Поделиться через

Руководство по развертыванию и настройке Брандмауэра Azure и политики с помощью портала Azure

Управление доступом исходящих сетевых подключений является важной частью общего плана безопасности сети. Например, вы можете ограничить доступ к веб-сайтам Возможно, вы захотите ограничить доступ к исходящим IP-адресам и портам.

Управлять доступом исходящих сетевых подключений из подсети Azure можно с помощью Брандмауэра Azure и политики брандмауэра. С помощью Брандмауэра Azure и политики брандмауэра можно настроить указанные ниже элементы.

  • Правила приложений, определяющие полные доменные имена (FQDN), к которым можно получить доступ из подсети.
  • Правила сети, определяющие адрес источника, протокол, порт назначения и адрес назначения.

Когда вы маршрутизируете сетевой трафик на брандмауэр, используемый в качестве шлюза по умолчанию для подсети, к трафику применяются настроенные правила брандмауэра.

В этом руководстве вы создадите упрощенную виртуальную сеть с двумя подсетями для легкого развертывания.

  • AzureFirewallSubnet — в этой подсети находится брандмауэр.
  • Workload-SN — в этой подсети находится сервер рабочей нагрузки. Трафик этой подсети проходит через брандмауэр.

Схема сетевой инфраструктуры брандмауэра.

Для развертываний в рабочей среде рекомендуется использовать модель концентратор-спица, в которой брандмауэр находится в собственной виртуальной сети (VNet). Серверы рабочей нагрузки размещены в одноранговых виртуальных сетях в одном регионе с одной или несколькими подсетями.

В этом руководстве описано следующее:

  • настройка тестовой сетевой среды;
  • развертывание брандмауэра и политики брандмауэра;
  • Создание маршрута по умолчанию
  • настройка правила приложения для предоставления доступа к www.google.com
  • настройка сетевых правил для предоставления доступа к внешним DNS-серверам;
  • Настройка правила NAT для разрешения входящего HTTP-доступа к тестовому серверу
  • тестирование брандмауэра.

При необходимости эти инструкции можно выполнить с помощью Azure PowerShell.

Предусловия

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Настройка сети

Сначала создайте группу ресурсов, необходимых для развертывания брандмауэра. Затем создайте виртуальную сеть, подсети и тестовый сервер.

Создать группу ресурсов

Группа ресурсов содержит все ресурсы, необходимые для работы с этим руководством.

  1. Войдите на портал Azure.

  2. В меню портал Azure выберите группы ресурсов или найдите и выберите группы ресурсов на любой странице, а затем нажмите кнопку "Создать". Введите или выберите следующие значения:

    Настройка Значение
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Введите Test-FW-RG.
    Область/регион выберите регион. Все остальные ресурсы, которые вы будете создавать, должны находиться в том же регионе.

  3. Выберите Просмотр + создание.

  4. Нажмите кнопку создания.

Создание виртуальной сети

Эта виртуальная сеть имеет две подсети.

Примечание.

Размер подсети AzureFirewallSubnet равен /26. Дополнительные сведения о размере подсети см. в статье с часто задаваемыми вопросами о Брандмауэре Azure.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Выберите Сети.

  3. Найдите виртуальную сеть и нажмите кнопку "Создать".

  4. Введите или выберите следующие значения:

    Настройка Значение
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Имя. Введите test-FW-VN.
    Область/регион Выберите то же место, которое вы использовали ранее.

  5. Выберите Далее.

  6. На вкладке "Безопасность " нажмите кнопку "Далее".

  7. В поле Диапазон IPv4-адресов оставьте значение по умолчанию, 10.0.0.0/16.

  8. В разделе Подсети выберите по умолчанию.

  9. На странице "Изменить подсеть" для назначения подсети выберите Брандмауэр Azure.

    Брандмауэр находится в этой подсети, а имя подсети должно быть AzureFirewallSubnet.

  10. Для начального адреса введите 10.0.1.0.

  11. Выберите Сохранить.

Теперь создайте подсеть для сервера рабочей нагрузки.

  1. Нажмите Добавить подсеть.
  2. В поле Имя подсети введите Workload-SN.
  3. Для начального адреса введите 10.0.2.0/24.
  4. Выберите Добавить.
  5. Выберите Просмотр + создание.
  6. Нажмите кнопку создания.

Развертывание Бастиона Azure

Разверните издание для разработчиков службы Azure Bastion, чтобы безопасно подключиться к виртуальной машине Srv-Work для тестирования.

  1. В поле поиска в верхней части портала введите Бастион. Выберите Bastions из результатов поиска.

  2. Нажмите кнопку создания.

  3. На странице "Создание бастиона" введите или выберите следующие значения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Сведения об инстанции
    Имя. Введите Test-Bastion.
    Область/регион Выберите то же место, которое вы использовали ранее.
    Тир Выберите разработчика.
    Виртуальная сеть Выберите Test-FW-VN.
    Подсеть AzureBastionSubnet создается автоматически с адресным пространством 10.0.0.0/26.

  4. Выберите Просмотр + создание.

  5. Проверьте параметры и выберите Создать.

    Развертывание занимает несколько минут.

Создание виртуальной машины

Теперь создайте виртуальную машину рабочей нагрузки и поместите ее в подсеть Workload-SN.

  1. В поле поиска в верхней части портала введите виртуальную машину, выберите виртуальные машины в результатах поиска.

  2. Выберите "Создать>виртуальную машину".

  3. Введите или выберите следующие значения для виртуальной машины:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Сведения об инстанции
    Имя виртуальной машины Введите Srv-Work.
    Область/регион Выберите то же место, которое вы использовали ранее.
    Параметры доступности Выберите "Не требуется избыточность инфраструктуры".
    Тип безопасности Выберите Стандартное.
    Изображение Выберите Ubuntu Server 24.04 LTS -x64 2-го поколения
    Size Выберите размер виртуальной машины.
    Учетная запись администратора
    Username Введите azureuser.
    SSH public key source (Источник открытого ключа SSH) Выберите Создать новую пару ключей.
    Имя пары ключей Введите Srv-Work_key.

  4. В разделе Правила для входящих портов, Общедоступные входящие порты выберите Нет.

  5. Примите другие значения по умолчанию и нажмите кнопку Далее: Диски.

  6. Примите значения по умолчанию для диска и нажмите кнопку "Далее: сеть".

  7. Убедитесь, что выбрана виртуальная сеть Test-FW-VN и подсеть Workload-SN.

  8. В поле Общедоступный IP-адрес выберите значение Нет.

  9. Выберите Просмотр + создание.

  10. Просмотрите параметры на странице сводки и нажмите кнопку Создать.

  11. При появлении запроса выберите "Скачать закрытый ключ" и создайте ресурс. Сохраните файл закрытого ключа на компьютере.

  12. Когда развертывание будет завершено, выберите ресурс Srv-Work и запишите частный IP-адрес для последующего использования.

Установка веб-сервера

Подключитесь к виртуальной машине и установите веб-сервер для тестирования.

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.

  2. Выберите виртуальную машину Srv-Work .

  3. Выберитекоманду>RunShellScript>.

  4. В поле скрипта введите следующие команды:

    sudo apt-get update
sudo apt-get install -y nginx
echo "<html><body><h1>Azure Firewall DNAT Test</h1><p>If you can see this page, the DNAT rule is working correctly!</p></body></html>" | sudo tee /var/www/html/index.html

  5. Выберите Выполнить.

  6. Дождитесь успешного завершения скрипта.

Развертывание брандмауэра и политики

Разверните брандмауэр в виртуальной сети.

  1. В меню портала Azure или на странице Домашняя выберите Создать ресурс.

  2. Введите брандмауэр в строку поиска и нажмите Enter.

  3. Выберите Брандмауэр, а затем щелкните Создать.

  4. Используйте сведения в следующей таблице, чтобы настроить брандмауэр на странице Создание брандмауэра:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Сведения об инстанции
    Имя. Введите Test-FW01.
    Область/регион Выберите то же место, которое вы использовали ранее.
    Номер SKU брандмауэра Выберите Стандартное.
    Управление брандмауэром Выберите " Использовать политику брандмауэра" для управления этим брандмауэром.
    Политика брандмауэра Выберите " Добавить новую" и введите fw-test-pol.
    Выберите тот же регион, который вы использовали ранее. Нажмите ОК.
    Выберите виртуальную сеть Выберите "Использовать существующий", а затем выберите Test-FW-VN. Пропустить предупреждение о принудительном туннелировании. Предупреждение разрешается на одном из последующих шагов..
    Общедоступный IP-адрес Выберите Добавить новое и введите fw-pip в поле Имя. Нажмите ОК.

  5. Снимите флажок "Включить сетевой адаптер управления брандмауэром".

  6. Примите другие значения по умолчанию, а затем нажмите кнопку "Далее: теги".

  7. Выберите Далее: проверка и создание.

  8. Просмотрите информацию на странице сводки и нажмите кнопку Создать, чтобы создать брандмауэр.

    Развертывание занимает несколько минут.

  9. По завершении развертывания перейдите в группу ресурсов Test-FW-RG и выберите брандмауэр Test-FW01.

  10. Запишите частный и общедоступный IP-адреса брандмауэра. Вы будете использовать эти адреса позже.

Создание маршрута по умолчанию

Для подсети Workload-SN настройте исходящий маршрут по умолчанию, чтобы пройти через брандмауэр.

  1. В меню портала Azure выберите Все службы или выполните поиск и выберите Все службы на любой странице.

  2. В разделе Сети выберите Таблицы маршрутов.

  3. Нажмите кнопку "Создать", а затем введите или выберите следующие значения:

    Настройка Значение
    Сведения о проекте
    Подписка Выберите свою подписку Azure.
    Группа ресурсов Выберите Test-FW-RG.
    Сведения об инстанции
    Имя. Введите маршрут брандмауэра.
    Область/регион Выберите то же место, которое вы использовали ранее.

  4. Выберите Просмотр + создание.

  5. Нажмите кнопку создания.

После завершения развертывания выберите Перейти к ресурсу.

  1. На странице Брандмауэр — маршрут в разделе Параметры щелкните Подсети, а затем выберите Связать.

  2. Для виртуальной сети выберите Test-FW-VN.

  3. В качестве подсети выберите Workload-SN.

  4. Нажмите ОК.

  5. Выберите Маршруты, а затем нажмите кнопку Добавить.

  6. В поле "Имя маршрута" введите fw-dg.

  7. Для типа назначения выберите IP-адреса.

  8. Для IP-адресов назначения/префикса диапазонов CIDR введите 0.0.0.0/0.

  9. В поле Тип следующего прыжка выберите Виртуальное устройство.

    На самом деле, Брандмауэр Azure является управляемой службой, но в этой ситуации подходит виртуальный модуль.

  10. Для адреса следующего прыжка введите частный IP-адрес брандмауэра, который вы указали ранее.

  11. Выберите Добавить.

Настройка правила приложения

Это правило приложения, разрешающее исходящий доступ к www.google.com.

  1. Откройте группу ресурсов Test-FW-RG и выберите политику брандмауэра fw-test-pol.
  2. В разделе Параметры>Правила выберите правила приложения.
  3. Щелкните Добавить коллекцию правил.
  4. В поле "Имя" введите App-Coll01.
  5. В качестве приоритета введите 200.
  6. В разделе Действие коллекции правил выберите Разрешить.
  7. В Правилах, для Имя введите Allow-Google.
  8. В поле Тип источника выберите IP-адрес.
  9. В качестве источника введите 10.0.2.0/24.
  10. В параметре Protocol:port введите http, https.
  11. В поле Тип назначения выберите пункт FQDN.
  12. Для назначения введите www.google.com
  13. Выберите Добавить.

Брандмауэр Azure содержит встроенную коллекцию правил для целевых полных доменных имен инфраструктуры, которые разрешены по умолчанию. Эти доменные имена предназначены для платформы и не могут использоваться для других целей. См. дополнительные сведения об FQDN инфраструктуры.

Дождитесь завершения развертывания правила приложения перед созданием сетевого правила в следующих шагах.

Настройка правила сети

Это сетевое правило, предоставляющее двум IP-адресам исходящий доступ на порт 53 (DNS).

  1. Выберите Сетевые правила.
  2. Щелкните Добавить коллекцию правил.
  3. В поле "Имя" введите Net-Coll01.
  4. В качестве приоритета введите 200.
  5. В разделе Действие коллекции правил выберите Разрешить.
  6. В разделе Группы коллекции правил выберите DefaultNetworkRuleCollectionGroup.
  7. В разделе Правила для Name введите Allow-DNS.
  8. В поле Тип источника выберите IP-адрес.
  9. В качестве источника введите 10.0.2.0/24.
  10. В поле Протокол выберите UDP.
  11. Для конечных портов введите 53.
  12. В поле Тип назначения выберите пункт IP-адрес.
  13. Для назначения введите 209.244.0.3,209.244.0.4.
    Это общедоступные DNS-серверы, которыми управляет CenturyLink.
  14. Выберите Добавить.

Дождитесь завершения развертывания правила сети, прежде чем создавать правило DNAT на следующих шагах.

Настройка правила DNAT

Это правило позволяет подключаться к веб-серверу на виртуальной машине Srv-Work через брандмауэр.

  1. Выберите Правила DNAT.
  2. Щелкните Добавить коллекцию правил.
  3. В поле "Имя" введите HTTP.
  4. В качестве приоритета введите 200.
  5. В разделе Группы коллекции правил выберите DefaultDnatRuleCollectionGroup.
  6. В разделе Правила для Имя введите http-nat.
  7. В поле Тип источника выберите IP-адрес.
  8. Введите для параметра Источник значение *.
  9. В поле Протокол выберите TCP.
  10. Для конечных портов введите 80.
  11. В поле "Назначение" введите общедоступный IP-адрес брандмауэра.
  12. Для переведенного типа выберите IP-адрес.
  13. В поле "Переведенный адрес" введите частный IP-адрес Srv-work .
  14. Для переведенного порта введите 80.
  15. Выберите Добавить.

Изменение первичного и вторичного адресов DNS для сетевого интерфейса Srv-Work

В целях тестирования в рамках этого руководства настройте первичный и вторичный адреса DNS сервера. Это не является общим требованием для Брандмауэра Azure.

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.
  2. Выберите сетевой интерфейс для виртуальной машины Srv-Work.
  3. В разделе Параметры выберите DNS-серверы.
  4. Для параметра DNS-серверы выберите значение Пользовательский.
  5. Введите 209.244.0.3 в текстовое поле Добавить DNS-сервер и 209.244.0.4 — в следующее текстовое поле.
  6. Выберите Сохранить.
  7. Перезапустите виртуальную машину Srv-Work.

тестирование брандмауэра.

Теперь проверьте брандмауэр, чтобы убедиться, что он работает должным образом.

Тестируйте правило DNAT

  1. Откройте веб-браузер на локальном компьютере.
  2. В адресной строке введите http://<firewall-public-ip-address><firewall-public-ip-address> общедоступный IP-адрес брандмауэра, который вы указали ранее.
  3. Вы увидите настраиваемую веб-страницу: тест DNAT брандмауэра Azure. Это подтверждает, что правило DNAT работает и трафик пересылается на виртуальную машину Srv-Work .

Тестирование правил приложения и сети

Используйте Бастион Azure для безопасного подключения к виртуальной машине Srv-Work и проверки правил брандмауэра.

  1. В меню портала Azure выберите Группы ресурсов или выполните поиск по запросу Группы ресурсов на любой странице и выберите этот пункт. Выберите группу ресурсов Test-FW-RG.

  2. Выберите виртуальную машину Srv-Work .

  3. Выберите Подключить>Подключение через бастион.

  4. На странице Бастиона введите или выберите следующие значения:

    Настройка Значение
    Тип проверки подлинности Выберите закрытый ключ SSH из локального файла.
    Username Введите azureuser.
    Локальный файл Выберите "Обзор" и выберите файл Srv-Work_key.pem, скачанный во время создания виртуальной машины.

  5. Нажмите Подключиться.

    Откроется новая вкладка браузера с сеансом SSH для виртуальной машины Srv-Work .

  6. В сеансе SSH введите следующую команду, чтобы проверить доступ к Google:

    curl -I https://www.google.com

    Вы увидите успешный HTTP-ответ (200 ОК), указывающий, что правило приложения разрешает доступ к Google.

  7. Теперь протестируйте доступ к корпорации Майкрософт, который должен быть заблокирован. Введите:

    curl -I https://www.microsoft.com

    Команда должна прерваться или завершиться с ошибкой через приблизительно 60 секунд, что свидетельствует о том, что брандмауэр блокирует доступ.

Итак, теперь вы убедились в том, что правила брандмауэра работают:

  • Доступ к веб-серверу можно получить через правило DNAT.
  • Вы можете перейти к одному разрешенному FQDN, но не к другим.
  • Вы можете разрешать имена DNS с помощью настроенного внешнего DNS-сервера.

Очистка ресурсов

Вы можете сохранить ресурсы брандмауэра для следующего руководства или, если он больше не нужен, удалить группу ресурсов Test-FW-RG, чтобы удалить ресурсы, связанные с брандмауэром.

Следующие шаги

Развертывание и настройка Брандмауэр Azure Premium

  • Last updated on