.
Creare quindi una subnet per un server del carico di lavoro.
Selezionare Aggiungi subnet.
Per Nome subnet immettere Workload-SN.
Per Intervallo di indirizzi subnet digitare 10.1.2.0/24.
Selezionare Aggiungi.
Al termine, selezionare Avanti: Sicurezza.
In Protezione di rete DDoS selezionare Abilita.
Selezionare myDDoSProtectionPlan nel piano di protezione DDoS.
Selezionare Rivedi e crea.
Seleziona Crea.
Creare ora la macchina virtuale del carico di lavoro e inserirla nella subnet Workload-SN.
Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.
Selezionare Windows Server 2019 Datacenter.
Immettere o selezionare questi valori per la macchina virtuale:
Impostazione Valore Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare Test-FW-RG. Virtual machine name Immettere Srv-Work. Paese Selezionare la stessa posizione usata in precedenza. Username Immettere un nome utente. Password Immettere una password. In Regole porta in ingresso, Porte in ingresso pubbliche selezionare Nessuna.
Accettare le altre impostazioni predefinite e selezionare Avanti: Dischi.
Accettare le impostazioni predefinite del disco e selezionare Avanti: Rete.
Assicurarsi che per la rete virtuale sia selezionata l'opzione Test-FW-VN e che la subnet sia Workload-SN.
In IP pubblico selezionare Nessuno.
Accettare le altre impostazioni predefinite e selezionare Avanti: Gestione.
Selezionare Disabilitare per disabilitare la diagnostica di avvio. Accettare tutte le altre impostazioni predefinite e selezionare Rivedi e crea.
Verificare le impostazioni nella pagina di riepilogo e quindi selezionare Crea.
Al termine della distribuzione, selezionare la risorsa Srv-Work e prendere nota dell'indirizzo IP privato per usarlo in seguito.
Distribuire il firewall nella rete virtuale.
Nel menu del portale di Azure o nella home page selezionare Crea una risorsa.
Digitare firewall nella casella di ricerca e premere INVIO.
Selezionare Firewall, quindi Crea.
Nella pagina Crea un firewall usare la tabella seguente per configurare il firewall:
Impostazione Valore Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare Test-FW-RG. Nome Immettere Test-FW01. Paese Selezionare la stessa posizione usata in precedenza. Gestione del firewall Selezionare Usa criteri firewall per gestire il firewall. Criterio firewall Selezionare Aggiungi nuovo e immettere fw-test-pol.
Selezionare la stessa area usata in precedenza.Scegliere una rete virtuale Selezionare Usa esistente e quindi Test-FW-VN. Indirizzo IP pubblico Selezionare Aggiungi nuovo e immettere fw-pip come Nome. Accettare gli altri valori predefiniti, quindi selezionare Rivedi e crea.
Controllare il riepilogo e quindi selezionare Crea per creare il firewall.
La distribuzione richiederà qualche minuto.
Al termine della distribuzione, passare al gruppo di risorse Test-FW-RG e selezionare il firewall Test FW01.
Prendere nota degli indirizzi IP pubblico e privato del firewall. Verranno usati in seguito.
Per la subnet Workload-SN configurare la route predefinita in uscita per passare attraverso il firewall.
Nel menu del portale di Azure selezionare Tutti servizi oppure cercare e selezionare Tutti i servizi in qualsiasi pagina.
In Rete selezionare Tabelle route.
Selezionare Crea, quindi immettere o selezionare i valori seguenti:
Impostazione Valore Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare Test-FW-RG. Paese Selezionare la stessa posizione usata in precedenza. Nome Immettere Firewall-route. Selezionare Rivedi e crea.
Seleziona Crea.
Al completamento della distribuzione, selezionare Vai alla risorsa.
- Nella pagina Firewall-route selezionare Subnet e quindi selezionare Associa.
- Selezionare Rete virtuale>Test-FW-VN.
- In Subnet selezionare Workload-SN. Assicurarsi di selezionare solo la subnet Workload-SN per questa route; in caso contrario, il firewall non funzionerà correttamente.
- Seleziona OK.
- Selezionare Route, quindi Aggiungi.
- In Nome route immettere fw-dg.
- Per Prefisso indirizzo immettere 0.0.0.0/0.
- In Tipo hop successivo selezionare Appliance virtuale. Firewall di Azure è in effetti un servizio gestito, ma in questa situazione è possibile usare un'appliance virtuale.
- Per Indirizzo hop successivo immettere l'indirizzo IP privato per il firewall annotato in precedenza.
- Seleziona OK.
Questa è la regola dell'applicazione che consente l'accesso in uscita a www.google.com
.
- Aprire il gruppo di risorse Test-FW-RG e selezionare il criterio firewall fw-test-pol .
- Selezionare Regole applicazione.
- Selezionare Aggiungi una raccolta regole.
- In Nome immettere App-Coll01.
- In Priorità immettere 200.
- Per Azione della raccolta regole selezionare Consenti.
- In Regole immettere Allow-Google in Nome.
- In Tipo di origine selezionare Indirizzo IP.
- Per Origine immettere 10.0.2.0/24.
- Per Protocol:port immettere http, https.
- In Tipo di destinazione selezionare FQDN.
- Per Destinazione immettere
www.google.com
- Selezionare Aggiungi.
Firewall di Azure include una raccolta di regole predefinite per i nomi di dominio completi dell'infrastruttura consentiti per impostazione predefinita. Questi nomi di dominio completi sono specifici per la piattaforma e non possono essere usati per altri scopi. Per altre informazioni, vedere Infrastructure FQDNs (FQDN dell'infrastruttura).
Si tratta della regola di rete che consente l'accesso in uscita a due indirizzi IP sulla porta 53 (DNS).
- Selezionare Regole di rete.
- Selezionare Aggiungi una raccolta regole.
- In Nome immettere Net-Coll01.
- In Priorità immettere 200.
- Per Azione della raccolta regole selezionare Consenti.
- Per Gruppo di raccolta regole selezionare DefaultNetworkRuleCollectionGroup.
- In Regole immettere Allow-DNS in Nome.
- In Tipo di origine selezionare Indirizzo IP.
- Per Origine immettere 10.0.2.0/24.
- In Protocollo selezionare UDP.
- Per Porte di destinazione immettere 53.
- Per Tipo di destinazione selezionare Indirizzo IP.
- In Destinazione immettere 209.244.0.3.209.244.0.4.
Si tratta di server DNS pubblici gestiti da CenturyLink. - Selezionare Aggiungi.
Questa regola consente di connettere un desktop remoto alla macchina virtuale Srv-Work tramite il firewall.
- Selezionare le regole DNAT.
- Selezionare Aggiungi una raccolta regole.
- In Nome immettere rdp.
- In Priorità immettere 200.
- Per Gruppo di raccolta regole selezionare DefaultDnatRuleCollectionGroup.
- In Regole immettere rdp-nat in Nome.
- In Tipo di origine selezionare Indirizzo IP.
- In Origine immettere *.
- In Protocollo selezionare TCP.
- Per Porte di destinazione immettere 3389.
- In Tipo di destinazione selezionare Indirizzo IP.
- In Destinazione immettere l'indirizzo IP pubblico del firewall.
- Per Indirizzo tradotto immettere l'indirizzo IP privato Srv-work .
- Per Porta convertita immettere 3389.
- Selezionare Aggiungi.
Ai fini del test in questa esercitazione vengono configurati gli indirizzi DNS primari e secondari del server. Questo non è un requisito generale di Firewall di Azure.
- Nel menu del portale di Azure selezionare Gruppi di risorse oppure cercare e selezionare Gruppi di risorse da qualsiasi pagina. Selezionare il gruppo di risorse Test-FW-RG.
- Selezionare l'interfaccia di rete per la macchina virtuale Srv-Work.
- In Impostazioni selezionare Server DNS.
- In Server DNS selezionare Personalizzato.
- Immettere 209.244.0.3 nella casella di testo Aggiungi server DNS e 209.244.0.4 nella casella di testo successiva.
- Seleziona Salva.
- Riavviare la macchina virtuale Srv-Work.
A questo punto testare il firewall per verificare che funzioni come previsto.
Connettere un desktop remoto all'indirizzo IP pubblico del firewall e accedere alla macchina virtuale Srv-Work.
Aprire Internet Explorer e passare a
https://www.google.com
.Selezionare OK>Close negli avvisi di sicurezza di Internet Explorer.
Verrà visualizzata la home page di Google.
Passa a
https://www.microsoft.com
.Si verrà bloccati dal firewall.
A questo punto si è verificato che le regole del firewall funzionano:
- È possibile passare al nome di dominio completo consentito ma non agli altri.
- È possibile risolvere i nomi DNS con il server DNS esterno configurato.
È possibile conservare le risorse del firewall per l'esercitazione successiva oppure, se non è più necessario, eliminare il gruppo di risorse Test-FW-RG per eliminare tutte le risorse correlate al firewall.