Развертывание и настройка Azure Firewall Basic и политик с помощью портала Azure

Azure Firewall Basic обеспечивает необходимую защиту клиентов SMB по доступной цене. Это решение рекомендуется для клиентских сред SMB с требованиями к пропускной способности менее 250 Мбит/с. Разверните номер SKU уровня "Стандартный " для сред с требованиями к пропускной способности более 250 Мбит/с и номером SKU уровня "Премиум " для расширенной защиты от угроз.

Фильтрация сетевого трафика и трафика приложений является важной частью общего плана безопасности сети. Например, может потребоваться ограничить доступ к веб-сайтам. Кроме того, может потребоваться ограничить исходящие IP-адреса и порты, к которым можно получить доступ.

Один из способов управления доступом как к входящей, так и исходящей сети из подсети Azure — с помощью брандмауэра Azure и политики брандмауэра. С помощью брандмауэра Azure и политики брандмауэра можно настроить следующее:

  • Правила приложений, определяющие полные доменные имена (FQDN), к которым можно получить доступ из подсети.
  • Правила сети, определяющие адрес источника, протокол, порт назначения и адрес назначения.
  • Правила DNAT для перевода и фильтрации входящего интернет-трафика в подсети.

Когда вы направляете сетевой трафик на брандмауэр, используемый в качестве шлюза по умолчанию для подсети, к сетевому трафику применяются настроенные правила брандмауэра.

В этой статье описано, как создать упрощенную виртуальную сеть с тремя подсетями для простого развертывания. Брандмауэр Basic необходимо настроить с обязательным использованием управляющего сетевого интерфейса.

  • AzureFirewallSubnet — в этой подсети находится брандмауэр.
  • AzureFirewallManagementSubnet — для трафика управления службами.
  • Workload-SN — в этой подсети находится сервер рабочей нагрузки. Трафик этой подсети проходит через брандмауэр.

Примечание.

Так как Брандмауэр Azure Basic имеет ограниченную обработку трафика по сравнению с SKU брандмауэра Azure уровня "Стандартный" или "Премиум", для этого требуется AzureFirewallManagementSubnet , чтобы отделять трафик клиентов от трафика управления Майкрософт, чтобы обеспечить отсутствие сбоев. Этот трафик управления необходим для автоматического обновления и обмена метриками работоспособности исключительно с Microsoft. В этом IP-адресе нет других подключений.

Для рабочих развертываний используйте центральную и периферийную модель, в которой брандмауэр находится в собственной виртуальной сети. Серверы рабочей нагрузки находятся в одноранговых виртуальных сетях в одном регионе с одной или несколькими подсетями.

В этой статье вы узнаете, как:

  • настройка тестовой сетевой среды;
  • Развертывание базового брандмауэра и базовой политики брандмауэра
  • Создание маршрута по умолчанию
  • настройка правила приложения для предоставления доступа к www.google.com
  • настройка сетевых правил для предоставления доступа к внешним DNS-серверам;
  • Настройте правило NAT, чтобы разрешить удалённый доступ к тестовому серверу.
  • тестирование брандмауэра.

Если вы предпочитаете, эту процедуру можно выполнить с помощью Azure PowerShell.

Предпосылки

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создайте группу ресурсов

Группа ресурсов содержит все ресурсы для инструкции.

  1. Войдите на портал Azure.

  2. Найдите и выберите группы ресурсов и нажмите кнопку "Создать".

  3. Введите или выберите следующие значения:

    Настройки Ценность
    Подписка Выберите подписку.
    Имя группы ресурсов Введите Test-FW-RG.
    Область выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.

  4. Выберите Проверить и создать, а затем выберите Создать.

Развертывание брандмауэра и политики

Разверните брандмауэр и создайте связанную сетевую инфраструктуру.

  1. В меню портала Azure или на панели "Главная " выберите "Создать ресурс".

  2. Введите firewall поле поиска и нажмите клавишу ВВОД.

  3. Выберите Брандмауэр, а затем щелкните Создать.

  4. В поле "Создание брандмауэра" введите или выберите следующие значения:

    Настройки Ценность
    Подписка Выберите подписку.
    Группа ресурсов Выберите Test-FW-RG.
    Имя Введите Test-FW01.
    Область Выберите то же место, которое вы использовали ранее.
    Уровень брандмауэра Базовая
    Управление брандмауэром Использование политики брандмауэра для управления им
    Политика брандмауэра Выберите Добавить новое. Введите fw-test-pol, выберите регион и убедитесь, что уровень политики по умолчанию используется в категории "Базовый".
    Выберите виртуальную сеть Выберите Создать новое. Введите test-FW-VN для имени, 10.0.0.0/16 для адресного пространства и 10.0.0.0/26 для адресного пространства подсети.
    Общедоступный IP-адрес Нажмите кнопку "Добавить новую " и введите fw-pip для имени.
    Управление — адресное пространство подсети 10.0.1.0/26
    Общедоступный IP-адрес управления Нажмите кнопку "Добавить новую " и введите fw-mgmt-pip для имени.

  5. Примите другие значения по умолчанию и нажмите кнопку "Проверить и создать".

  6. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание занимает несколько минут.

  7. После завершения развертывания перейдите в группу ресурсов Test-FW-RG и выберите брандмауэр Test-FW01 .

  8. Обратите внимание на частный и общедоступный IP-адрес брандмауэра (fw-pip). Вы будете использовать эти адреса позже.

Создание подсети для сервера рабочей нагрузки

Теперь создайте подсеть для сервера рабочей нагрузки.

  1. Перейдите в группу ресурсов Test-FW-RG и выберите виртуальную сеть Test-FW-VN .
  2. Выберите Подсети, а затем выберите + Подсеть.
  3. Введите Workload-SN. Введите 10.0.2.0/24.
  4. Выберите Сохранить.

Создание виртуальной машины

Создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть Workload-SN .

  1. В меню портала Azure или "Главная" выберите "Создать ресурс".

  2. Выберите Центр обработки данных Windows Server 2019.

  3. Введите следующие значения для виртуальной машины:

    Настройки Ценность
    Группа ресурсов Test-FW-RG
    Имя виртуальной машины Srv-Work
    Область Аналогично предыдущему
    Изображение Центр обработки данных Windows Server 2019
    Имя пользователя для администратора Введите имя пользователя
    Пароль Введите пароль

  4. В разделе Правила входящего порта выберите для пункта Общедоступные входящие порты значение Нет.

  5. Примите значения по умолчанию на вкладке "Диски" и нажмите кнопку "Далее: Сеть".

  6. Для виртуальной сети выберите Test-FW-VN. В качестве подсети выберите Workload-SN. В поле Общедоступный IP-адрес выберите значение Нет.

  7. Примите значения по умолчанию с помощью управления, а затем на вкладке "Мониторинг " выберите "Отключить для диагностики загрузки". Выберите Проверить и создать, а затем выберите Создать.

  8. После завершения развертывания выберите ресурс Srv-Work и запишите частный IP-адрес для последующего использования.

Создание маршрута по умолчанию

Для подсети Workload-SN настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

  1. Найдите и выберите "Таблицы маршрутов" и нажмите кнопку "Создать".

  2. Введите или выберите следующие значения:

    Настройки Ценность
    Подписка Выберите подписку.
    Группа ресурсов Выберите Test-FW-RG.
    Область Выберите то же место, которое вы использовали ранее.
    Имя Введите Firewall-route.

  3. Выберите Проверить и создать, а затем выберите Создать. После завершения развертывания выберите Перейти к ресурсу.

  4. На странице "Маршрут брандмауэра " выберите подсети и нажмите кнопку "Связать".

  5. Выберите Виртуальная сеть>Test-FW-VN. В качестве подсети выберите Workload-SN.

    Это важно

    Выберите только подсеть Workload-SN для этого маршрута, в противном случае брандмауэр не будет работать правильно.

  6. Нажмите ОК.

  7. Щелкните Маршруты, а затем — Добавить. Введите или выберите следующие значения:

    Настройки Ценность
    Имя маршрута fw-dg
    Префикс адреса назначения IP-адреса
    Диапазоны IP-адресов назначения и CIDR 0.0.0.0/0
    Тип следующего прыжка Виртуальное устройство (Брандмауэр Azure — это управляемая служба, но здесь работает виртуальный модуль).)
    Адрес следующего прыжка Частный IP-адрес брандмауэра, который вы указали ранее.

  8. Выберите Добавить.

Настройка правила приложения

Это правило приложения предоставляет исходящий доступ к www.google.com.

  1. Откройте Test-FW-RG и выберите политику брандмауэра fw-test-pol .

  2. Выберите правила приложения и выберите команду "Добавить коллекцию правил".

  3. Введите или выберите следующие значения:

    Настройки Ценность
    Имя App-Coll01
    Priority 200
    Действие по коллекционированию правил Разрешить

  4. В разделе "Правила" введите или выберите следующие значения:

    Настройки Ценность
    Имя Allow-Google
    Тип источника IP-адрес
    Исходный материал 10.0.2.0/24
    Протокол:порт http, https
    Тип назначения FQDN
    Место назначения www.google.com

  5. Выберите Добавить.

Брандмауэр Azure содержит встроенную коллекцию правил для полных доменных имен инфраструктуры, которые разрешены по умолчанию. Эти полные доменные имена относятся к платформе, и их нельзя использовать для других целей. Чтобы получить дополнительные сведения, см. инфраструктурные FQDN.

Настройка правила сети

Это правило сети предоставляет исходящий доступ к двум IP-адресам через порт 53 (DNS).

  1. Выберите правила сети и выберите команду "Добавить коллекцию правил".

  2. Введите или выберите следующие значения:

    Настройки Ценность
    Имя Net-Coll01
    Priority 200
    Действие по коллекционированию правил Разрешить
    Группа набора правил DefaultNetworkRuleCollectionGroup

  3. В разделе "Правила" введите или выберите следующие значения:

    Настройки Ценность
    Имя Allow-DNS
    Тип источника IP-адрес
    Исходный материал 10.0.2.0/24
    Протокол UDP
    Порты назначения 53
    Тип назначения IP-адрес
    Место назначения 209.244.0.3,209.244.0.4 (общедоступные DNS-серверы, управляемые level3)

  4. Выберите Добавить.

Настройка правила DNAT

Это правило подключает удаленный рабочий стол к виртуальной машине Srv-Work через брандмауэр.

  1. Выберите правила DNAT и выберите команду "Добавить коллекцию правил".

  2. Введите или выберите следующие значения:

    Настройки Ценность
    Имя rdp
    Priority 200
    Группа набора правил DefaultDnatRuleCollectionGroup

  3. В разделе "Правила" введите или выберите следующие значения:

    Настройки Ценность
    Имя rdp-nat
    Тип источника IP-адрес
    Исходный материал *
    Протокол TCP
    Порты назначения 3389
    Тип назначения IP-адрес
    Место назначения Общедоступный IP-адрес брандмауэра (fw-pip)
    Переведенный адрес Частный IP-адрес Srv-Work
    Перенаправленный порт 3389

  4. Выберите Добавить.

Изменение первичного и вторичного адресов DNS для сетевого интерфейса Srv-Work

В целях тестирования в этой статье настройте первичные и вторичные DNS-адреса сервера. Эта конфигурация не является общим требованием брандмауэра Azure.

  1. На портале Azure перейдите к группам ресурсов в меню или поиске, а затем выберите Test-FW-RG.
  2. Выберите сетевой интерфейс для виртуальной машины Srv-Work.
  3. В разделе Параметры выберите DNS-серверы.
  4. Для параметра DNS-серверы выберите значение Пользовательский.
  5. Введите 209.244.0.3 в текстовое поле Добавить DNS-сервер, а затем введите 209.244.0.4 в следующее текстовое поле.
  6. Выберите Сохранить.
  7. Перезапустите виртуальную машину Srv-Work.

тестирование брандмауэра.

Теперь проверьте брандмауэр, чтобы убедиться, что он работает должным образом.

  1. Подключите удаленный рабочий стол к общедоступному IP-адресу брандмауэра (fw-pip) и войдите на виртуальную машину Srv-Work .

  2. Откройте Microsoft Edge и перейдите на https://www.google.com. Вы видите домашнюю страницу Google.

  3. Перейдите на http://www.microsoft.com.

    Брандмауэр блокирует вас.

Теперь вы убедились, что правила брандмауэра работают:

  • Вы можете подключить удаленный рабочий стол к виртуальной машине Srv-Work.
  • Вы можете перейти к одному разрешенному полному доменному имени (FQDN), но не к каким-либо другим.
  • Можно определить DNS-имена с помощью настроенного внешнего DNS-сервера.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для дальнейшего тестирования. Если они больше не нужны, удалите группу ресурсов Test-FW-RG , чтобы удалить все ресурсы, связанные с брандмауэром.

Дальнейшие действия

Развертывание и настройка Брандмауэр Azure Premium

  • Last updated on